Repost: Wappalyzer che vende set di dati - possibili implicazioni sulla sicurezza del sito web? [chiuso]

Naviga le tue risposte
1

Questa domanda è stata originariamente pubblicata su Stackoverflow ma poi ho scoperto che questo era il posto giusto per chiederlo. Se sei un moderatore, ti preghiamo di eliminare questa domanda in SO.

Ciao a tutti,

Sto usando Wappalyzer ogni giorno perché mi fornisce alcuni dati interessanti sui siti web che visito.

Oggi ho notato che in realtà vendono set di dati completi / elenchi di siti utilizzando determinate tecnologie. Puoi vedere un esempio qui :

The full list of 825,070 websites using WordPress costs US $1,575

Ora, so che la maggior parte di quelle aggiunte alla barra degli strumenti del tuo browser in realtà raccolgono informazioni sui siti che visiti e li utilizzano in seguito per statistiche e altri scopi (Alexa, visita siti Web di conteggio ecc.). Ma il fatto che questi ragazzi lo stessero vendendo apertamente sul loro sito, sembrava quasi che qualcuno potesse vendere pubblicamente il tuo indirizzo email.

A che cosa sto mirando?

Bene, per $ 1,575 qualcuno potrebbe ottenere una buona base per fare cose cattive. Potrebbero colpire tutti quei siti Web e controllare le versioni core e, diciamo, i plugin che usano. Dopo di ciò, potrebbero filtrare quelli più vecchi ed eseguire una serie di attacchi per infettare i visitatori e diffondere ciò che vogliono.

Il fatto che un utente malintenzionato sia in grado di ottenere un elenco di siti Web così grande e già filtrato, senza alcuno sforzo qualsiasi è ciò che mi fa dubitare se questo dovrebbe essere consentito.

Le mie domande sono:

  1. È legale?

  2. Cosa ne pensi?

  3. I dati del sito web di vendita sono ampiamente diffusi in rete?

Sto chiedendo di più a causa della curiosità di essere veramente preoccupato. Avendo letto che sul loro sito mi ha fatto sentire che non era qualcosa di completamente normale.

Se mi sbaglio in qualcosa - per favore spiega

Grazie!

    
posta Aram Boyajyan 27.08.2012 - 12:42
fonte

2 risposte

3

È legale?
La solita IANAL dichiarazione di non responsabilità si applica qui. Innanzitutto, dipende dal Paese in cui ti trovi. Tuttavia, la vendita di un elenco di URL che eseguono un determinato bit di software è molto probabile legale in molti paesi. Ricorda che, nella maggior parte dei sistemi legali, l'azione è illegale, non lo strumento. Il possesso di uno strumento che può essere usato per causare danni non è illegale, ma l'uso di tale strumento per causare danni è illegale. Se i dati includono dettagli personali degli utenti, tuttavia, la legalità diventa un'area grigia.

Che cosa ne pensi?
Penso che la lista abbia alcuni usi legittimi:

  • Monitoraggio del numero di siti che utilizzano WordPress, per scopi di modellazione aziendale.
  • Tracciamento del numero di siti che utilizzano vecchie versioni di WordPress, per statistiche sulla sicurezza.
  • Finalità di indicizzazione (ad esempio un motore di ricerca WordPress su Internet)
  • Finalità generali di marketing.

Tuttavia, ciò non significa che non vi siano scopi illegittimi:

  • Spam.
  • Attacco a siti WordPress vulnerabili.
  • Raccolta di credenziali utente

In definitiva, è qualcosa che può essere usato per facilitare il danno, ma non è malizioso nell'intento. È un'area grigia morale, dal momento che ciò che i clienti fanno con esso non è realmente all'altezza del venditore. Tuttavia, penso che il prezzo sia un po 'pazzo. Potrei buttare giù lo stesso insieme di dati in poche settimane con un semplice strumento di spidering.

I dati del sito web sono venduti in rete? Sì, anche se di solito è in forma statistica piuttosto che dati grezzi. È importante che le aziende sappiano qual è la loro dimensione del mercato target, quando sviluppano componenti aggiuntivi per le applicazioni web. La stessa cosa vale per i dati degli utenti: i siti di social networking come Facebook e Twitter si basano sul concetto di vendita di dati di marketing alle aziende e indirizzano gli annunci agli utenti. Statistiche simili per le applicazioni web hanno perfettamente senso in un simile ambiente aziendale.

    
risposta data 27.08.2012 - 13:09
fonte
1

Se qualcosa viene venduto da qualche parte, allora ci sono buone probabilità che sia (anche) venduto "in rete" perché è quello che fa bene Internet: permettere alle persone di relazionarsi tra loro facilmente, senza alcun vincolo distanza e posizione. Intrinsecamente, offre il tipo di "anonimato sociale" necessario anche per le proposte commerciali più oscure (non si è veramente anonimi su Internet - si lasciano tracce ovunque, che le forze dell'ordine sono desiderose di esplorare - ma al momento dell'acquisto "sulla rete", nessuno che conosci ti vede entrare in un negozio poco raccomandabile).

(Ho perso la fiducia nella presunta benevolenza di Internet quando ho ricevuto il mio primo spam che offriva aborti discreti ad un prezzo premium.Mi ha mostrato che l'umanità è ancora l'umanità quando sono coinvolti elettroni nei fili.)

La legalità è una domanda più difficile. Contro quale legge? Internet è internazionale, mentre la legge no. Alcuni provider cercano persino di ottenere lo status legale di "acque internazionali" (ad esempio il sedicente principato di Sealand ) o provare a sfruttare le scappatoie in alcuni paesi (ad esempio il Mohawk Internet Technologies, che si trova in Kahnawake , ospita siti di gioco d'azzardo in un modo che è di dubbia legalità, ma dal momento che gli affari "nativi americani" sono gestiti dal governo federale del Canada, non dal governo provinciale, qualsiasi azione contro di essa è improbabile a causa della tempesta politica che ne conseguirebbe).

Un sacco di cose accadono su Internet non dovrebbe essere "permesso", anche se le persone sulla Terra non sembrano essere in grado di raggiungere un consenso su cosa esattamente dovrebbe essere permesso o meno. Ma non è il modo giusto per vederlo: in pratica, le cose su Internet non sono potenzialmente permesse ma potenzialmente proibite . Tutto è, per impostazione predefinita, "consentito", almeno tecnicamente, e i sistemi giuridici di molti paesi funzionano con divieti espliciti.

    
risposta data 27.08.2012 - 13:12
fonte

Leggi altre domande sui tag

Protezione dei passphrase all'interno di un'applicazione Avast dice che non ho bisogno di usare connessioni criptate per i miei account di posta elettronica