Abbiamo ricevuto un rapporto di sicurezza da un ricercatore sulla nostra istanza ospitata su Discourse. L’ho esaminato e alcuni dettagli non mi sono chiari, a causa della mia scarsa comprensione della piattaforma.
Ho letto le linee guida sulla sicurezza e sembra che dobbiamo inviarlo tramite HackerOne. Il problema è che posso chiedere loro di segnalarlo direttamente, o farlo io stesso (e potenzialmente perdere informazioni nella traduzione, dato il mio divario di conoscenza).
Dovrei semplicemente inoltrare il rapporto alla vostra email invece? In tal caso, temo che potrebbe non essere prioritario (lo menzionate nelle linee guida).
Mi scuso per queste domande, sto solo cercando di capire cosa fare dopo. Grazie per la vostra guida, amiamo quello che fate per noi!
È quasi certamente una truffa. Lo “spam di sicurezza” è un grosso problema. Ma rispondere loro con “Oh, grazie mille! Siamo molto felici che tu abbia trovato questo grave problema. Ti preghiamo di segnalarlo a Hacker One al più presto per ottenere i soldi che giustamente ti spettano” è probabilmente il modo per dimostrare ai tuoi superiori che stai facendo il tuo lavoro, mettendo a tacere anche gli spammer.
Ah! Penso che il report sia legittimo. Altrimenti non sarei qui a chiedere consiglio.
In ogni caso capisco il sentimento, sono l’unica persona devops per tutte le nostre piattaforme e diventa fastidioso con alcuni di questi “cacciatori di taglie”. Condivido comunque la tua frustrazione.
Sembra che chiunque sia abbastanza intelligente da trovare un bug in Discourse sarebbe anche abbastanza intelligente da aver scoperto la loro pagina Hacker One.
Se hanno effettivamente trovato un problema di sicurezza, mi piacerebbe saperlo quando sarà risolto!
In questo caso non è indesiderato, ho letto e verificato il report che ci è stato inviato tramite i nostri canali di policy di sicurezza. Abbiamo abbastanza sofisticazione per ridurre lo spam generico. Il report sembra essere un bug legittimo (se non ancora un problema di sicurezza, in attesa di indagini).
Non voglio che le persone qui presenti respingano ogni segnalazione, specialmente se non hanno una conoscenza completa e funzionante dei meccanismi interni di Discourse.
Ho contrassegnato una risposta precedente dello staff come il modo corretto di procedere, ovvero inviare tutte le segnalazioni a HackerOne.
Negli anni passati, noi e alcuni dei nostri clienti abbiamo avuto molteplici casi in cui un ricercatore di sicurezza si è rivolto al nostro cliente o a noi con seri problemi di sicurezza che in seguito ha segnalato tramite HackerOne. I ricercatori di sicurezza non sono sempre focalizzati sulla piattaforma; a volte esaminano la rete o i servizi legati a una specifica azienda o community. In tal caso, sembra naturale che li segnalino al proprietario effettivo del forum invece che agli sviluppatori del software. Un’ulteriore complessità è che i problemi di sicurezza potrebbero essere stati causati anche da un plugin personalizzato o da una configurazione specifica.