[Owasp-brazilian] Segurança na web - Uma janela de oportunidades

Fernando Cima (SCOE) fcima at microsoft.com
Mon Apr 4 14:24:47 EDT 2011


Caro Lucas,

Eu não desejo chegar a lugar nenhum. Justamente para não ser acusado de trollagem na lista somente enviei mensagens diretas a você.

Para mim os objetivos do documento agora estão claros.

Boa sorte.

Abraços,

- Fernando Cima

-----Original Message-----
From: lucas.ferreira at gmail.com [mailto:lucas.ferreira at gmail.com] On Behalf Of Lucas Ferreira
Sent: Monday, April 04, 2011 3:12 PM
To: Fernando Cima (SCOE)
Cc: OWASP Chapter in Brasilia, DF, Brazil.; Owasp-brazilian-leaders at lists.owasp.org; owasp-brazilian at lists.owasp.org
Subject: Re: [Owasp-brazilian] Segurança na web - Uma janela de oportunidades

Cima,

por favor pare de forçar a barra para chegar onde você deseja.
Distorcer os objetivos do documento não vai levar a nada. Nem eu nem o OWASP empunhamos a bandeira de que "todo software deve ser livre".
Muito pelo contrário. Tanto o OWASP quanto eu defendemos o uso de software proprietário e livre da melhor forma para atingir os objetivos de cada organização.

Por favor contenha seu impulsos de Troll ou teremos de encerrar a discussão.

2011/4/4 Fernando Cima (SCOE) <fcima at microsoft.com>:
> Oi Lucas,
>
>>O documento não fala de punição aos profissionais. O documento fala em 
>>"possibilidade de punição para as organizações que não tomarem  providências adequadas para garantir a segurança de seus sistemas."
>
> O documento fala também em punição e responsabilização de fornecedores de software e de quem teve "atuação nociva", e em ambos os casos não existe distinção entre pessoas físicas e jurídicas.
>

Porfissionais de segurança não são nem fornecedores de software nem tem atuação nociva. E os profissioanis liberais que fornecem software devem ter as mesmas responsabilidades para com seus clientes que as pessoas jurídicas.

>>Na minha visão, se a organização fez o dever de casa e ainda assim foi atacada com sucesso, as investigações lhe serão favoráveis ao mostrar que houve diligência.
>
> Ou não. Na dúvida não espere que você tenha colaboração. Na prática o assunto será abafado e a mentalidade será a de "cover your ass".
>

O que não é muito diferente do que se vê hoje. Qual seria a sua sugestão a respeito?

>> Como no caso de licenças open-source não há necessidade de pagamento 
>> pelo software, e o texto prevê que "Para evitar distorções no mercado 
>> de software, a responsabilidade dos fabricantes pode ser limitada ao valor pago pelo sistema.", pode facilmente chegar a um texto legal que mantenha essas licenças como aceitáveis.
>
> O uso de licenças como a GPLv2 não impede o pagamento pelo software, apenas condiciona a sua distribuição aos direitos de acesso ao código fonte, modificação e redistribuição.
>
> Agora alto lá, quer dizer que a responsabilidade dos fornecedores só valeria para quem não desenvolve com licenças 'open source'? Qual é a real finalidade deste paper, é melhorar a segurança da Web, ou ser mais uma bandeira para forçar a adoção de sistemas open source?
>

Pronto, começou a distorção explícita. Se houver pagamento, a responsabilidade é limitada pelo valor pago. Independente da licença.
O meu argumento foi no sentido de fazer uma exceção para software gratuitos, sejam eles livre ou proprietários, de forma a que não seja necessário relicenciar.

>> O texto não fala de punição simplesmente pelo fato de haver falhas de segurança no software.
>
> Não foi o que eu entendi desta frase: "Os fornecedores das tecnologias utilizadas devem ter responsabilidade solidária e objetiva, nos moldes do Código de Defesa do Consumidor".
>

Por favor releia o título do item: "Responsabilizar organizações que não tratem com diligência os aspectos de segurança de aplicações"

O responsabilidade solidária e objetiva está dentro do contexto de diligência.

Inté,

Lucas

> Abraços,
>
> - Fernando Cima
>



--
Homo sapiens non urinat in ventum.



More information about the Owasp-brazilian mailing list