n******t 发帖数: 4406 | 1 這句大白話今天居然要人發paper告訴大家,這已經是一個悲劇了。
從這個層面上說,這個老中也沒做錯什麼,肯定不nice,但是也談不上有什麼問題。
你如果要舉例證明開源代碼的merge 過程有安全隱患,你不去試這件事怎麼做到呢?
雖然在我看來去做這事很無聊, 因爲是一個顯然的事實。
但是另外一個角度看,GH惱羞成怒是可以理解的,但是既然都是"頂級"黑客了,還是大
度點好。(雖然其實他也和黑客沒什麼關係,算個大管家比較合適) |
c*******v 发帖数: 2599 | 2 对Porf Lu group之first round实验。我的理解:
1.实验对象不仅仅是代码,包含有人。所以必须要通知实验对象 in advance。他说的
不仅仅是
merge,还有审批
什么的,这些都牵涉到人,且他还在文章中引用了。所以我觉得hci说的是对的,这是
个社会学之类的研究。
2.从财产的角度来讲。很多open source software有财产属性。introduce bug on
purpose
(这是他们论文承认的),会有法律问题。具体如何要看terms。
【在 n******t 的大作中提到】 : 這句大白話今天居然要人發paper告訴大家,這已經是一個悲劇了。 : 從這個層面上說,這個老中也沒做錯什麼,肯定不nice,但是也談不上有什麼問題。 : 你如果要舉例證明開源代碼的merge 過程有安全隱患,你不去試這件事怎麼做到呢? : 雖然在我看來去做這事很無聊, 因爲是一個顯然的事實。 : 但是另外一個角度看,GH惱羞成怒是可以理解的,但是既然都是"頂級"黑客了,還是大 : 度點好。(雖然其實他也和黑客沒什麼關係,算個大管家比較合適)
|
n******t 发帖数: 4406 | 3 你要證明A有安全問題,你先通知A?這個事情還能成功?
這件事情唯一可以argue的就是這樣的research是不是沒什麼意義。
【在 c*******v 的大作中提到】 : 对Porf Lu group之first round实验。我的理解: : 1.实验对象不仅仅是代码,包含有人。所以必须要通知实验对象 in advance。他说的 : 不仅仅是 : merge,还有审批 : 什么的,这些都牵涉到人,且他还在文章中引用了。所以我觉得hci说的是对的,这是 : 个社会学之类的研究。 : 2.从财产的角度来讲。很多open source software有财产属性。introduce bug on : purpose : (这是他们论文承认的),会有法律问题。具体如何要看terms。
|
c*******v 发帖数: 2599 | 4 这是两回事。对人做实验,必须通知人。这条我认为没什么错的。
在这个基础上如何设计实验,如何排除bias,那是另外一回事了,属于专业技术。
之前我在公司。每2年培训一次安全。之后会发不安全的email,看你是否识别出来。
然后其内部会做统计分析等等。
【在 n******t 的大作中提到】 : 你要證明A有安全問題,你先通知A?這個事情還能成功? : 這件事情唯一可以argue的就是這樣的research是不是沒什麼意義。
|
n******t 发帖数: 4406 | 5 這是對規則做實驗,你們都沒看到這個點嗎?
公司裏面常常發假的phishing email,難道在信里title裏面還要先發寫一個this is
phishing?
【在 c*******v 的大作中提到】 : 这是两回事。对人做实验,必须通知人。这条我认为没什么错的。 : 在这个基础上如何设计实验,如何排除bias,那是另外一回事了,属于专业技术。 : 之前我在公司。每2年培训一次安全。之后会发不安全的email,看你是否识别出来。 : 然后其内部会做统计分析等等。
|
c*******v 发帖数: 2599 | 6 这是对人做实验。不是对规则做实验。
如果是对规则做实验,那你可以hire一群人,follow同样的规则,
然后去实验。有人这样做的。有个医生写的一本书,说他研究手术室管理什么的就这样
做过。
公司里发的假email,当然不会告诉你是假的。我以前经历的是,培训结束会通知你,
之后几周可能会有假emial。
【在 n******t 的大作中提到】 : 這是對規則做實驗,你們都沒看到這個點嗎? : 公司裏面常常發假的phishing email,難道在信里title裏面還要先發寫一個this is : phishing?
|
n******t 发帖数: 4406 | 7 從我在>200K員工工作的經驗來看,肯定沒有提前通知。只不過你如果上當了,會告訴
你這是測試。
他們在真的upstream之前已經發信通知了,所以這個事情你真不能說這個research
team怎麼樣了。
沒錯,的確打臉,而且你傻逼的looks good全世界人都看見了,但是,別人也就是
research而已。
【在 c*******v 的大作中提到】 : 这是对人做实验。不是对规则做实验。 : 如果是对规则做实验,那你可以hire一群人,follow同样的规则, : 然后去实验。有人这样做的。有个医生写的一本书,说他研究手术室管理什么的就这样 : 做过。 : 公司里发的假email,当然不会告诉你是假的。我以前经历的是,培训结束会通知你, : 之后几周可能会有假emial。
|
c*******v 发帖数: 2599 | 8 我之前做过的培训。是考试结尾通知在后面几周可能会有假email。
其实就是考一下,几个收到公司外email要注意的事情。
我没上过当,不知其后会如何。
全公司方位的pentrate PC test应该也有过。但那个是不测人的反应的,
就看机器,与email是不同的。不通知应该是没问题的。
【在 n******t 的大作中提到】 : 從我在>200K員工工作的經驗來看,肯定沒有提前通知。只不過你如果上當了,會告訴 : 你這是測試。 : 他們在真的upstream之前已經發信通知了,所以這個事情你真不能說這個research : team怎麼樣了。 : 沒錯,的確打臉,而且你傻逼的looks good全世界人都看見了,但是,別人也就是 : research而已。
|
g****t 发帖数: 31659 | 9 刚和我太太说这事。她说其公司的fishing email,有一个说什么401k怎么怎么能多赚的
,她
打开了还输入了用户名和密码。尽管最后submit时候觉醒了。还是让她明天去重新培训
。LoL
: 我之前做过的培训。是考试结尾通知在后面几周可能会有假email。
: 其实就是考一下,几个收到公司外email要注意的事情。
: 我没上过当,不知其后会如何。
: 全公司方位的pentrate PC test应该也有过。但那个是不测人的反应的,
: 就看机器,与email是不同的。不通知应该是没问题的。
【在 c*******v 的大作中提到】 : 我之前做过的培训。是考试结尾通知在后面几周可能会有假email。 : 其实就是考一下,几个收到公司外email要注意的事情。 : 我没上过当,不知其后会如何。 : 全公司方位的pentrate PC test应该也有过。但那个是不测人的反应的, : 就看机器,与email是不同的。不通知应该是没问题的。
|
n******t 发帖数: 4406 | 10 看見嗎,你太太的作法就一般人的正常反應,自己被忽悠了,但是別人也是指出了自己
的毛病並且沒有實質性傷害,所以雖然不爽,還是老老實實接受教訓。
教授那個實驗,對linux本沒壞處,但對GKH不利,所以你知道事情的本質了吧?
【在 g****t 的大作中提到】 : 刚和我太太说这事。她说其公司的fishing email,有一个说什么401k怎么怎么能多赚的 : ,她 : 打开了还输入了用户名和密码。尽管最后submit时候觉醒了。还是让她明天去重新培训 : 。LoL : : : 我之前做过的培训。是考试结尾通知在后面几周可能会有假email。 : : 其实就是考一下,几个收到公司外email要注意的事情。 : : 我没上过当,不知其后会如何。 : : 全公司方位的pentrate PC test应该也有过。但那个是不测人的反应的, : : 就看机器,与email是不同的。不通知应该是没问题的。
|
g****t 发帖数: 31659 | 11 这件事多半要提告。论文之作者一方已经在删过去email,twitter。所以无谓多说了。
等等看吧。
【在 n******t 的大作中提到】 : 看見嗎,你太太的作法就一般人的正常反應,自己被忽悠了,但是別人也是指出了自己 : 的毛病並且沒有實質性傷害,所以雖然不爽,還是老老實實接受教訓。 : 教授那個實驗,對linux本沒壞處,但對GKH不利,所以你知道事情的本質了吧?
|