Eticità dei siti Web che testano altri siti per Heartbleed [chiuso]

2

Mi rendo conto che questa potrebbe essere più una domanda di tipo opinione, ma vedo un sacco di domande sull'etica in questo forum, quindi spero che il mio si integri.

Stavo leggendo un articolo della BBC su Heartbleed e nell'articolo fa riferimento a un paio di siti che possono testare altri siti Web per la presenza della vulnerabilità Heartbleed. Lo scopo dichiarato dei siti è aiutare gli utenti a vedere se un sito che utilizzano è attualmente vulnerabile (ad esempio, prova se il sito che sto per acquistare è vulnerabile a Heartbleed), che di per sé è una buona cosa.

Tuttavia, stanno essenzialmente inviando un attacco contro un obiettivo per il quale non hanno ottenuto il permesso di fare pentesting (poiché ogni utente può testare qualsiasi sito che desiderano). Non è questo, di per sé, a violare i confini etici?

    
posta LB2 11.04.2014 - 19:50
fonte

1 risposta

5

Il particolare sito collegato in quell'articolo della BBC non sta lanciando attacchi. Semplicemente sta controllando le intestazioni HTTP del sito web che si accede e decide se il sito è vulnerabile o meno in base a se è in grado di identificare la versione del SSL aperto che sta utilizzando, la data del certificato e un database di siti vulnerabili noti. Lo fa perché questa è tutta informazione pubblica, attaccandola avrebbe delle conseguenze legali come quelle che hai menzionato. Per rispondere alla tua domanda secondo me non c'è niente di eticamente sbagliato nel testare finché non usi o memorizzi le informazioni che vorresti ottenere sfruttandolo, tuttavia sarebbe ancora illegale.

    
risposta data 11.04.2014 - 21:57
fonte

Leggi altre domande sui tag