Sortieren nach:  Datum - neue zuerst |  Datum - alte zuerst |  Bewertung

18. Dezember 2018: Von Tee Jay an Jan Brill

Na dann wird es (auch in dieser Hinsicht) Zeit für ein Update was Bug-Bounties sind.

Selbstverständlich werden Bug-Bounties für die aktuellen in freier Wildbahn bestehenden Produktivsysteme ausgerufen. Das ist die Challenge. Denn jemand, der "dagegenklopft" gerät ohne öffentlich ausgerufene Autorisierung oder Zustimmung des Betreibers UND einer klarer Defintion bzw. Teilnahmebedingungen in eine juristische Falle, wenn versucht wird irgendwelche (vermeintliche) Schutz-Maßnahmen zu überwinden.

Selbstverständlich wird verantwortlich mit etwaig so erlangten Daten umgegangen, denn es geht allein darum, eine Machbarkeit zu zeigen. Zum Beispiel wird anstelle eines Exploit-Codes einfach nur ein angezeigt, oder auf die Startseite redirected etc.

Es bedarf nur eine öffentliche Autorisierung und einer klaren Haftungsfreistellung. Der Benefit: Ein Quell an Informationen und Schwachstellen, die man jenseits des eigenen Scopes zuvor nicht hatte (und die man ohne Bug-Bounty auch nie bekommen würde) und die helfen eine Website/Software über die Zeit zu verbessern. By the way: Ein Qualitätsmerkmal für jeden Betreiber einer eCommerce-Plattform oder einer Software wenn er ein Bug-Bounty Programm betreibt. Das Verringert die Wahrscheinlichkeit, daß einem sowas passiert.

---

Was anderes, eine unschöne Kleinigkeit was Datenschutz und Consent betrifft:

den "accept-on-timeout" Switch bei dem Cookiebanner vielleicht herausnehmen, hat irgendwie einen Beigeschmack einer Täuschungshandlung wenn das Cookie zur Einholung eines informierten Consent, automatisch nach n-Sekunden gesetzt wird.

Ach und nochetwas wenn wir schon beim Beigeschmack sind. Es hat viel von Unredlichkeit, wenn man wiedeholt oberflächliche Findings bejammert, von denen ich selbst zuvor geschrieben habe, daß diese "im vorbeigehen" erstellt wurden zumal explizit im Eingangspost um kurzen Feedback gebeten wurde, wenn etwas auf der Website "herumzicken" sollte. Ein Dank und eine Deeskalation wären wohl in Anbetracht der anderen Kommentare und einer positiven Diskussionskultur angemessener gewesen. Nur so als Gedanke.
Bewerten Antworten

1 Beiträge
Seite 1 von 1




Home
Impressum 		© 2004-2025 Airwork Press GmbH. Alle Rechte vorbehalten. Vervielfältigung nur mit Genehmigung der Airwork Press GmbH. Die Nutzung des Pilot und Flugzeug Internet-Forums unterliegt den allgemeinen Nutzungsbedingungen (hier). Es gelten unsere Datenschutzerklärung unsere Allgemeinen Geschäftsbedingungen (hier). Kartendaten: © OpenStreetMap-Mitwirkende, SRTM | Kartendarstellung: © OpenTopoMap (CC-BY-SA) Hub Version 14.28.22
Zur normalen Ansicht wechseln 		Seitenanfang