TAGS
La semana pasada, Yan Zhu, un tecnólogo personal para el público una vulnerabilidad de seguridad que descubrió con WordPress.com y cómo se deben gestionar las cookies. Más específicamente, se descubrió la cookie "wordpress_logged_in" que se envía en el claro de un punto final de la autenticación de WordPress. Ella fue capaz de utilizar la cookie autenticado para publicar blogs, ver los mensajes privados, enviar comentarios sobre otros blogs, ver sus estadísticas, y tareas administrativas relacionadas que no requieren el registro en un segundo tiempo.
Zhu contactó y como dicen las instrucciones para dentro de la. Dentro de las 24 horas de la notificación Automattic, Zhu a conocer al público la vulnerabilidad en su blog. La información fue recogida por resultando en millones de lectores Conocer el problema de seguridad antes de que exista una solución. Lo que antes era una buena acción es ahora un ejemplo de divulgación irresponsable.
De acuerdo a Wikipedia, se define como:
Un término que describe un modelo. Es como, con la particularidad de que todas las partes están de acuerdo en permitir un período de tiempo para el que ser antes de la publicación de los detalles. Los desarrolladores de hardware y software a menudo requieren tiempo y recursos para reparar sus errores.
Cuando por qué ella no se dio por Automattic más tiempo, Zhu respondió:
Sin embargo, en este caso, creo que 24 horas era una buena cantidad de tiempo. La razón principal es que el soporte SSL hoy en día es ampliamente aceptado como el mínimo * * garantía de seguridad descubierto que un sitio web debe proporcionar la información privada de los usuarios, y esto es esencialmente un error en el soporte SSL de WordPress. "Sólo enviar información de autenticación a través de SSL" ha sido la recomendación de seguridad más básica para operadores de sitios web desde hace más de 15 años.
A pesar de que van a tratar de comunicarse con el reportero dentro de las 24 horas, yo les daré al menos 72. El manual del núcleo de WordPress establece que en todos los casos, no se debe publicar los detalles. Los Automattic Formulario de presentación de los estados, "Si por casualidad usted encuentra una vulnerabilidad de seguridad en uno de nuestros servicios, apreciarían que nos deja saber antes de divulgar públicamente el tema." Tal vez el formulario de presentación de Automattic también debe solicitar que los reporteros no publican los detalles.
Cada vez que una vulnerabilidad de seguridad se da a conocer antes de que sea fijado dentro de un plazo razonable, que es la divulgación irresponsable. Por supuesto, lo que es un plazo razonable es subjetiva, pero el sentido común dicta al menos 3-5 días para escuchar una respuesta de vuelta. Además, tienen que verificar y duplicar el informe con el fin de llegar a un arreglo. Incluso si el problema ya es conocido por los atacantes o es fácil de encontrar, que no significa que sea aceptable para dar a conocer a través de los medios de comunicación. Este tipo de acciones avivar las llamas y hacen que el aspecto como el reportero mala persona.
Cuando se trata de cuánto tiempo de un marco de tiempo es aceptable antes de ir al público, todo el mundo es probable que tenga una respuesta diferente. También depende de lo que ha ido detrás de las escenas. Por ejemplo, ¿cuándo se informó y cuándo la empresa responder de nuevo? ¿Se prometen una solución, pero no han dado a conocer que en meses? En casos raros, dando a conocer una vulnerabilidad es la única manera de conseguir una empresa para actuar, pero debe ser entendido como la opción nuclear.
En los comentarios del artículo de Zhu, para el informe con una petición que permite más tiempo para actuar Automattic.
Muchas gracias por la búsqueda y la investigación de este problema. Si hay una próxima vez, sin duda le agradecería que nos dio un par de días más la próxima vez para proteger a los usuarios antes de que sea pública.
¿Cree que Zhu es en el mal por publicar detalles del problema de seguridad demasiado pronto o fue de 24 horas de tiempo suficiente para Automattic para implementar una solución? Si ha detectado un problema de seguridad y se comunica al vendedor, lo que tendría que pasar a ti convencer a afirmar que la publicidad es la única manera de que te lo arreglen?
.
