Jan, wie wäre es wenn Du als Zeichen Deiner festen Überzeugung ein PuF Bug-Bounty ausrufst? Hier öffentlich! Gezeigt werden soll selbstverständlich nur die Machbarkeit. Offen und transparent hier im Forum, das für seine offenen Worte und für seine Toleranz so berühmt ist. Es geht nicht um Reichtümer, sondern nur um eine kleine Motivation! Sagen wir ein Jahr PuF und Jeppesen Abo? Das bricht niemanden ein Zacke aus der Krone.

Hallo Herr Jacobs,

das ist 'ne tolle Idee, das machen wir sofort. Ich will nur nochmal rückfragen ob ich das richtig verstanden habe: Ich gebe also nicht nur unfreiwillig Gelegenheit (=Sicherheitslücke) sondern zusätzlich und vorsätzlich auch noch Erlaubnis (=Auslobung) und Anreiz (=Prämie) für jedermann sich in einem Produktionssystem Zugriff auf geschützte persönliche Daten und E-Mail-Kommunikation anderer zu verschaffen.

What can possibly go wrong?

Ich war zwar nur sechs Jahre beruflich in der IT und habe viel vergessen, aber ich gehe nochmal auf meine alten Aufzeichnungen aus der Investment Bank zurück ... ja ... da steht's ja – genau: Security Challenges macht man immer mit dem Produktionssystem!

Cool!

Jan Brill

P.S. Welche "feste Überzeugung" ? Habe nie behauptet das System sei komplett safe oder auch nur besonders safe. Wie könnte ich? Ich weiss ja, dass es sichere Webserver nur von Ihnen gibt! Ich habe lediglich behauptet dass Sie bei Ihren Findings ziemlich oberflächlich gearbeitet haben und eine Anzahl der Findings haltlos sind (andere nicht). Ist Differenzieren echt so schwer?

... den Post kann ich auch nicht bearbeiten, vielleicht weil ich in Sunny Florida dem vollen Sonnenschein ausgesetzt bin ?

... mein vorhergehender Post ist jetzt verschwunden. Das war die Frage, warum ich nicht bewerten, aber eine Antwort schreiben kann.

Na dann wird es (auch in dieser Hinsicht) Zeit für ein Update was Bug-Bounties sind.

Selbstverständlich werden Bug-Bounties für die aktuellen in freier Wildbahn bestehenden Produktivsysteme ausgerufen. Das ist die Challenge. Denn jemand, der "dagegenklopft" gerät ohne öffentlich ausgerufene Autorisierung oder Zustimmung des Betreibers UND einer klarer Defintion bzw. Teilnahmebedingungen in eine juristische Falle, wenn versucht wird irgendwelche (vermeintliche) Schutz-Maßnahmen zu überwinden.

Selbstverständlich wird verantwortlich mit etwaig so erlangten Daten umgegangen, denn es geht allein darum, eine Machbarkeit zu zeigen. Zum Beispiel wird anstelle eines Exploit-Codes einfach nur ein angezeigt, oder auf die Startseite redirected etc.

Es bedarf nur eine öffentliche Autorisierung und einer klaren Haftungsfreistellung. Der Benefit: Ein Quell an Informationen und Schwachstellen, die man jenseits des eigenen Scopes zuvor nicht hatte (und die man ohne Bug-Bounty auch nie bekommen würde) und die helfen eine Website/Software über die Zeit zu verbessern. By the way: Ein Qualitätsmerkmal für jeden Betreiber einer eCommerce-Plattform oder einer Software wenn er ein Bug-Bounty Programm betreibt. Das Verringert die Wahrscheinlichkeit, daß einem sowas passiert.

---

Was anderes, eine unschöne Kleinigkeit was Datenschutz und Consent betrifft:

den "accept-on-timeout" Switch bei dem Cookiebanner vielleicht herausnehmen, hat irgendwie einen Beigeschmack einer Täuschungshandlung wenn das Cookie zur Einholung eines informierten Consent, automatisch nach n-Sekunden gesetzt wird.

Ach und nochetwas wenn wir schon beim Beigeschmack sind. Es hat viel von Unredlichkeit, wenn man wiedeholt oberflächliche Findings bejammert, von denen ich selbst zuvor geschrieben habe, daß diese "im vorbeigehen" erstellt wurden zumal explizit im Eingangspost um kurzen Feedback gebeten wurde, wenn etwas auf der Website "herumzicken" sollte. Ein Dank und eine Deeskalation wären wohl in Anbetracht der anderen Kommentare und einer positiven Diskussionskultur angemessener gewesen. Nur so als Gedanke.

Hihi, Klasse :-)) Und was bietet Meister Tee Jay im Gegenzug, sollte er wider sein Erwarten vor den Toren des Servers scheitern und verzagen...??

Ich bitte um eine Umkehrkurve mit Gauklern, Narren und Schaulustigen. Noch lieber wäre mir natürlich, (s)ein Zentralrohr-Mickey zu teeren und zu federn, ähnlich den H. A. auf den legendären Parties, da machen die das doch alljährlich mit 'ner Reisrakete... ich lach mich scheggelig. DAAAS gibt ein Fest... ;-)

Nachtrag:

Paradiesvögel.... Paradiesvögel bitte auch zwischen den Gauklern, Narren, Schaulustigen und Mickey-Dompteuren.... Paradiesvögel und ein paar Drag Queens vielleicht

(ich antworte einfach dem letzten)

Kann ehrlich gesagt nicht verstehen, warum dieser Thread nicht zugemacht wird.

Und dafür einige unserer politischen und verschwörungstheoretischen Threads wieder aufgemacht werden :-)

„Kann ehrlich gesagt nicht verstehen, warum dieser Thread nicht zugemacht wird.„

WEil mein Flieger in der Werft ist und das Wetter Sch....