こんにちは。
Discourseホストインスタンスに関するセキュリティレポートを受け取りました。内容を確認しましたが、プラットフォームに関する知識不足のため、不明瞭な点がいくつかあります。
セキュリティガイドラインを読んだところ、HackerOne経由で提出する必要があるようです。問題は、直接報告してもらうか、私自身が報告するか(知識のギャップから翻訳で情報が失われる可能性あり)のどちらかを選択できることです。
代わりに、レポートをあなたのメールアドレスに転送してもよろしいでしょうか?その場合、ガイドラインで言及されているように、優先度が低くなるのではないかと懸念しています。
このような質問をしてしまい申し訳ありません。次に何をすべきか考えているだけです。ご指導ありがとうございます。皆さんの活動には感謝しています!
よろしくお願いいたします。
研究者にはまずHackerOneに提出するように依頼してみてください。通常、研究者はそれを好みます。
ほぼ間違いなく偽物です。「セキュリティスパム」は大きな問題です。しかし、それらに「ああ、どうもありがとうございます!この深刻な問題を見つけていただき大変嬉しく思います。できるだけ早く Hacker One に報告して、当然の報酬を得てください。」と返信することは、上司に仕事をしていることを証明し、スパマーを黙らせる方法でしょう。
幸運を祈ります。
承知いたしました。確認ありがとうございます。
ハハ!レポートは本物だと思います。そうでなければ、アドバイスを求めてここに来ることはなかったでしょう。
いずれにせよ、その気持ちはわかります。私はすべてのプラットフォームの唯一のデブオプス担当者であり、これらの「バウンティ乞食」にはうんざりしています。しかし、あなたのフラストレーションは理解できます。
乾杯。
その場合、私の返答も適切です。
Discourseのバグを見つけられるほど賢い人なら、Hacker Oneのページについても見つけられるはずです。
もし実際にセキュリティ上の問題を見つけたのであれば、解決されたらぜひ聞かせてください!
もし、そのレポートを依頼していないのに受け取ったのであれば、ほぼ間違いなくスパムです。このスレッドを読んでいる他の人のために言及しておきます。
ありがとうございます。スパムに関する件は承知いたしました。
今回の件は、スパムではありません。セキュリティポリシーのチャネルを通じて提出されたレポートを、私たち自身で読み、検証しました。私たちは、一般的なスパムを削減するための十分な洗練度を持っています。このレポートは、調査待ちですが、正規のバグ(セキュリティ上の問題ではないにしても)であると思われます。
特にDiscourseの内部動作について完全な知識を持っていない人々が、すべてのレポートを却下するようなことがあってほしくありません。
以前、スタッフが回答した「すべてのレポートをHackerOneに提出する」という方法が正しいと考え、それを正しい回答としてマークしました。
よろしくお願いいたします!
@raisedadeadさんの経験に同意します。
過去数年間、私や一部のクライアントは、セキュリティ研究者がクライアントまたは私たちに連絡し、後にHackerOneを通じて報告された深刻なセキュリティ問題が複数ありました。セキュリティ研究者は必ずしもプラットフォームに焦点を当てているわけではありません。時には、特定の企業やコミュニティに関連するネットワークやサービスを調査していることもあります。そのような場合、ソフトウェアの開発者ではなく、フォーラムの実際の所有者に報告するのが自然だと感じられます。さらに複雑なのは、セキュリティ問題がカスタムプラグインや特定の構成によって引き起こされた可能性もあることです。