È un difetto di sicurezza?

È difficile da dire!

Potrebbe essere una mossa intenzionale da parte di un'azienda per migliorare l'esperienza utente per l'accesso. So che Facebook lo fa per amore dell'esperienza utente, che è stato ha chiesto informazioni su in modo diverso.

Ci sono alcuni articoli su Facebook che fanno questo, ma non sono riuscito a trovare nulla da Facebook. L'unica cosa che ho riuscito a trovare era questo articolo che menziona la richiesta a un ingegnere di Facebook.

Questo è abbastanza difficile da eseguire in modo sicuro, perché l'accettazione di password che non sono la tua password effettiva è quasi garantita a scapito della sicurezza, come discusso qui .

In caso affermativo, cosa devo fare con queste informazioni?

Se non riesci a trovare alcuna informazione online sulla società che fa questo genere di cose (anche se dalla tua enfasi sulla dimensione dell'azienda mi sembra che potrebbe essere Facebook?), consiglio di contattarle. Se sono considerevoli, è stato chiesto loro in precedenza e dovrebbero essere in grado di risponderti in modo relativamente semplice. Alcune aziende hanno pubblicato le cassette postali dei team di sicurezza a cui dovresti essere in grado di inviare questa domanda.

La risposta di @orbuculum ha alcune buone risorse su come gestire il lato "cosa dovrei fare" di questo. È una zona delicata perché entrambi gli estremi (cioè esagerare e punire il reporter contro la scarsità di risposte e ignorare le comunicazioni) appaiono almeno dalle relazioni online per essere abbastanza comuni nelle aziende. Se la società è grande e popolare come dici tu, dovrebbe esserci meno preoccupazione in merito.

NB: Mentre ero giù nella tana del coniglio mi sono imbattuto anche in hashing sensibile alla località che discute i metodi per farlo all'interno dell'hash funzione stessa.

È un difetto di sicurezza? Sì!

In caso affermativo, cosa devo fare con queste informazioni?

Contattare il reparto IT è una buona idea. Si vuole dare loro il tempo di correggere la vulnerabilità (due settimane è lo standard). Se il reparto IT non risponde o risolve il problema, quindi contatta le altre persone della società; , ad esempio, la gestione superiore. Raggiungerli per telefono è probabilmente l'opzione più efficiente, ma personalmente utilizzerei la via elettronica perché la documentazione è importante quando si tratta di questioni di questo tipo.

Se, dopo tutto questo, ancora non è stata intrapresa alcuna azione per risolvere il problema, hai la possibilità di diventare pubblico. Questo documento dovrebbe spiegare che hai cercato di raggiungere l'azienda ma i tuoi tentativi sono passati inosservati. Alcuni ritengono che diventi pubblico come una responsabilità sociale ed etica, ma dovresti farlo solo come tuo ultimo passo. Prima dovrai contattare privatamente per i motivi indicati.

Ecco alcuni documenti aggiuntivi che dovresti leggere prima di procedere:

• Come gestire i problemi di sicurezza del sito Web di qualcun altro
• Trovato una vulnerabilità di sicurezza, cosa devo fare?
• Come divulgare una vulnerabilità di sicurezza in una moda etica?

Sulla base delle tue informazioni non si può dire con certezza se si tratta di un problema di sicurezza o meno. La risposta dipende invece dal tipo esatto di variazioni possibili ma non fornisci queste informazioni.

Ad esempio, se un sito sta eliminando lo spazio bianco dalla password, se ignora il caso delle lettere o se accorcia la password, potrebbe comunque essere considerato abbastanza sicuro purché questa trasformazione non semplifichi la password fino a un livello di sicurezza livello che renderebbe praticamente fattibili attacchi come brute-forcing.

Se invece il sito, ad esempio, confronta solo i caratteri che hai inserito come nella vulnerabilità recente nell'autenticazione Intel AMT o in questo bug nella condivisione di file di Windows dal 2000 quindi sarebbe sicuramente un problema.