Risolve un problema di sicurezza - ma poi tutti lo sanno

Naviga le tue risposte
2

In precedenza, mi è stato inviato un messaggio su un potenziale rischio per la sicurezza in uno dei miei progetti. L'ho controllato e ho scoperto che consente "l'esecuzione di codice arbitrario". (Quota perché è in esecuzione in una VM, ma il danno che si può fare è comunque enorme)

Poiché si tratta di un progetto open source, immagino che altre persone lo abbiano trovato e lo abbiano già sfruttato. Tuttavia, sono riluttante a risolverlo, perché tutti saranno in grado di vedere il commit e conoscere l'exploit. Dal momento che non ho modo di contattare gli utenti e non c'è modo di forzare un aggiornamento (gli aggiornamenti sono manuali), non saprei cosa fare qui.

Se lo lascio stare, la gente lo sfrutterà. Se lo aggiusto, le persone lo sfruttano ancora di più.

Come posso procedere?

    
posta Xandaros 03.02.2014 - 02:14
fonte

2 risposte

9

Dovrebbe spettare agli utenti assicurarsi che stiano utilizzando una versione aggiornata e sicura del tuo software, non risolvendolo nella speranza che non così tante persone lo scoprano non è un buon piano , IMHO.

Ovviamente, dovresti renderlo il più semplice possibile agli utenti per assicurarti che stiano utilizzando una versione aggiornata del software, quindi se non c'è un buon modo nell'applicazione per avvisare gli utenti di una nuova versione o che i loro la versione corrente è insicura, quindi è qualcosa che considererei l'aggiunta come funzionalità separata. Tuttavia, l'assenza di questa funzione al momento non può essere utilizzata come scusa per non correggere i principali buchi di sicurezza.

    
risposta data 03.02.2014 - 02:38
fonte
0

I software non sono perfetti. Gli insetti sono sempre lì, non ancora scoperti. Persino i grandi siti web soffrono di attacchi semplici (iniezione di script di Youtube, ecc.)

Ecco i tuoi scenari:

  • Qualcuno sa già del rischio per la sicurezza e fortunatamente te l'ha segnalato.
  • È anche possibile che anche altre persone scoprano il buco della sicurezza e questa persona potrebbe non essere abbastanza amichevole da segnalarla a te; diamine, potrebbe anche o già averlo sfruttato.

Inoltre, hai controllato in quale versione compariva il buco della sicurezza? È possibile che sia già lì da molto tempo (se lo è, vedi il punto 2).

TL; DR Sei troppo irresponsabile e dovresti correggere il tuo programma.

    
risposta data 03.02.2014 - 02:36
fonte

Leggi altre domande sui tag

Utilizzo di XSLT per la messaggistica anziché gli oggetti di messaggio Java marshalling / unmarshalling Come gestire il codice non proprio legacy? [duplicare]