Проблема с безопасностью, что мне следует сделать?
71 сообщение
#13 лет назад
Прошу совета по несколько щекотливому, на мой взгляд, вопросу. Вполне возможно, что некоторые пользователи этого форума уже сталкивались с подобной ситуацией и есть реальные прецеденты.В общем имеется информация, касающаяся уязвимости некоего сайта (здесь и далее - никаких имен, адресов и названий).
Результатом этой уязвимости является как минимум утечка конфиденциальной информации (ресурс - коммерческий), как максимум - полный доступ к сайту.
Причина - известная ошибка в скрипте, и конечно же рас***дяйство администратора сайта или того, кто этот сайт делал...
Собственно вопросы:
1. должен ли я сообщить владельцу/администратору ресурс о проблеме?
2. в какой форме это лучше сделать, чтобы там никого кондрашка не хватила, или с работы кто-нибудь не вылетел?
3. имею ли я право (моральное хотя бы) попросить некоторое вознаграждение за указанную информацию?
3.1. я знаю как исправить ошибку - там всего несколько строчек кода дописать, могу ли я предложить оплатить эту работу в рамках фриланс-проекта?
Примечание к третьим пунктам - не будет ли это выглядеть как некое вымогательство?
Реакцию владельцев ресурса предсказать сложно, поэтому хотелось бы узнать мнения...
2128 сообщений
#13 лет назад
1. Ну обязанности как таковой у Вас точно нет. Так что чисто Ваша добрая воля.2. Я бы написал по адресу администрации сайта, что вот, мол, у Вас на сайте случайно обнаружил дыру в защите, так и так. Если в результате кого-то кондрашка хватит или с работы выгонят - это их проблемы, пусть не хлопают ушами. Гораздо хуже для них же будет, если этой дырой кто-то успеет воспользоваться, так что пусть радуются, что кто-то добрый предупредил.
3. Если постфактум просто за сам факт указания на ошибку - нет, ибо Вас никто об этом не просил - см. п.1. Если Вы при этом сообщите, что знаете как исправить и готовы помочь за определенное вознаграждение, если они не справятся своими силами, - да, это будет вполне корректное предложение, от которого они могут и отказаться. Вымогательством это будет выглядеть в том случае, если будет похоже на угрозу или шантаж Т.е. постарайтесь составить письмо вежливо и дружелюбно, тогда все будет адекватно.
1172 сообщения
#13 лет назад
Вас как минимум попросят доказать факт наличия дыры. Подумайте, как это сделать с минимальным ущербом для себя и для сайта. Если захотят демонстрацию, то делайте это через анонимные прокси, мало ли.И такие вещи надо делать через проект, чтобы потом к вам не привязали вымогательство.
11416 сообщений
#13 лет назад
Когда мы нашли дыру в одном сайте, написали админам, что так и так, попросили 500$, он просил показать как ломается и в чем ошибка, мы показали и он выслал деньги 6970 сообщений
#13 лет назад
Есть специальные хакерские группы, которые ищут дыры в широко используемых продуктах, а потом информируют об этих дырах разработчиков. Поищите информацию об их методах - наверняка они застраховались от любых обвинений.Кстати, этот топик может служить хоть каким-то доказательством Ваших добрых намерений.
1329 сообщений
#13 лет назад
Цитата ("BCEX"):В общем имеется информация, касающаяся уязвимости некоего сайта
Откуда информация? Вы ищете дыры в безопасности коммерческих сайтов, а после предлагаете их "закрыть"?
Хороший бизнес)
599 сообщений
#13 лет назад
Трудно тут что-то советовать. Вполне могут оказаться обычными жлобами, узнают как решить проблему и в итоге ничего не заплатят.Могу рассказать реальную, немного подобную ситуацию. Была лет 8 назад одна фирма, занимающаяся защитой информации в Украине. Имела все разрешения, сертификаты, лицензии и тд. и тп. Выпустила эта фирма продукт, который позволял шифровать данные (файлы, диски,..). Шифрация осуществлялась алгоритмами ГОСТа, и вроде как имела даже какое-то экспертное заключение. Пользователями этого продукта были КабМин, Администрация президента, Министерства, Ведомства, короче большой размах был. Столкнулся и я с этим продуктом. Мне хватило 1 часа, чтобы расшифровать любой зашифрованный в этой системе файл с абсолютно любым паролем.
