Stregor napisał(a):
> Celowo mamy w stopkach słowo "Sokaris", nie wstydzimy się tego :) I nie
> widzę tu sprzeczności - Jacek napisał że łatwo można sprawdzić że
> program nie wysyła nic do producenta. To prawda, więc napisał to w
> dobrej wierze. Jednak w następnym poście poprzeczka "zdrowej paranoi"

Zakładam, że "to prawda" dotyczy niewysyłania, a nie możności
sprawdzenia. :-)
"Przemycić" dane jest bardzo prosto, wystarczy, że program łączy się z
określonym serwerem. Interesujące dane (login/hasło, dane karty
kredytowej) to raptem kilkanaście znaków. Przykład?
Aktualizacje znajdują się na niepozornym serwerze www. Dostęp do zasobów
zabezpieczony jest "losowym" hasłem. Hasło wysyłane do serwera składa
się z danych klienta (np. dane z karty kredytowej) i jakiegoś ich
skrótu. Serwer sprawdza poprawność skrótu i na tej podstawie udostępnia
zasoby.
Zawsze można też zaszyć w programie "dodatkową funkcjonalność" np.
zrobienie przelewu za rok. Są banki, w których wykonywanie operacji
przez internet potwierdzane jest tylko stałym hasłem.

> Jak to co? sprawę o odszkodowanie na 100% by Pan wygrał mając dowody
> przestępczej działalności programu, nie wspominając o odpowiedzialności
> karnej

Nie wnikajmy co bym wygrał w sądzie. Istotne jest, czy byłoby z czego
"ściągnąć" odszkodowanie. Firma robiąca taki "numer" zapewne okazałaby
się firmą bez majątku, wszystko wynajęte.

[...]
Samo udowadnianie istnienia procedury wysyłającej dane służyłoby
powiązaniu producenta z faktem zniknięcia pieniędzy celem uzyskania
odszkodowania odeń. Nie jestem aż takim optymistą, by liczyć na
odzyskanie pieniędzy od zleceniodawcy lub adresata przelewu.

> Oczywiście, mam nadzieję że wszyscy czytelnicy tego wątku zdają sobie
> sprawę że nasze dywagacje mają charakter czysto teoretyczny. Paranoja na
> pewnym poziomie też jest wskazana i zdrowa. W końcu hasła się chroni i
> nikomu nie podaje. Ale z paranoją też nie można przesadzać - najsłabszym
> ogniwem i tak zwykle jest pojedynczy człowiek, więc aż strach pomyśleć
> co może zrobić taki na przykład pracownik banku który ma dostęp do
> wszystkich kont klientów oddziału na których leżą naprawdę konkretne
> pieniądze. Idąc tym tokiem rozumowania pozostaje jedynie skarpeta :)

Skarpetę też łatwo stracić (pożar, kradzież), nawet śladu nie będzie. :-)

W zasadzie ten wątek powinien już dawno temu zakończyć się
stwierdzeniem, że bezpieczeństwo używania tego rodzaju oprogramowania
opiera się jedynie na założeniu, iż jego producentowi bardziej się
opłaca kontynuowanie dotychczasowej działalności (produkcja
oprogramowania) niż efektowne (i efektywne) jej zakończenie. Czy jest to
"jedynie", czy "aż", to już zależy od konkretnego przypadku.

Pozdrawiam
Jarek