今日热议主题:当用户向你报告了安全问题你会怎样做

2017-01-10 09:41:12 +08:00
 Explorare

强行热议 ( ゚∀。)

刚才刷 feed 时看到这样一条讨论串 Ask Slashdot: What Is the Best Way To Thank Users For Reporting Security Issues? - Slashdot po 主的主要意思就是说他收到了用户发来的消息,报告了安全问题,他想知道到如何感谢这类提交 security issue 的用户。本来我以为底下会说 money, thanks email, bitcoin 之类的,结果竟然有不少人同意了以下观点:

This is a stupid answer.

Here's how you should actually handle people who report security issues:

  1. If you're an IT director and it's a company employee who reported it, you need to inform the upper management that you have a possible hacker in the company, and get his ass fired.

  2. If you work in a company and someone in the general public reported it, you need to notify your legal department so they can file a lawsuit against the person for defamation.

  3. If you're in government and this was reported by someone in the general public of your country, you need to notify law enforcement so they'll be arrested for hacking and thrown in prison.

Only hackers would care about "security issues", and if that information becomes public, it will just help other hackers, so any such people need to be dealt with, extremely harshly. If you disagree, then you obviously are not in a position of power in the US.

虽然让我感到很不爽,但确实是一些公司的做法,简单的说就是甩锅,毕竟因为承认了纯在安全漏洞就等于给了用户发起诉讼的理由。但作为一个运维,有人愿意给我发邮件告诉我伺服器存在漏洞,告诉我问题的 CVE 编号、复现方式、修复方法,我会给他发一封感谢邮件。(虽然类似于有人把我家锁撬了然后告诉我我家的锁不安全)

诸位怎么看呢?

7923 次点击
所在节点    信息安全
95 条回复
Explorare
2017-01-10 17:21:10 +08:00
@levn 比如说交易系统,就属于必须严格保护的吧,如果是小游戏页面这种不涉及敏感数据的,你开个挂刷个分最多取消你的成绩,损失太低起诉也没什么价值,安全团队会闲的没事琢磨怎么保护这个小游戏么?除非这是他们的职责。
levn
2017-01-10 17:42:47 +08:00
@Explorare 能够得到 “确定性” 的安全程度的时候,安全程度才能成为一个足够明确的参数。但是目前用户评价产品安全程度仍然只能以 “偶然性” 的 “安全事件” 的发生来判断。这个联系太弱。所以等到安全事件开始频繁发生,频繁到几乎脱离 “偶然” 的时候,安全性评估才被迫的进入某种常态的形式。(比如电话诈骗的发展终于开始影响银行策略?)
Explorare
2017-01-10 17:50:26 +08:00
@levn 有道理。
Explorare
2017-01-10 17:51:42 +08:00
@levn 近几个月针对 IoT 设备的入侵事件才让业界不光关注 IoT 能做什么,卖一些概念,开始认真(大概)考虑 IoT 设备的安全性问题了。
RIcter
2017-01-10 18:46:22 +08:00
@Explorare 如果你家门锁确实有问题,但是没人告诉你,直到哪天家里被洗劫一空,你该怪谁呢
Explorare
2017-01-10 19:11:49 +08:00
@RIcter 怪小偷啊,难道还怪受害者?公正世界谬误?
我门锁属于我私人财产,我的房屋属于我的私人领地。你未经授权撬我门锁但是没进去,属于盗劫中止 /未遂,撬了门锁进去了属于盗窃+非法入侵(行为犯),撬坏门锁的,再加一条破坏私人财产。
sammo
2017-01-10 19:53:22 +08:00
你错了。你只能怪你自己
Explorare
2017-01-10 19:58:41 +08:00
@sammo 我不明白我被偷了为什么就是我的错了?那如果有打扮时尚的妹子出门被强奸你是不是还要说你穿这么骚被强奸活该啊?
sammo
2017-01-10 20:01:39 +08:00
而且你的损失,即使你是赵家人,也只能自己认栽
https://twitter.com/fangongheike 这就是专门黑 zf 网站的
sammo
2017-01-10 20:04:56 +08:00
没有这点觉悟建议你不要做网站
sammo
2017-01-10 20:05:20 +08:00
安全意识太差
kfll
2017-01-10 20:07:48 +08:00
“这不是一个安全问题也不是一个 bug ,但是我们把它修复了”
sammo
2017-01-10 20:07:52 +08:00
建议你去当律师。
Explorare
2017-01-10 20:08:41 +08:00
@sammo 我不明白你的逻辑。为什么会自己认栽?所以你的逻辑是,因为我没有善待那些未经授权的渗透测试行为,所以我系统有漏洞没人告诉我,然后我系统被入侵造成损失,所以我活该,不但给自己造成了损失还浪费了入侵者的时间和精力?
Explorare
2017-01-10 20:19:05 +08:00
@kfll 差不多就这个意思。公司为了免责不承认是安全漏洞。
sammo
2017-01-10 20:28:19 +08:00
no no 没有人会入侵你的网站
( 没有人会让你知道他们入侵了你的网站 )
foreverdreamer
2017-01-10 20:32:46 +08:00
来个类比吧。普通用户偶然间发现某网站 bug ,不要主动上报,你不干入侵的事怎么会发现漏洞呢,嫌疑太大。偶然间看到老人摔倒,不要主动上去扶,不是你碰倒的为什么要去扶呢,嫌疑太大。
Explorare
2017-01-10 20:34:57 +08:00
@sammo
>没有这点觉悟建议你不要做网站
被黑的觉悟么?就好比对一个穿着时尚的女性说你穿这么骚吃枣被强奸,做好觉悟吧,被强奸就是你活该咯。只要未经拥有着授权允许而进行的入侵渗透行为就是违法的,只不过看是否达到量刑标准了,比如 10 组金融、证券相关账号认证信息,或者 500 组一般账号认证信息。这点如何洗白?

