Nous avons reçu un rapport de sécurité d’un chercheur sur notre instance hébergée par Discourse. Je l’ai examiné et certains détails ne me sont pas clairs, en raison de mon manque de compréhension de la plateforme.
J’ai lu les directives de sécurité, et il semble que nous devions le soumettre via HackerOne. Le problème est que je peux soit leur demander de signaler directement, soit le faire moi-même (et potentiellement perdre des informations dans la traduction, étant donné mon manque de connaissances).
Devrais-je simplement vous transmettre le rapport par e-mail à la place ? Dans ce cas, je crains qu’il ne soit pas prioritaire (vous le mentionnez dans les directives).
Désolé pour ces questions, j’essaie juste de comprendre ce qu’il faut faire ensuite. Merci pour vos conseils, nous aimons tout ce que vous faites pour nous !
C’est presque certainement bidon. Le « spam de sécurité » est un gros problème. Mais y répondre par « Oh, merci beaucoup ! Nous sommes très heureux que vous ayez trouvé ce problème grave. Veuillez le signaler à Hacker One dès que possible pour obtenir l’argent que vous réservez si justement. » est probablement la façon de prouver à vos supérieurs que vous faites votre travail tout en faisant taire les spammeurs.
Hah ! Je pense que le rapport est légitime. Je ne serais pas venu ici autrement pour chercher des conseils.
Quoi qu’il en soit, je comprends le sentiment, je suis la seule personne en charge des opérations pour toutes nos plateformes et cela devient ennuyeux avec certains de ces chasseurs de primes. Je partage votre frustration cependant.
Il semble que quiconque assez intelligent pour trouver un bug dans Discourse serait également assez intelligent pour avoir découvert leur page Hacker One.
S’ils ont réellement trouvé un problème de sécurité, j’aimerais en être informé une fois qu’il sera résolu !
Si vous avez reçu le rapport de manière non sollicitée, il s’agit presque certainement de spam. Je ne mentionne cela que pour les autres personnes qui lisent le fil de discussion.
Dans ce cas, ce n’est pas non sollicité, j’ai lu et vérifié le rapport qui nous a été soumis via nos propres canaux de politique de sécurité. Nous avons suffisamment de sophistication pour réduire le spam générique. Le rapport semble être un véritable bug (sinon un problème de sécurité pour le moment, en attente d’enquête).
Je ne veux pas que les gens arrivent ici en rejetant chaque rapport, surtout s’ils manquent de connaissances complètes et fonctionnelles des rouages de Discourse.
J’ai marqué une réponse précédente du personnel comme étant la bonne approche, à savoir soumettre tous les rapports à HackerOne.
Au cours des dernières années, nous et certains de nos clients avons eu plusieurs cas où un chercheur en sécurité s’est adressé à notre client ou à nous pour signaler des problèmes de sécurité graves qu’il a ensuite rapportés via HackerOne. Les chercheurs en sécurité ne se concentrent pas toujours sur la plateforme ; parfois, ils s’intéressent au réseau ou aux services liés à une entreprise ou une communauté spécifique. Dans un tel cas, il leur semble naturel de le signaler au propriétaire réel du forum plutôt qu’aux développeurs du logiciel. Une complexité supplémentaire est que les problèmes de sécurité pourraient également avoir été causés par un plugin personnalisé ou une configuration spécifique.