← Возраст ответственности и «…Багбаунти, scope и правила … →

Что значит «разрешение владельца»

«Разрешение владельца» — это не дружеское «да ладно, проверь», а конкретный, желательно письменный документ с понятными границами.

Авторизация — это явное, осознанное и зафиксированное согласие владельца системы на проведение проверки в оговорённых границах и в оговорённое время.

Слово «разрешение» звучит просто, но именно вокруг него ломается больше всего судеб. Разберёмся, что считается настоящим разрешением, а что — нет.

Кто такой «владелец»

Владелец — это тот, кто имеет право распоряжаться системой. Для вашего домашнего компьютера и ваших виртуальных машин владелец — вы сами, и здесь всё просто. Для школьного сайта владелец — школа, а не вы, даже если вы там учитесь. Для популярного сервиса — компания, которая его создала. Тот факт, что вы пользуетесь сервисом, не делает вас его владельцем.

Что НЕ является разрешением

  • «Сайт публичный, значит можно». Нет. Публичный доступ к чтению страницы не равен разрешению на тестирование уязвимостей.
  • «Уязвимость на поверхности, сами виноваты». Нет. Слабая защита не является приглашением.
  • Устное «да» от случайного человека. Тот, кто не является владельцем, не может дать разрешение.
  • «Друг разрешил протестировать сайт его компании». Только если друг действительно уполномочен это разрешать.

Как выглядит настоящее разрешение

В профессиональной практике разрешение оформляется документами:

  • Договор на оказание услуг по тестированию безопасности.
  • Письменная авторизация с указанием конкретных систем (scope), времени и методов.
  • Условия программы багбаунти — публичная оферта, где компания сама описывает, что и как можно тестировать.
  • Правила тренировочной площадки (CTF, TryHackMe) — согласие на атаку встроено в саму платформу.

Правило профессионала: нет письменного разрешения — нет теста. Если сомневаешься, есть ли у тебя право — значит, права нет.

Почему это так строго

Письменное разрешение защищает обе стороны. Хакера — от обвинений: он может доказать, что действовал законно. Компанию — потому что границы и ответственность чётко зафиксированы. Без бумаги даже добросовестный специалист рискует оказаться обвиняемым.

СитуацияЕсть разрешение?
Ваша виртуальная машина домаДа (вы владелец)
Задача на CTF-площадкеДа (встроено в правила)
Сайт в программе багбаунти, в рамках scopeДа (публичная оферта)
Чужой сайт «просто проверить»Нет
Школьный портал без договораНет

Запомните формулу: законная практика = ваша система ИЛИ явное разрешение владельца ИЛИ специальная площадка. Всё остальное — риск уголовной статьи.

Проверьте себя
1. Что из перечисленного является настоящим разрешением на тестирование?
AСайт публично доступен в интернете
BУ сайта слабая защита
CПисьменная авторизация владельца с указанием scope
DВам кажется, что владелец не будет против
2. Делает ли вас владельцем сервиса тот факт, что вы им пользуетесь?
AДа, пользователь = владелец
BНет, владелец — это тот, кто вправе распоряжаться системой
CДа, если вы платный пользователь
DДа, если вы пользуетесь давно
Поддержать проект