Je connais plusieurs personnes qui se trouvaient dans une situation pareille.
Disons que vous avez essayé des sites aléatoires pour les vulnérabilités de base de l'injection XSS / SQL et que vous en avez trouvé un qui pourrait être facilement compromis. Vous envoyez un e-mail à l'administrateur / au webmaster, mais ils ne répondent pas.
Qu'est-ce que tu ferais?
C'est facile:
Et si vous êtes en train de faire maintenant:
Vous pouvez trouver votre serviabilité être remboursé par face à des accusations criminelles.
(désolé de crier, mais même quelqu'un avec les motifs les plus purs peuvent être pris dans beaucoup de chagrin que pourrait prendre des mois ou des années à se dévoiler. J'ai utilisé pour traquer les systèmes de craquelins à mon ancien travail, et une fois que nous avons déterminé un IP adresse/numéro de téléphone/adresse physique nous l'avons tourné à la police de faire le tri.)
Je ne voudrais pas présumer que l'absence de réponse signifie qu'aucune action n'a été prise. Si j'étais sur la fin de réception de cet e-mail, j'aurais deux questions. Le plus évident est l'identification et la correction de la vulnérabilité dans le code. L'autre préoccupation est de savoir qui est ce gars, et pourquoi est-il en train de craquer mon site?
Souhaitez-vous marcher en bas de votre rue et essayer à chaque bouton de porte pour vérifier que tout le monde avait verrouillé la porte de leur domicile? Quelqu'un essaie simplement des sites aléatoires pour des trous de sécurité semble suspect seulement par la nature de ses actions.
La dernière chose que je ferais serait de lui un email de retour. Ce serait bien d'encourager plus de fissuration tentatives. Je ne sais pas si je serait à son tour sur l'e-mail et l'adresse IP à la police. Je pense que cela dépendra du contenu de l'email et les informations que je pouvais trouver sur l'expéditeur. Si la personne qui a envoyé le courriel a été un spécialiste de la sécurité qui a découvert une vulnérabilité par des essais ou par entendre parler de quelqu'un d'autre, je voudrais répondre en arrière. La Sears violation de la sécurité que Ben Edelman contacté Sears sujet en est un bon exemple lors de l'accusé de réception doit être envoyé.
Maintenant, si vous aviez trouver une vulnérabilité par l'utilisation normale du site, je pense qu'un accusé de réception de votre e-mail serait une simple question de courtoisie.
Vous devez également tenir compte de la gravité de la vulnérabilité et combien de temps il faut pour corriger cela. Si un consommateur à la vie privée est violée, elle doit être traitée immédiatement. Si ce n'est pas un problème critique, la société aura besoin de prévoir du temps pour étudier et résoudre le problème.
Si le problème était une grave violation de la vie privée et l'action immédiate n'était pas pris, j'irais jusqu'à la chaîne de commande de la société. Si c'est un problème grave et vous pouvez communiquer efficacement, quelqu'un à un certain niveau de le remarquer. Si cela échoue, je le prendrais un défenseur des consommateurs de groupe comme la Consommation ou d'un bien connues de l'expert en sécurité comme Ben Edelman.
Asseyez-vous dessus.
J'ai reçu ces e-mails et, bien que nous n'ayons pas répondu à l'auteur d'origine, cela nous a forcés (les développeurs) et la direction à s'asseoir un peu plus en sécurité, et les problèmes ont été corrigés. .
Si non, que pouvez-vous faire d'autre? Restez en dehors de ça ... Quelqu'un va pirater le site un jour et peut-être va-t-il commencer à s'en soucier, mais il ne vous montrera pas le doigt
Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
