[Owasp-brazilian] Segurança na web - Uma janela de oportunidades

Leonardo Buonsanti leonardo.buonsanti at gmail.com
Wed Apr 6 17:22:06 EDT 2011


Eu não li o documento ainda. Lerei.

Comecei a ler o Secrets & Lies do Bruce "eu ñ vou pro appsec" Schneier hoje
e logo no começo ele fala disso. Liability para softwares com problemas de
segurança. Tem a ver?

Abs.

2011/4/6 Thiago Zaninotti <thiago at zaninotti.net>

> To pegando o bonde andando mas vou meter o bedelho (aproveitando os 5
> minutos do café):
>
> Nossa legislação é bastante arrojada no assunto mas, como todos sabem, o
> mecanismo do processo é bem moroso. Geralmente o defeito precisa ser
> comprovado por perícia técnica contratada pelas partes. É preciso comprovar
> o dolo.
>
> Em um caso hipotético, é preciso comprovar que uma cópia não controlada de
> um buffer de usuário para um buffer estático na aplicação foi feita de
> maneira intencional. Em muitos casos, o código-fonte está sob proteção
> supranacional e a comprovação fica tecnicamente inviável.
>
> O legislador teve uma pretensão nobre, contudo, no mundo real as coisas são
> um pouco diferentes (tecnica e economicamentes).
>
> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
> Restless Infosec & C/C++ Engineer
>
>
>
> 2011/4/6 Lucas Ferreira <lucas.ferreira at owasp.org>
>
>> Zucco,
>>
>> nenhum produto é perfeito. Por exemplo, se há defeito em um carro que
>> comprometa sua segurança, o fabricante é responsável. Por que o
>> fabricante de software não pode ser responsabilizado por falhas em seu
>> produto?
>>
>> Inté,
>>
>> Lucas
>>
>> 2011/4/6 Jeronimo Zucco <jczucco at gmail.com>:
>> >   Sob esse ponto de vista, somente softwares perfeitos podem ser
>> > escritos. Softwares são feitos por seres humanos, como garantir que
>> > não exista um problema de segurança ? Definindo um baseline de
>> > segurança mínimo ?
>> >
>> > --
>> > Jeronimo Zucco
>> > http://jczucco.blogspot.com
>> >
>> >
>> > Em 6 de abril de 2011 15:01, Lucas Ferreira <lucas.ferreira at owasp.org>
>> escreveu:
>> >> Ambos, solidária e objetivamente.
>> >>
>> >> 2011/4/6 Fernando Cima (SCOE) <fcima at microsoft.com>:
>> >>> Perfeito, então todos os desenvolvedores de software, independente do
>> modelo de licença, seriam responsabilizados civilmente por defeitos de
>> segurança.
>> >>> Fica a questão sobre quem seria responsabilizado, o distribuidor do
>> software ou o dono do copyright (i.e. autor).
>> >>>
>> >>>
>> >>> -----Original Message-----
>> >>> From: lucas.ferreira at gmail.com [mailto:lucas.ferreira at gmail.com] On
>> Behalf Of Lucas Ferreira
>> >>> Sent: Wednesday, April 06, 2011 2:37 PM
>> >>> To: owasp-brazilian at lists.owasp.org;
>> Owasp-brazilian-leaders at lists.owasp.org
>> >>> Cc: Fernando Cima (SCOE)
>> >>> Subject: Re: [Owasp-brazilian] Segurança na web - Uma janela de
>> oportunidades
>> >>>
>> >>> Sobre a polêmica abaixo, conversei com um amigo advogado e a questão é
>> >>> mais simples do que parece. Caso a legislação proíba as licenças de
>> >>> software de isentar os fabricantes de responsabilidade com a segurança
>> >>> de seus produtos, as cláusulas que afirmarem o contrário serão
>> >>> consideradas ilegais, mas apenas elas.
>> >>>
>> >>> Ou seja, as licenças não seriam inválidas mas apenas as clausulas
>> >>> específicas que forem contrárias à lei, eliminando a necessidade de
>> >>> relicenciamento ou de mudança de licença.
>> >>>
>> >>> Inté,
>> >>>
>> >>> Lucas
>> >>>
>> >>>
>> >>>
>> >>> 2011/4/4 Fernando Cima (SCOE) <fcima at microsoft.com>:
>> >>>>> > "Eliminar licenças de software que isentam os fabricantes da
>> responsabilidade com a segurança de seus produtos"
>> >>>>> > Você está ciente que isto inclui *todas* as licenças de software
>> existentes hoje, correto?
>> >>>>>
>> >>>>> Sim
>> >>>>
>> >>>> Ok, então esteja ciente das consequências disto, em especial para os
>> projetos colaborativos. Por exemplo, todas as licenças 'open source' contém
>> uma cláusula que exclui qualquer responsabilidade dos autores por danos
>> diretos, indiretos, incidentais, etc. Para se relicenciar o software é
>> necessário que todos os titulares de copyright concordem com a mudança na
>> licença. Em alguns projetos é exigido que o copyright de qualquer
>> contribuição seja atribuído ao coordenador do projeto (prática adotada por
>> exemplo pela Free Software Foundation), em outros isto não ocorre e podem
>> existir até milhares de pessoas com copyright em partes do código, caso do
>> Linux por exemplo. Sugerir uma mudança da licença nestes casos é algo
>> virtualmente impossível.
>> >>>>
>> >>>
>> >>>
>> >>>
>> >>>
>> >>>
>> >>> --
>> >>> Homo sapiens non urinat in ventum.
>> >>>
>> >>>
>> >>
>> >>
>> >>
>> >> --
>> >> Homo sapiens non urinat in ventum.
>> >> _______________________________________________
>> >> Owasp-brazilian mailing list
>> >> Owasp-brazilian at lists.owasp.org
>> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >>
>> >
>>
>>
>>
>> --
>> Homo sapiens non urinat in ventum.
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>


-- 
Leonardo Buonsanti
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20110406/336c5fda/attachment-0001.html 


More information about the Owasp-brazilian mailing list