Email crittografata PGP o Webform SSL / TLS per comunicazioni di divulgazione responsabile?

5

Quindi è una domanda abbastanza semplice. Quando offri ai ricercatori di sicurezza una via per comunicare con noi in merito alla divulgazione delle vulnerabilità della sicurezza, qual è il modo migliore per farlo?

Supponiamo di disporre di una pagina di politica di divulgazione responsabile protetta da una connessione SSL / TLS configurata correttamente:

  1. Offri un indirizzo email security@ per contattare un PGP con una Web of Trust consolidata composta da sviluppatori e community open source. L'impronta digitale PGP è pubblicata sulla pagina e la chiave è disponibile su uno dei tanti server chiave.
  2. Offri un modulo di invio HTTPS che, sotto il cofano, invia un'e-mail dal server web al sistema di posta interna dell'ufficio. Verrà utilizzato STARTTLS in modo che l'email sia crittografata in transito
  3. Offri entrambi, lasciando decidere al ricercatore.

Mi sembra che l'opzione 3 sia la migliore, ma ho sentito i ricercatori lamentarsi di tutte e 3 le opzioni sia per & contro.

    
posta JustinBull 27.03.2014 - 14:59
fonte

1 risposta

1

Quando lavoriamo con la Comunicazione di divulgazione responsabile, abbiamo bisogno di sicurezza e convenienza per l'equilibrio.

Praticità per chi?

Per i ricercatori di sicurezza.

Devi pensare alcune cose prima di scegliere:

  • Hai bisogno di rapporti così sicuri da poter aspettare di riceverli?

A volte il ricercatore di sicurezza trova un bug di sicurezza, ma non è con le sue chiavi PGP. E se viaggia? Attendere alcuni giorni (o più) per ricevere i rapporti. È previsto? A volte non lo è.

  • Cosa è meglio, risolvi rapidamente un bug, persino ricevendo il rapporto attraverso canali non sicuri o impiega un po 'più di tempo per risolvere i bug, ma assicurati che i rapporti vengano inviati e archiviati nel modo più sicuro?

Solo tu puoi rispondere a questa domanda.

Recentemente ho lavorato alla gestione di un Bug Bounty Program, e posso dirti che alcuni ricercatori sceglieranno di mandare il bug attraverso il modulo HTTPS (veloce), altri ti spediranno via e-mail in testo normale (più veloce) e altri non parlerà mai con te senza scambiare le chiavi PGP.

E non puoi mai dire che un tipo di ricercatore per la sicurezza invierà rapporti migliori di altri (il PGP, il ragazzo con la forma HTTPS o il ragazzo e-mail in testo semplice).

Quindi, fai attenzione con la tua scelta, sceglierei l'opzione 3.

Secondo me è meglio ricevere un rapporto piuttosto che non riceverlo, indipendentemente da come l'ho ricevuto.

    
risposta data 03.12.2014 - 07:31
fonte

Leggi altre domande sui tag