La progettazione di un bot di scansione per rilevare e informare i proprietari di siti Web vulnerabili è legale?
La progettazione di un bot di scansione per rilevare e informare i proprietari di siti Web vulnerabili è legale?
Supponendo che i proprietari del sito web abbiano espresso il permesso di testare la vulnerabilità, probabilmente a seconda della posizione (leggi UK / USA / UE appropriate).
Avere un crawler che analizza la vulnerabilità è (secondo me) quasi certamente infrangere qualche legge in qualunque paese. Non solo questo però, immaginalo dal punto di vista del proprietario del sito web / aziendale: qual è la tua intenzione reale ?
Come nota a margine - Devi stare attento a seguire questa strada come, anche se stai cercando di fare la cosa giusta (presumibilmente) e fare una piccola somma di denaro ( di nuovo, assumendo) questo può essere interpretato in due modi diversi:
Quasi tutti quelli che leggono la tua email / lettera o ascoltano la tua telefonata penseranno che siano stati truffati. Oltre a ciò, se informi un cliente che la vulnerabilità esiste e che hai scansionato il loro server / sito e l'hai trovata lì - hai appena inviato loro una e-mail che dice quanto segue (secondo la legge del Regno Unito, altri potrebbero essere diverso):
"Ciao, ho scansionato il tuo sito Web senza autorizzazione e ho scoperto un difetto. Posso ignorare la sicurezza / accedere ai dati riservati. Per favore assicurati."
Cosa succede se entro 3 minuti dall'invio di quell'email, il server viene compromesso utilizzando il metodo appena descritto? Anche se sapessero che non sei tu, saranno sballottati dal fatto che hanno appena perso i dati e presumono che fossi tu. Anche se c'è una mancanza di prove è ancora fastidio che preferiresti essere senza.
Suggerirei di creare un sito web in cui le persone possano testare i propri siti e server digitando un nome host / indirizzo IP in una scatola e accettando alcune t e c che non ti rendono responsabile.
Leggi altre domande sui tag heartbleed