Größere Transparenz über die Schwere von Sicherheitsproblemen

core · 2. April 2021 um 12:34

Ich bin der Meinung, dass das Discourse-Team bei der Transparenz bezüglich Sicherheitsproblemen besser sein könnte. Der letzte Eintrag sagt nur:

Dieses Beta-Release enthält eine Sicherheitskorrektur für Probleme, die von unserer Community und über HackerOne 8 gemeldet wurden.

Verarbeitung von verarbeitetem HTML bevorzugt mit Loofah

Ich konnte den genannten Bericht auf HackerOne jedoch nicht finden.

Idealerweise würde das Release einen Link zum HackerOne-Bericht sowie die Schwere des jeweiligen Sicherheitsproblems enthalten.

jomaxro · 2. April 2021 um 14:55

Hey @core,

Die Informationen zur Sicherheitskorrektur sind absichtlich nicht detailliert. Seiten aktualisieren mit unterschiedlicher Geschwindigkeit. Wir möchten zwar mitteilen, dass eine Sicherheitskorrektur vorgenommen wurde, aber keine Details liefern, die es böswilligen Akteuren erleichtern könnten, diese auszunutzen. Die Sicherheitskorrektur ist in der Commit-Nachricht zu finden, sodass du bei Bedarf immer in unserem GitHub-Repository nach Sicherheits-Commits suchen und die Code-Änderungen einsehen kannst.

Wir veröffentlichen unsere HackerOne-Berichte nicht. Zwar haben wir Hackern zuvor erlaubt, die Offenlegung ihrer Berichte zu beantragen, doch haben wir dies aufgrund von Missbrauch, der nach mehrfachen solchen Anfragen aufgetreten ist, eingestellt.

system · 2. Mai 2021 um 14:55

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

Thema		Antworten	Aufrufe
Security issues from automated scans Support	2	129	15. Oktober 2024
Security report from third-party researcher Support	9	169	27. November 2025
Any release notes (not just commit log) available? Support	6	998	23. April 2019
Responsible Disclosure Support	5	1222	29. Oktober 2018
3.0.0.beta16: Security release Announcements release-notes	0	1578	5. Januar 2023

Größere Transparenz über die Schwere von Sicherheitsproblemen

Verwandte Themen