| Autore |
 Discussione  |
|
|
freesdraaa
New Member
Città: roma
42 Messaggi |
 Inserito il - 27/02/2007 : 14:26:33
|
quando uno trova una vulnerabilità su un prodotto "generico", va su securityfocus[.com] e loro la pubblicano, giusto? c'è qualcosa di simile anche per i portali specifici? tipo c'è un sito dove pubblicare le vulnerabilità trovate in un portale specifico? se non ci fosse, potrebbe essere utile fare una sezione dedicata su questo sito? che ne pensate?
Ad esempio si potrebbe fare un'area protetta in cui segnalare le vulnerabilità. In questa area possono entrarci soltanto:
a) chi ha trovato la vulnerabilità
b) chi ha il sito fallato
c) gli admin del sito che pubblica
Una volta che la vulnerabilità è stata risolta, allora la si pubblica.
A questo punto qualcuno potrebbe dire "cosa cambia se gli mandi una mail e basta?"; cambia perchè a me capita spesso di bucare dei siti e lo vado SEMPRE a dire ai webmaster che molto molto spesso non mi cagano di pezza, oppure rispondono incazzati perchè pensano che voglia fargli un danno o minacciarli quando le mie intenzioni sono delle più sincere... quindi un discorso è che gli dici "aho t ho bucato il sito" e un discorso è che un sito autorevole, invii una mail ad un webmaster dicendogli "un nostro iscritto ha trovato una vulnerabilità sul tuo portale, loggati in questa area protetta e vediti i dettagli. Ti informiamo che l'esperto in questione potrebbe richiederti un compenso per i dettagli della vulnerabilità o per risolverla"
Questo porta più importanza al sito che pubblica, porta curriculum al tizio che ha fatto la scoperta e nessuno si incazza...
Che ne pensate di questo?
|
|
|
Admin
Nazzareno Schettino Administrator
Città: Napoli
3195 Messaggi |
Inserito il - 27/02/2007 : 15:01:21
|
Ciao sto valutando la cosa con i moderatori
sembra una buona idea ma bisogna vedere i problemi legali che comporta |
 |
|
|
freesdraaa
New Member
Città: roma
42 Messaggi |
Inserito il - 28/02/2007 : 13:47:07
|
ok, parlando con un amico, mi ha fatto venire il dubbio che non mi sono spiegato bene e vorrei aggiungere qualche dettaglio.
Io intendo fare un'area protetta dove soltanto chi ha trovato la vulnerabilità e il webmaster del sito vulnerabile (al massimo anche gli amministratori del sito), possono entrare.
una volta risolta la si pubblica.
l'obiettivo è avere un'area di un sito prestigioso e conosciuto che possa fare da tramite fra la persona che scopre la vulnerabilità, e il webmaster del sito vulnerabile.
Il motivo è che un avvertimento dato da un sito prestigioso e conosciuto ha più peso di un avvertimento di un qualunque sconosciuto.
I vantaggi sarebbero:
a) per il webmaster del sito fallato, che ha delle informazioni dettagliate sulla vulnerabilità
b) per la persona che ha trovato la falla, che può arricchire il proprio curriculum con le proprie gesta
c) al sito che ospita quest'area, che è uno dei primi siti al mondo (se non il primo) ad offrire un servizio simile
d) ai naviganti del sito in questione, che quando una vulnerabilità viene risolta e pubblicata, può imparare e non commettere gli stessi errori
e) alle aziende, che possono trovare interessanti risorse umane da acquisire (qualora gli hacker vogliano dare la propria identità, chiaramente...) |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 28/02/2007 : 18:09:11
|
L'idea non è affatto male, anzi il sito sarebbe di successo, e non poco.
I problemi legali forse deriverebbero dal fatto che nascerebbe un sito composto da utenti che vanno a bucare altri siti 
Se la cosa capita "casualmente" (??) è un conto, ma se l'attività di un sito diventa quella?
Inoltre (ma questo è il mio parere) se fossi l'amministratore, non ci terrei ad avere un ritrovo di gente che buca i siti. Mica posso controllare che gente è... non ci terrei ad avere un'utente Floatman, che mi dice che ha trovato una vulnerabilità in un sito, e poi vedere il sito con scritto "hacked by Floatman"
Non so se ci siamo capiti. Però è una bella idea  |
|
|
|
Admin
Nazzareno Schettino Administrator
Città: Napoli
3195 Messaggi |
Inserito il - 01/03/2007 : 15:23:50
|
Salve mi sono consultato con il team, ed è stato deciso che la cosa per quanto interessante è sul filo della legalità e molto complessa da gestire. Soprattutto perché ci sono grosse responsabilità da parte di NoTrace è quindi della mia persona, che si dovrebbero basare solo sulla buona fede di chi segnala.
La cosa potrebbe potenzialmente nuocere all'immagine di NoTrace ed avere anche ripercussioni legali.
Ringrazio della proposta e vi invito a continuare a proporci idee e miglioramenti sono sempre molto attento alle vostre proposte, è grazie a voi che notrace sta raggiungendo e superando importanti traguardi
|
|
|
|
freesdraaa
New Member
Città: roma
42 Messaggi |
Inserito il - 02/03/2007 : 11:33:20
|
"e poi vedere il sito con scritto "hacked by Floatman" ?^???
non è che floatman defaccia un sito e poi va a dire che l ha bucato! trova una falla, senza distruggere nulla lo dice al sito che raccoglie le falle e poi viene informato il webmaster del sito bucato il quale lo ripara...
cmq vabè, era soltato per spiegare, discorso chiuso.
ciao |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 02/03/2007 : 18:21:36
|
No scusa... non mi sono spiegato bene 
Io sicuramente farei come hai detto tu, e tu faresti uguale; però tra i vari utenti del sito come faresti a giudicare la moralità degli iscritti?
Quello che volevo dire è che l'idea è buona, ma chi si prende la responsabilità di eventuali mele marce che si iscrivono al sito?
Non voleva essere una critica, solo una dura costatazione della realtà 
Ciao |
|
|
|
Feibrix
Advanced Member
Città: Ivrea
588 Messaggi |
Inserito il - 23/03/2007 : 16:11:46
|
Tu ti faresti entrare in casa degli sconosciuti, solo per sapere se la tua dimora è sicura?
ci sono aziende che si fanno pagare per questi servizi.
Legalmente credo sia come tentare di entrare in banca con una pistola per vedere se le guardie sono presenti...
non credo che qualcuno possa volerlo :P |
|
|
| |
Discussione |
|
Hacking e morale
Forum Bloccato
