[Owasp-brazilian] Segurança na web - Uma janela de oportunidades

Lucas Ferreira lucas.ferreira at owasp.org
Wed Apr 6 19:52:40 EDT 2011


Leo,

sim, tem a ver com as ideias do Schneier e do David Rice
(Geekonomics), dentre outros.

Inté,

Lucas

2011/4/6 Leonardo Buonsanti <leonardo.buonsanti at gmail.com>:
> Eu não li o documento ainda. Lerei.
>
> Comecei a ler o Secrets & Lies do Bruce "eu ñ vou pro appsec" Schneier hoje
> e logo no começo ele fala disso. Liability para softwares com problemas de
> segurança. Tem a ver?
>
> Abs.
>
> 2011/4/6 Thiago Zaninotti <thiago at zaninotti.net>
>>
>> To pegando o bonde andando mas vou meter o bedelho (aproveitando os 5
>> minutos do café):
>>
>> Nossa legislação é bastante arrojada no assunto mas, como todos sabem, o
>> mecanismo do processo é bem moroso. Geralmente o defeito precisa ser
>> comprovado por perícia técnica contratada pelas partes. É preciso comprovar
>> o dolo.
>>
>> Em um caso hipotético, é preciso comprovar que uma cópia não controlada de
>> um buffer de usuário para um buffer estático na aplicação foi feita de
>> maneira intencional. Em muitos casos, o código-fonte está sob proteção
>> supranacional e a comprovação fica tecnicamente inviável.
>>
>> O legislador teve uma pretensão nobre, contudo, no mundo real as coisas
>> são um pouco diferentes (tecnica e economicamentes).
>>
>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
>> Restless Infosec & C/C++ Engineer
>>
>>
>> 2011/4/6 Lucas Ferreira <lucas.ferreira at owasp.org>
>>>
>>> Zucco,
>>>
>>> nenhum produto é perfeito. Por exemplo, se há defeito em um carro que
>>> comprometa sua segurança, o fabricante é responsável. Por que o
>>> fabricante de software não pode ser responsabilizado por falhas em seu
>>> produto?
>>>
>>> Inté,
>>>
>>> Lucas
>>>
>>> 2011/4/6 Jeronimo Zucco <jczucco at gmail.com>:
>>> >   Sob esse ponto de vista, somente softwares perfeitos podem ser
>>> > escritos. Softwares são feitos por seres humanos, como garantir que
>>> > não exista um problema de segurança ? Definindo um baseline de
>>> > segurança mínimo ?
>>> >
>>> > --
>>> > Jeronimo Zucco
>>> > http://jczucco.blogspot.com
>>> >
>>> >
>>> > Em 6 de abril de 2011 15:01, Lucas Ferreira <lucas.ferreira at owasp.org>
>>> > escreveu:
>>> >> Ambos, solidária e objetivamente.
>>> >>
>>> >> 2011/4/6 Fernando Cima (SCOE) <fcima at microsoft.com>:
>>> >>> Perfeito, então todos os desenvolvedores de software, independente do
>>> >>> modelo de licença, seriam responsabilizados civilmente por defeitos de
>>> >>> segurança.
>>> >>> Fica a questão sobre quem seria responsabilizado, o distribuidor do
>>> >>> software ou o dono do copyright (i.e. autor).
>>> >>>
>>> >>>
>>> >>> -----Original Message-----
>>> >>> From: lucas.ferreira at gmail.com [mailto:lucas.ferreira at gmail.com] On
>>> >>> Behalf Of Lucas Ferreira
>>> >>> Sent: Wednesday, April 06, 2011 2:37 PM
>>> >>> To: owasp-brazilian at lists.owasp.org;
>>> >>> Owasp-brazilian-leaders at lists.owasp.org
>>> >>> Cc: Fernando Cima (SCOE)
>>> >>> Subject: Re: [Owasp-brazilian] Segurança na web - Uma janela de
>>> >>> oportunidades
>>> >>>
>>> >>> Sobre a polêmica abaixo, conversei com um amigo advogado e a questão
>>> >>> é
>>> >>> mais simples do que parece. Caso a legislação proíba as licenças de
>>> >>> software de isentar os fabricantes de responsabilidade com a
>>> >>> segurança
>>> >>> de seus produtos, as cláusulas que afirmarem o contrário serão
>>> >>> consideradas ilegais, mas apenas elas.
>>> >>>
>>> >>> Ou seja, as licenças não seriam inválidas mas apenas as clausulas
>>> >>> específicas que forem contrárias à lei, eliminando a necessidade de
>>> >>> relicenciamento ou de mudança de licença.
>>> >>>
>>> >>> Inté,
>>> >>>
>>> >>> Lucas
>>> >>>
>>> >>>
>>> >>>
>>> >>> 2011/4/4 Fernando Cima (SCOE) <fcima at microsoft.com>:
>>> >>>>> > "Eliminar licenças de software que isentam os fabricantes da
>>> >>>>> > responsabilidade com a segurança de seus produtos"
>>> >>>>> > Você está ciente que isto inclui *todas* as licenças de software
>>> >>>>> > existentes hoje, correto?
>>> >>>>>
>>> >>>>> Sim
>>> >>>>
>>> >>>> Ok, então esteja ciente das consequências disto, em especial para os
>>> >>>> projetos colaborativos. Por exemplo, todas as licenças 'open source' contém
>>> >>>> uma cláusula que exclui qualquer responsabilidade dos autores por danos
>>> >>>> diretos, indiretos, incidentais, etc. Para se relicenciar o software é
>>> >>>> necessário que todos os titulares de copyright concordem com a mudança na
>>> >>>> licença. Em alguns projetos é exigido que o copyright de qualquer
>>> >>>> contribuição seja atribuído ao coordenador do projeto (prática adotada por
>>> >>>> exemplo pela Free Software Foundation), em outros isto não ocorre e podem
>>> >>>> existir até milhares de pessoas com copyright em partes do código, caso do
>>> >>>> Linux por exemplo. Sugerir uma mudança da licença nestes casos é algo
>>> >>>> virtualmente impossível.
>>> >>>>
>>> >>>
>>> >>>
>>> >>>
>>> >>>
>>> >>>
>>> >>> --
>>> >>> Homo sapiens non urinat in ventum.
>>> >>>
>>> >>>
>>> >>
>>> >>
>>> >>
>>> >> --
>>> >> Homo sapiens non urinat in ventum.
>>> >> _______________________________________________
>>> >> Owasp-brazilian mailing list
>>> >> Owasp-brazilian at lists.owasp.org
>>> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>> >>
>>> >
>>>
>>>
>>>
>>> --
>>> Homo sapiens non urinat in ventum.
>>> _______________________________________________
>>> Owasp-brazilian mailing list
>>> Owasp-brazilian at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>>
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>
>
>
> --
> Leonardo Buonsanti
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>



-- 
Homo sapiens non urinat in ventum.


More information about the Owasp-brazilian mailing list