Domande con tag 'disclosure'

domande con tag
2
risposte

Il mio college ospita un servizio particolarmente vulnerabile. Li ho avvertiti 4 anni fa. Cosa dovrei fare? [duplicare]

Quattro anni fa, ho scoperto che un'applet sul sito Web del mio college invia query SQL direttamente a un'applicazione server. I database contengono informazioni nominali e personali su studenti e voti, e forse più (SSN?), Ma non sono sicuro p...
posta 04.11.2014 - 21:41
1
risposta

Come gestire i problemi di sicurezza riscontrati sui siti Web di terzi?

Qualche tempo fa ho scoperto un difetto di sicurezza riguardante la politica della password del mio fornitore di telefoni cellulari che fondamentalmente rende il sito Web, che include l'accesso a informazioni personali e fatture, vulnerabili a b...
posta 02.12.2015 - 09:25
1
risposta

Quali sono i pro e i contro di rivelare una vulnerabilità prima che venga riparata?

Avevo sentito parlare molto del progetto zero di Google e la scadenza di 90 giorni per la divulgazione delle vulnerabilità. Ci sono voluti alcuni flak da Microsoft per divulgare i bug prima che venissero corretti. Comprendo l'argomento seco...
posta 11.12.2016 - 05:24
5
risposte

Dovresti avvisare i produttori di software che il loro software è stato violato?

Chiedo scusa se questo non è il posto giusto per porre questa domanda, lo mando volentieri su un altro sito Stack Exchange se necessario. Prima di spiegare la logica alla base della domanda, permettimi di chiarire alcune cose. Mi piaccion...
posta 22.02.2014 - 22:29
2
risposte

Cosa fare se un fornitore non assegna un CVE per una vulnerabilità di riconoscimento?

Abbiamo rilevato una vulnerabilità di sicurezza in un prodotto diffuso di una grande azienda IT (la società è elencata come CNA qui: link ). Abbiamo informato la società, hanno riconosciuto il problema e rilasceranno una patch per questo....
posta 29.04.2014 - 00:21
1
risposta

Categorizzazione di una perdita di dati intenzionalmente / per incuria / in base alla progettazione

Ho trovato una pagina web accessibile al pubblico che rivela i dati relativi alle persone quando vengono interrogati con dati di input corrispondenti. Questo è contro la promessa di protezione dei dati della società stessa. Voglio riferire resp...
posta 16.04.2018 - 10:12
3
risposte

Divulgazione responsabile: la società è dedicata alla sicurezza ma non risponde

Contesto: recentemente ho trovato una vulnerabilità in una webapp per una grande azienda. Hanno una politica completa sulla divulgazione responsabile che ho seguito per evitare problemi legali. La società si impegna a rispondere entro un period...
posta 20.02.2017 - 13:33
1
risposta

Email crittografata PGP o Webform SSL / TLS per comunicazioni di divulgazione responsabile?

Quindi è una domanda abbastanza semplice. Quando offri ai ricercatori di sicurezza una via per comunicare con noi in merito alla divulgazione delle vulnerabilità della sicurezza, qual è il modo migliore per farlo? Supponiamo di disporre di un...
posta 27.03.2014 - 14:59
4
risposte

Quali preoccupazioni particolari dovresti tenere a mente quando si tratta di wardriving?

Sto pensando di avviare un wardrive di quartiere, con l'obiettivo di aumentare la consapevolezza dei rischi legati all'esecuzione di reti wireless non protette. In questo momento, sono ancora in fase di pianificazione di questo progetto. Il p...
posta 17.01.2011 - 16:41
2
risposte

Perché e dove è stato reso pubblico Meltdown prima della pianificazione per la prima volta?

In origine, Meltdown e Spectre avevano una data di divulgazione coordinata del 9 gennaio 2018. Alcuni venditori si stavano preparando a rilasciare correzioni in quel momento e furono colti di sorpresa quando le vulnerabilità furono rese pubblich...
posta 09.01.2018 - 10:12