>安全意识太差
术业有专攻,搞开发的安全技术肯定比不过专门搞安全的,也许有那样的个例样样精通,我不是那个人,也许你是。我尽我所能保证网站安全,当我认为数据价值大于维护成本时,我再专门雇佣专业人员进行入侵检测,给我报告和修复方案,这种我认为才算合法的白帽行为。不请自来还是免了。来了我可以善待,但不代表我接受。

>https://twitter.com/fangongheike 这就是专门黑 zf 网站的
不知道你贴这个链接是想表达什么?他的行为很伟大?如果他真这么伟大为什么不干掉 GFW ?保护境外网络的纯净?我看不出他这个行为有什么实际价值,只不过自己爽了罢了。要是能写篇论文论述一下怎样针对 GFW 的深度包检测和特征流量检测进行算法改进我倒是很服。

>建议你去当律师。
不敢当。我的一位朋友倒是是律师,我这点东西都是从他那里学来的,现学现卖而已。要是我随随便便就当上律师岂不是对他这么多年的努力是一种侮辱?
Explorare
2017-01-10 20:40:09 +08:00
@foreverdreamer 这里特指安全漏洞。一般的 bug 我敢放心大胆的开 ticket ,不指望啥,就图赶紧修复了让我继续用。安全漏洞嘛,我只敢匿名发,而且以我技术也找不到几个,人菜又懒。安全漏洞一般不是用户正常使用情景中会触发的吧,比如说跨站?注入?并不是一耙子打死所有开 issue 的人,而是指那些自作主张进行渗透测试的人,之后他们是闷声发大财还是主动上报了,不影响之前行为的违法性的定性。
kulove
2017-01-10 20:58:19 +08:00
从法律来说,没有授权确实违法,去年不就有个报告到乌云却被世纪佳缘报警抓起来的?
这种事情争论不出结果的,国内关于安全方面的法律还不完善。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/333501

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX