@sammo
>没有这点觉悟建议你不要做网站
被黑的觉悟么？就好比对一个穿着时尚的女性说你穿这么骚吃枣被强奸，做好觉悟吧，被强奸就是你活该咯。只要未经拥有着授权允许而进行的入侵渗透行为就是违法的，只不过看是否达到量刑标准了，比如 10 组金融、证券相关账号认证信息，或者 500 组一般账号认证信息。这点如何洗白？

>安全意识太差
术业有专攻，搞开发的安全技术肯定比不过专门搞安全的，也许有那样的个例样样精通，我不是那个人，也许你是。我尽我所能保证网站安全，当我认为数据价值大于维护成本时，我再专门雇佣专业人员进行入侵检测，给我报告和修复方案，这种我认为才算合法的白帽行为。不请自来还是免了。来了我可以善待，但不代表我接受。

>https://twitter.com/fangongheike 这就是专门黑 zf 网站的
不知道你贴这个链接是想表达什么？他的行为很伟大？如果他真这么伟大为什么不干掉 GFW ？保护境外网络的纯净？我看不出他这个行为有什么实际价值，只不过自己爽了罢了。要是能写篇论文论述一下怎样针对 GFW 的深度包检测和特征流量检测进行算法改进我倒是很服。

>建议你去当律师。
不敢当。我的一位朋友倒是是律师，我这点东西都是从他那里学来的，现学现卖而已。要是我随随便便就当上律师岂不是对他这么多年的努力是一种侮辱？

@kfll 差不多就这个意思。公司为了免责不承认是安全漏洞。

@sammo 我不明白你的逻辑。为什么会自己认栽？所以你的逻辑是，因为我没有善待那些未经授权的渗透测试行为，所以我系统有漏洞没人告诉我，然后我系统被入侵造成损失，所以我活该，不但给自己造成了损失还浪费了入侵者的时间和精力？

@sammo 我不明白我被偷了为什么就是我的错了？那如果有打扮时尚的妹子出门被强奸你是不是还要说你穿这么骚被强奸活该啊？

@RIcter 怪小偷啊，难道还怪受害者？公正世界谬误？
我门锁属于我私人财产，我的房屋属于我的私人领地。你未经授权撬我门锁但是没进去，属于盗劫中止 /未遂，撬了门锁进去了属于盗窃+非法入侵（行为犯），撬坏门锁的，再加一条破坏私人财产。

@levn 近几个月针对 IoT 设备的入侵事件才让业界不光关注 IoT 能做什么，卖一些概念，开始认真（大概）考虑 IoT 设备的安全性问题了。

@levn 有道理。

@levn 比如说交易系统，就属于必须严格保护的吧，如果是小游戏页面这种不涉及敏感数据的，你开个挂刷个分最多取消你的成绩，损失太低起诉也没什么价值，安全团队会闲的没事琢磨怎么保护这个小游戏么？除非这是他们的职责。

@levn 有法律来制裁
>>>《刑法修正案（九）》第二十八条
第二百八十六条之一　网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：
​（一）致使违法信息大量传播的；
​（二）致使用户信息泄露，造成严重后果的；
​（三）致使刑事案件证据灭失，情节严重的；
​（四）有其他严重情节的。

​单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。

​有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

@RIcter 我有我的想法，但不确定对不对，我想看看别人的想法，觉得我说的不对可以提出异议，或者懒得争辩就当看见了制杖。不占理就乱扣帽子，搞个大新闻，把我批判一番？你呀，拿衣服！

@sammo 不知道这里所说的“聘请了弱智来”是指开发？运维？还是安全？开发的话，到目前没遇到过要求精通安全攻防技术的，运维只要求有相关系统的操作经验，接受 007 工作制，安全的话我技术就不去现眼了，所以不了解具体的职位要求。

@murmur 乌云本身我还是挺喜欢的，能免费学到不少东西，但是一部分人手伸太长了，林子大了什么鸟都有，技术好情商低不懂法。如果乌云在最显眼的地方声明「未经授权的入侵检测是违法行为」，并且及时清理违法入侵的记录，我想也不至于背锅成为众矢之的。

@raincious 是的，这就是我想表达的意思，感谢交流。( ﾟ∀。)

@raincious >>>想要让大多数人主动帮助你，你得先让别人觉得你“人不错”
我并不是说做人就要不”知恩图报“，而是特指所谓的”白帽行为“，我想大多数公司是不欢迎不请自来的“免费入侵检测”吧，需要安全防护的服务、设施自然会雇佣安全人员。

@youyoumarco 检测、修复漏洞是安全团队的事情。未经允许的”入侵检测“是非法行为。

@RIcter 隔壁老王未经你允许捅了你家锁，但是他说他没偷东西只是想告诉你你家锁不安全，你会感谢他么？检测、修复漏洞是安全团队的事情，别拿什么“白帽的入侵怎么能说是入侵呢，是检测”之类的可笑言论来打幌子，未经允许进行“渗透测试”行为不合法，这个前提必须先摆明了。如果是上面所说用 keepass 生成的密码造成注册失败，用户提交 issue ，我发现这个 bug 涉及到了 SQL 注入，我修复了，我告诉用户此问题已修复，感谢支持，就这。如果对方提交了一个正常用户操作不会触及的地方，反馈我，我就得考虑是否遭到非法入侵了。

@jimwoo 主要前车之鉴太多了。看到这篇文又想起来了。
想发 security issue ？-> 用匿名邮箱。
收到 security issue ？->先保存 ticket 记录，检测入侵信息，修复系统，向主管汇报。
自己的服务器？-> 交个朋友好了，以后有问题还请多多指教。

主要还是避嫌，不留下把柄，你诚信不代表对方就会诚信。

@manhere 乌云本来是和一些公司有长期的渗透测试合同的，在这些公司进行渗透测试是受合同保护的。但是手伸远了就不好说了。

@monsoon 代码撸多了难免眼花制杖，见谅