Wir haben einen Sicherheitsbericht von einem Forscher auf unserer Discourse-gehosteten Instanz erhalten. Ich habe ihn durchgelesen und einige Details sind mir aufgrund meines mangelnden Verständnisses der Plattform unklar.
Ich habe die Sicherheitsrichtlinien gelesen und es scheint, dass wir ihn über HackerOne einreichen müssen. Das Problem ist, dass ich entweder sie bitten kann, direkt zu berichten, oder es selbst tun kann (und möglicherweise Informationen bei der Übersetzung verliere, angesichts meiner Wissenslücke).
Soll ich den Bericht stattdessen einfach per E-Mail weiterleiten? In diesem Fall befürchte ich, dass er möglicherweise nicht priorisiert wird (Sie erwähnen das in den Richtlinien).
Entschuldigen Sie diese Fragen, ich versuche nur herauszufinden, was als Nächstes zu tun ist. Vielen Dank für Ihre Anleitung, wir lieben, was Sie alles für uns tun!
Es ist fast sicher gefälscht. „Security Spam“ ist ein großes Problem. Aber darauf mit „Oh, vielen Dank! Wir freuen uns sehr, dass Sie dieses ernste Problem gefunden haben. Bitte melden Sie es so schnell wie möglich an Hacker One, um das Geld zu erhalten, das Sie zu Recht reservieren.“ zu antworten, ist wahrscheinlich der Weg, Ihren Vorgesetzten zu beweisen, dass Sie Ihre Arbeit tun, und gleichzeitig die Spammer zum Schweigen zu bringen.
Hah! Ich glaube, der Bericht ist echt. Sonst wäre ich nicht hierher gekommen, um Rat zu suchen.
Auf jeden Fall verstehe ich die Meinung. Ich bin die einzige DevOps-Person für all unsere Plattformen, und es ist ziemlich nervig mit einigen dieser „Beg-Bounty“-Jäger. Ich teile aber deine Frustration.
In diesem Fall ist meine Antwort ebenfalls angemessen.
Es scheint, dass jeder, der clever genug ist, einen Fehler in Discourse zu finden, auch clever genug wäre, von ihrer Hacker-One-Seite erfahren zu haben.
Wenn sie tatsächlich ein Sicherheitsproblem gefunden haben, würde ich gerne davon hören, wenn es behoben ist!
Wenn Sie den Bericht unaufgefordert erhalten haben, handelt es sich mit ziemlicher Sicherheit um Spam. Ich erwähne dies nur für andere Personen, die den Thread lesen.
In diesem Fall handelt es sich nicht um unerwünschte Nachrichten. Ich habe den Bericht, der uns über unsere eigenen Kanäle für Sicherheitspolitik übermittelt wurde, gelesen und überprüft. Wir verfügen über genügend ausgefeilte Mittel, um generischen Spam zu reduzieren. Der Bericht scheint ein legitimer Fehler zu sein (wenn auch noch keine Sicherheitsproblematik, die Untersuchung steht noch aus).
Ich möchte nicht, dass Leute hierher kommen und jeden Bericht abtun, insbesondere wenn sie keine vollständige Kenntnis der internen Funktionsweise von Discourse haben.
Ich habe eine frühere Antwort des Personals als den richtigen Weg markiert, nämlich alle Berichte an HackerOne zu übermitteln.
In den vergangenen Jahren hatten wir und einige unserer Kunden mehrere Fälle, in denen sich ein Sicherheitsforscher mit schwerwiegenden Sicherheitsproblemen an unseren Kunden oder an uns wandte, die er/sie später über HackerOne meldete. Sicherheitsforscher konzentrieren sich nicht immer auf die Plattform; manchmal betrachten sie das Netzwerk oder Dienste, die mit einem bestimmten Unternehmen oder einer bestimmten Community verbunden sind. In einem solchen Fall ist es naheliegend, dass sie es dem tatsächlichen Eigentümer des Forums melden, anstatt den Entwicklern der Software. Eine zusätzliche Komplexität besteht darin, dass die Sicherheitsprobleme auch durch ein maßgeschneidertes Plugin oder eine spezifische Konfiguration verursacht worden sein könnten.