I servizi di commenti come Disqus, Disqus, ecc. rappresentano un rischio per la sicurezza delle aziende?
Modifica: Quali rischi potrebbero sorgere quando si incorporano tali servizi in siti Web aziendali?
I servizi di commenti come Disqus, Disqus, ecc. rappresentano un rischio per la sicurezza delle aziende?
Modifica: Quali rischi potrebbero sorgere quando si incorporano tali servizi in siti Web aziendali?
Rispondi alla domanda originale: No, non è un rischio per la sicurezza per i tuoi dipendenti utilizzare Disqus, ecc. - almeno, non più di qualsiasi altra forma di comunicazione.
Naturalmente, se i dipendenti pubblicano informazioni aziendali sensibili su questi sistemi, ciò potrebbe danneggiare gli interessi della società. Ma si potrebbe dire lo stesso di ogni altro mezzo di comunicazione. Si spera che tu istruisca i dipendenti a non farlo, e puoi fare affidamento su di loro per essere ragionevole.
Rispondi alla domanda modificata: Sì, l'integrazione di questi servizi sul sito Web della tua azienda è un rischio per la sicurezza. Il modo in cui li incorpori è incorporando alcuni Javascript e eseguendoli sul tuo dominio web. Dal momento che Javascript ottiene l'accesso al tuo sito web, i cookie per il tuo sito web, le password degli utenti sul tuo sito web, ecc., Ciò richiede completa fiducia in quel Javascript. Se il fornitore di commenti di terze parti (ad esempio, Disqus) è maligno o soffre di una violazione della sicurezza, potrebbe utilizzare l'accesso che ha per attaccare la tua pagina web e i tuoi utenti. Per maggiori dettagli, vedi Domande frequenti sulla sicurezza del widget web di terze parti di Jeremiah Grossman .
Aggiunta all'eccellente risposta di @ D.W. ...
Se la tua azienda è regolamentata e richiede che tutte le comunicazioni siano controllate da una terza parte, potrebbe essere un problema.
Per esempio, in FINRA sono richiesti consulenti finanziari affinché tutte le comunicazioni vengano registrate e monitorate da qualcuno come SMARSH. L'implementazione di tale soluzione di conformità al di fuori della posta elettronica è un mal di testa a seconda dei requisiti dei responsabili della conformità.
Suggerirò di controllare un dipartimento per dipartimento o linea commerciale.
Personalmente ritengo che l'uso di Disqus sia più sicuro. La mia logica mi chiedi? È semplice. Disqus ti offre alcuni servizi popolari che puoi usare per accedere a, Facebook, OpenID, ecc. Preferirei piuttosto usare le credenziali memorizzate sui loro server, piuttosto che su un sito random totale che non posso verificare abbia una sicurezza decente. Non sto dicendo che solo perché i servizi Disqus forniscono sono popolari che sono sicuri, penso che abbiano avuto più tempo per correggere & migliorare la loro sicurezza. Ovviamente ci sono delle eccezioni.
Leggi altre domande sui tag xss web-service