Я от имени анонима написал на эту фирму и сказал, что могу указать на дыры в системе защиты за вознаграждение (какое конкретно - я не указывал). Мне написали, что такого быть не может, и прислали так, для пробы зашифрованный файл. Этот файл я расшифровал и отправил обратно. Ну а дальше тишина.
Самое интерестное началось через месяц, когда фирма полностью поменяла дизайн продукта, его название, но суть осталась та же. После этого я написал ребятам, сказав, что не хорошо как-то я подсказал, что есть серьезные дыры, а мне за это никто даже спасибо не сказал. На что получил ответ в стиле хи-хи-ха-ха, мы сами все нашли, в ваших услугах не нуждаемся.
После этого мне осталось указать одним из клиентов этой фирмы на серьезные дыры в продукте, который они используют. Затем началась цепная реакция, все массово начали отказываться от услуг и продуктов этой фирмы. Через пару лет об этой фирме и ее продуктах ничего уже небыло слышно. Вот и мораль: съэкономили условно говоря копейки, а потеряли все (клиентов, репутацию).
Вот такая история.
11416 сообщений
#13 лет назад
Цитата ("Andrey-A"):Хороший бизнес)
Очень хороший!
Цитата ("wertex76"):
Вот такая история.
Хорошая поучительная история!
9 сообщений
#13 лет назад
Вот и ответ на вопрос сам по себе нарисовался)))2BCEX - пошлите этой фирме, эту историю wertex76'a....получиться метафорично....если неглупые люди, пойму к чему))....если не поймут, вы им тупо уже говорите - у вас дыры, которые я могу исправить......если жлобы окажутся......С вас ведь не убудет?))..Ну не ответят - вам не все равно?
71 сообщение
#13 лет назад
Цитата ("Andrey-A"):
Откуда информация? Вы ищете дыры в безопасности коммерческих сайтов, а после предлагаете их "закрыть"?
Хороший бизнес)
Ну, если бы это был мой бизнес, то я бы наверное не задавал таких вопросов... :P
Информация - с баг-трекера, двухгодичной давности. Решил доказать племяннику Жорику (почитателю журнала Ксакеп), что такие ошибки давно и везде исправлены и публикуются исключительно как информация к размышлению. Увы, российская проблема Номер Один все еще актуальна. Реально уязвимый сайт обнаружился в первой же десятке яндекса. Не знаю, как он уцелел до сих пор...
Цитата ("voron_76"):
Кстати, этот топик может служить хоть каким-то доказательством Ваших добрых намерений.
Отчасти за этим и создавался.
В общем напишу людям, а там что получится. Кстати, может быть и ссылку на этот топик стоит добавить...
6970 сообщений
#13 лет назад
Цитата ("m2418577"):2BCEX - пошлите этой фирме, эту историю wertex76'a....получиться метафорично....
...и очень похоже на вымогательство и шантаж. Всё-таки одно дело - широко распространённый продукт, дыра в котором касается многих фактически обманутых людей, и другое - частный сайт, безопасность которого касается только его владельцев.
71 сообщение
#13 лет назад
Цитата ("voron_76"):Всё-таки одно дело - широко распространённый продукт, дыра в котором касается многих фактически обманутых людей, и другое - частный сайт, безопасность которого касается только его владельцев.
Это сайт солидной оптовой фирмы, одна только база клиентов это не только проблема владельцев, но и самих пользователей.
Если от их имени будет сделан заказ, или база попадет к конкурентам... Мало не покажется...
ЗЫ ответа пока что нет... может быть не приняли всерьез, или наоборот - сами дыру ищут...