To racja. We need good analogies.
General mailing list General@lists.hackerspace.pl https://lists.hackerspace.pl/mailman/listinfo/general
Myślę, że nie jest to kwestia analogii technicznych. Podejrzewam, że poza nami mało kogo interesuje to, że jakaś strona jest podatna na CSRF, czy po prostu można zrobić XSSa. Ale z drugiej strony ludzi interesuje, że: - wykonawca zrobił stronę w taki sposób, że możliwe jest wyciąganie danych/przelanie pieniędzy z konta czy inny efekt wpływający na życie Użytkownika - wykonawca mógł zrobić to dobrze niewielkim kosztem (np. przeczytać poradnik OWASPa) - wykonawcę nie obchodzi to, że można zrobić [rzeczy wpływające na życie Użytkownika] - wykonawca stara się zrzucić winę za swoje niedoróbki na osobę, która te niedoróbki wykryła - ewentualnie: zamawiający niedopilnował wykonawcy i próbuje zrobić to co wyżej wymieniłem
Bardziej porównałbym tego typu usługę do dobra publicznego. Moja nienajlepsza i pewnie niespójna (szukajcie niespójności) analogia:
Droga w mieście
Czy aktualnemu stanowi drogi (pełna dziur) jest winny wykonawca/utrzymujący drogę, czy osoba, która napisała wniosek o jej naprawienie wskazując liczbę dziur?
Przecież przed zgłoszeniem dziur w drodze we wszystkich statystykach droga była gładka, a po zgłoszeniu są dziury.
Wniosek: zgłaszający powołał dziury do istnienia.
Leszek