Come posso segnalare un difetto di sicurezza - come l'utilizzo di password in chiaro - e ottenere un risultato positivo? [duplicare]

Naviga le tue risposte
5

Mi sembra di averlo fatto molto. Forse c'è qualcosa riguardo le università e le università che si rivolgono a compagnie di webdev cattive, ma ho mandato via email a 3 diverse aziende per lamentarmi di aver tenuto le password in testo semplice.

Uno di questi, UCAS ha la maggior parte dei miei dettagli personali e si rifiuta di riconoscere che è male che essi mandino la tua email , password e numero di identificazione in un'e-mail non protetta quando si passa attraverso un modulo di 'password persa'.

Alla fine della giornata, voglio aiutare le aziende a migliorare i loro software, per il loro bene e il mio, ma sembra che molti lo prendano personalmente o come se stessi screditando la società quando faccio notare un difetto.

Sottolineo sempre che lo sto segnalando perché voglio che il problema sia risolto e che non intendo sfruttarlo o condividere i dettagli.

Che cosa posso fare per aumentare la probabilità di un esito positivo in questa situazione?

È anche il mio posto, come utente del sistema, fare questo genere di cose?

    
posta jackweirdy 06.09.2013 - 19:08
fonte

1 risposta

1

Vorrei cortesemente inviarli tramite e-mail informandoli che hai scoperto una vulnerabilità di sicurezza (so che l'hai già fatto) e poi mostrare prove (catturando le informazioni dei tuoi amici tramite wireshark, ad esempio. Con il consenso informato sui tuoi amici parte) e una spiegazione educata di quanto sarebbe banale catturare informazioni da centinaia di studenti nel corso della giornata, senza nemmeno dover sedersi al computer.

Personalmente, vorrei anche offrirmi volontario che tu sia felice di mostrargli qual è la vulnerabilità e fargli sapere che hai intenzione di presentare il loro giornale scolastico di soluzione (newsletter qualunque) in modo che possano mostrare come sono sempre migliorare e persino cogliere gli errori commessi da altri gruppi (come i loro web dev people)

Quindi, onestamente, la cosa più importante è di solito dare loro una scadenza e far loro sapere che questo sarà pubblicato e quando lo pianificherete. Questo dà loro una scelta deliziosamente malvagia .... aggiustalo e guarda bene per risolvere quello che era un brutto problema, OPPURE non aggiustarlo e sembra che non sappiano cosa stanno facendo per non controllare le cose che dovrebbero essere consapevoli di. Diventa il loro problema di come stanno andando a guardare, non il tuo problema

EDIT: ho letto la tua trascrizione dell'email. Il mio ultimo paragrafo è vero. La cosa migliore da fare su questi è dire che intendi pubblicare a chiunque tu abbia trovato una vulnerabilità. Non essere eccessivamente fastidioso (HAI TRE GIORNI O IO VAI PUBBLICO), dai loro una discreta quantità di tempo da un paio di settimane a un mese per risolverli.

Allo stesso tempo, probabilmente potrebbero trovare o addirittura fare un rimpiazzo per questo entro poche ore se sono buoni o un giorno o due se hanno dovuto costruirlo da zero. Usa il tuo miglior giudizio.

    
risposta data 07.09.2013 - 00:36
fonte

Leggi altre domande sui tag

Attuale soluzione standard per la gestione delle chiavi di settore per l'applicazione Web su host Linux Dischi di avvio AV e unità crittografate TrueCrypt