Perché presentare un sito web ai criminali in chiaro?

Inizierò citando le loro FAQ pure:

Aren’t you worried hackers will use your site to find targets?

Yes, but less worried than having this information remain secret and relying on Security Through Obscurity.

Che è una dichiarazione non valida per il semplice motivo che tali siti non dipendono in alcun modo dalla sicurezza attraverso l'oscurità. La loro sicurezza non è più strong finché questo segreto rimane segreto. È un errore comune portare la sicurezza attraverso l'oscurità in ogni secondo dibattito sulla sicurezza, ma l'unica cosa che conta è fare una valutazione del rischio. E sì, l'oscurità aggiunta sarà spesso di aiuto, purché non ci si stia facendo affidamento su di essa.

Ma torniamo sull'argomento:

• Quali sono i vantaggi di inviarlo ai criminali in testo in chiaro?

  I siti web hanno maggiori probabilità di correggere le loro impostazioni e un numero trascurabile di utenti potrebbe non riutilizzare la propria password. Inoltre alcuni hanno affermato che una registrazione cronologica del loro utilizzo sarebbe importante in tribunale, ma un record con data e ora non deve essere pubblicamente leggibile (una mail su centrale - non gestita privatamente - anche i server faranno il trucco).

• Quali svantaggi ci sono per inviarlo ai criminali in testo in chiaro?

  I siti web che memorizzano le password in testo semplice diventano più popolari. Non solo perché memorizzano le password in chiaro, ma ancora più importante perché indicano i vecchi sistemi non sicuri.

Quindi, per rispondere alla tua domanda: non ti manca assolutamente nulla e hai perfettamente ragione che questa è una chiamata importante da fare. Personalmente consiglierei a chiunque di NON seguire le linee guida per la presentazione di plaintextoffenders.com e in ogni momento prima contattare personalmente il sito web in questione. Solo se nulla cambia o le loro risposte non sono brillanti contattali di nuovo con il messaggio che hai inviato il loro sito web ai criminali in chiaro.

Per citare le loro domande frequenti :

Aren’t you worried hackers will use your site to find targets?

Yes, but less worried than having this information remain secret and relying on Security Through Obscurity.

Per essere più dettagliati: Ci sono due possibili risultati dall'invio di un sito lì:

1. Lo aggiustano: è più probabile che succeda quando si vergognano pubblicamente. Anche la probabilità di attacco aumenta.

   Inoltre, nascondere i problemi di sicurezza (lasciandoli al sicuro solo fino a quando viene tenuto segreto) invece di risolverli è generalmente considerato un antipattern della sicurezza, come il NIST" Guida alla sicurezza generale del server " afferma:

   "System security should not depend on the secrecy of the implementation or its components."

2. Non lo aggiustano - Quindi è almeno documentato pubblicamente ed esternamente.

   Per essere più specifici, grazie a Chris Cirefice che ha sottolineato i commenti in modo più esplicito aveva in mente:

   "documented publicly and externally" - with timestamps. So if a student loan company is hacked and the students' bank details are released due to lack of compliance with (U.S.) government policies, e.g. the Gramm-Leach-Bliley Act 1 2, the students could sue the company, and the timestamps of public release of failure to comply would be great evidence in court for recompense.

La domanda sembra presupporre che i criminali in testo semplice siano l'unico sito che mantiene un tale elenco, piuttosto che essere quello con il profilo pubblico a cappello bianco più alto.

Esistono tuttavia molti altri siti meno salubri che mantengono tali elenchi; qualsiasi dominio elencato su Plaintext Offenders è probabile che sia stato su questi altri siti per qualche tempo.

Quindi probabilmente non dirai ai cattivi tutto ciò che non sanno, ma potresti dire ai proprietari del sito qualcosa che non conoscono, e illuminare una luce di pubblicità per incoraggiarli ad agire su di esso.

Una cosa importante da capire è che esiste una differenza pratica tra "esposizione della password" e "più rischio".

Si può dire con certezza che l'invio di un sito ai criminali in testo in chiaro comporta un'esposizione aggiuntiva della password. Questo fatto non è in discussione.

Se ciò comporta un rischio aggiuntivo, tuttavia, è più sfumato. Se il sito non fa nulla al riguardo, e tu e altri utenti continuate a utilizzare il sito come se il difetto non fosse noto, allora l'esposizione aggiuntiva per la password ha effettivamente come risultato rischio aggiuntivo. Se, tuttavia, porta a cambiamenti nel comportamento, ad esempio, alcuni utenti decidono di non riutilizzare le password che altrimenti avrebbero riutilizzato su questo sito, (più probabilmente) o la pubblicità negativa induce il sito a migliorare la sicurezza del sistema , (meno probabile, ma possibile e un'enorme riduzione del rischio se raggiunta), l'equazione cambia da non molto chiara a una definizione e una significativa riduzione del rischio.

Quindi non è così semplice come una scelta è giusta, e l'altra è sbagliata. Il rischio, per sua natura, include una componente dell'ignoto, che è la probabilità di un eventuale sfruttamento, quindi alla fine si tratta di una sentenza.