今日热议主题:当用户向你报告了安全问题你会怎样做

2017-01-10 09:41:12 +08:00
 Explorare

强行热议 ( ゚∀。)

刚才刷 feed 时看到这样一条讨论串 Ask Slashdot: What Is the Best Way To Thank Users For Reporting Security Issues? - Slashdot po 主的主要意思就是说他收到了用户发来的消息,报告了安全问题,他想知道到如何感谢这类提交 security issue 的用户。本来我以为底下会说 money, thanks email, bitcoin 之类的,结果竟然有不少人同意了以下观点:

This is a stupid answer.

Here's how you should actually handle people who report security issues:

  1. If you're an IT director and it's a company employee who reported it, you need to inform the upper management that you have a possible hacker in the company, and get his ass fired.

  2. If you work in a company and someone in the general public reported it, you need to notify your legal department so they can file a lawsuit against the person for defamation.

  3. If you're in government and this was reported by someone in the general public of your country, you need to notify law enforcement so they'll be arrested for hacking and thrown in prison.

Only hackers would care about "security issues", and if that information becomes public, it will just help other hackers, so any such people need to be dealt with, extremely harshly. If you disagree, then you obviously are not in a position of power in the US.

虽然让我感到很不爽,但确实是一些公司的做法,简单的说就是甩锅,毕竟因为承认了纯在安全漏洞就等于给了用户发起诉讼的理由。但作为一个运维,有人愿意给我发邮件告诉我伺服器存在漏洞,告诉我问题的 CVE 编号、复现方式、修复方法,我会给他发一封感谢邮件。(虽然类似于有人把我家锁撬了然后告诉我我家的锁不安全)

诸位怎么看呢?

7923 次点击
所在节点    信息安全
95 条回复
gamexg
2017-01-10 09:47:12 +08:00
(虽然类似于有人把我家锁撬了然后告诉我我家的锁不安全)

应该是类似于有人看到你的防盗窗出了个大洞然后告诉你
kulove
2017-01-10 09:47:50 +08:00
报警先抓起来再说..


好吧开个玩笑..先修复,然后发感谢信,或者送个小礼物什么的...
jimwoo
2017-01-10 09:48:46 +08:00
感觉太偏激了吧,难道就不能不小心触发了一些安全问题吗?关注安全问题就一定是“ hacker ”(为啥现在都是贬义了)吗?

不能我注册的时候密码后面加了些符号没想到可以注入 SQL 了一下,然后就报告一下你,你特么就要逮捕我。我去你大爷的
rrfeng
2017-01-10 09:50:24 +08:00
这个问题在于,如果他不试图爬你的窗户 就很难发现有个洞。
Explorare
2017-01-10 09:53:31 +08:00
@gamexg 这里原 po 对于 security issue 的定义很模糊,不限制账号登陆失败次数的话会造成穷举破解的漏洞,如果用户发现自己输错了几次密码仍然可以继续尝试的话,这算不算故意 hack 呢?不过如果对方有意起诉他尝试穷举破解,证据就用他的 issue post ,我想用户是没什么办法举证自己只是正常操作的吧。
Explorare
2017-01-10 09:55:04 +08:00
@jimwoo 正常用户不会知道注入 SQL 这种事的,你如果发 issue ticket 的时候说我注册遇到了错误注册失败了之类的,对方自己发现了有注入点,这还好说。如果你直接说你有注入点,我随便发现的,对方会怎么想呢?
am241
2017-01-10 09:56:56 +08:00
@Explorare 懂技术的都不是正常用户
jimwoo
2017-01-10 10:05:37 +08:00
@Explorare 呃~难道程序员就不能注册、就不用吃饭?虽然机率低但也不代表不可能发生啊。

一个程序员肚子饿了,注册某外卖平台,用 keepass 生成密码刚好 SQL 注入了就不行啊……就不行啊~~~就不行啊·~~~

一个程序员去讨论区讨论东西,想教别人怎么破 QQ 相册吸引点妹子关注,一帖 js 代码发现可以 XSS 就不行啊就不行啊~~~
Explorare
2017-01-10 10:05:54 +08:00
@am241 这里主要还是为了避嫌,双方都是。服务提供方会避免承认存在漏洞,否则可能会因为此漏洞而收到造成损失的索赔诉讼, issue 提交者则得尽可能不留下被指控入侵的把柄,所以闷声发大财才是坠吼得。
Explorare
2017-01-10 10:07:53 +08:00
@jimwoo 是可以。但我觉得你要真的直接说这个随机生成的密码可以注入,会留下后患的,因为你没法证明这个密码是不是你特意构建的。要是说随机生成的一个密码无法成功完成注册,就不会有这个问题了。
jimwoo
2017-01-10 10:08:13 +08:00
@Explorare 我回你 5 楼的:感觉有点像扶跌倒老人去医院了……不是你撞的你干嘛送医院?(不是你 hack 的你干嘛提 issue ?)
imn1
2017-01-10 10:11:12 +08:00
查日志看他有没有入侵,然后报警抓人
Explorare
2017-01-10 10:13:22 +08:00
@jimwoo 再打个比方,我是你楼上住户老王,有一天我突然打开了你家门,告诉你你家门锁设计上不安全,还友好的告诉你为什么不安全,换哪个锁安全,虽然没有对你造成损失,但这段对话证明了我在该时间点之前是有能力以非法手段打开这个锁的,你就可以说你丢了两千元,起诉我非法入侵偷了钱,正面那段对话对我来说就是非常不利的条件。但如果我说我喝多了走错楼层,用自己钥匙不小心捅开了你家门锁,你大概也不会想这么多了吧。
jimwoo
2017-01-10 10:15:24 +08:00
@Explorare 被你这么一说……说好的诚信呢。哎,看来这世界上还是走点套路为好……
monsoon
2017-01-10 10:18:17 +08:00
我打开了这个网页,然后发现楼主引用的这条内容是回复别人的,而且还没有人回复这条内容。
然后我又看了下这个回复的分数—— 2 分和 score 最高的人的内容还有楼主的正文内容“本来我以为底下会说 money, thanks email, bitcoin 之类的,结果竟然有不少人同意了以下观点:”,我陷入了思考。
Explorare
2017-01-10 10:19:10 +08:00
@jimwoo 这个类比有些放大的嫌疑。撞人在技术上没什么难点,轮椅推快点也能撞到人,但如果你还准确的说出了撞击的时间、碰撞位置、相对速度、车种、型号,就比较类似上面的情况了。但触发安全漏洞而且还能准确的告诉你触发原因、复现过程,这种 issue 对于用户来说就是极为不利的。
manhere
2017-01-10 10:19:15 +08:00
乌云就是这么没的吧😰
Explorare
2017-01-10 10:20:44 +08:00
@monsoon 代码撸多了难免眼花制杖,见谅
Explorare
2017-01-10 10:21:56 +08:00
@manhere 乌云本来是和一些公司有长期的渗透测试合同的,在这些公司进行渗透测试是受合同保护的。但是手伸远了就不好说了。
akring
2017-01-10 10:24:29 +08:00
可以先定一个小目标,比如说先索赔个 ten million

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/333501

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX