إبلاغ العملاء المحتملين بالثغرات الأمنية؟
https://stackoverflow.com/questions/52830
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لدينا الكثير من المناقشات المفتوحة مع العملاء المحتملين، وهم يسألون بشكل متكرر عن مستوى خبرتنا الفنية، بما في ذلك نطاق العمل لمشاريعنا الحالية.أول شيء أفعله لقياس مستوى خبرة الموظفين الذين استخدموهم الآن أو استخدموهم سابقًا هو التحقق من الثغرات الأمنية مثل XSS وحقن SQL.لم أجد بعد عميلًا محتملًا ضعيفًا ، لكنني بدأت أتساءل ، هل يعتقدون فعلاً أن هذا التحقيق مفيد ، أم أنهم يعتقدون ، "أم ، سوف يقوم هؤلاء الرجال بمهمة موقعنا إذا لم نتعامل معهم " يخاف الأشخاص غير التقنيين بسهولة من هذه الأشياء ، لذلك أتساءل هل هذا عرض لحسن النية ، أو ممارسة تجارية سيئة؟
المحلول
أود أن أقول إن مفاجأة الناس عن طريق اختبار الاختراق المفاجئ لبرامجهم قد يزعج الناس لمجرد أنهم لم يعرفوا ذلك مسبقًا.أود أن أقول إذا كنت ستفعل هذا (وأعتقد أنه أمر جيد القيام به)، فأخبر عملائك مسبقًا أنك ستفعل ذلك.إذا بدوا مذهولين قليلاً من هذا، أخبرهم بفوائد التحقق من الخطأ البشري من وجهة نظر المهاجم في بيئة خاضعة للرقابة.ففي النهاية، حتى الأشخاص الأكثر أمانًا يرتكبون الأخطاء:وتعد ثغرة Debian PRNG مثالاً جيدًا على ذلك.
نصائح أخرى
أعتقد أن هذا قرار شخصي إلى حد ما، وسيكون رد فعل العملاء المحتملين مختلفًا بشكل مختلف إذا أخبرتهم بذلك.
أعتقد أن الفكرة قد تكون إخبارهم بذلك بعد أن يتنازلوا عن عمل لشخص آخر.
بهذه الطريقة على الأقل، لن يعتقد العميل المحتمل السابق أنك تحاول الضغط عليه ليمنحك العمل.
أعتقد أن المشكلة في هذا ستكون أنه سيكون من الصعب جدًا إجراء فحوصات على XSS دون إفساد موقعهم.أيضًا، قد تكون أشياء مثل حقن SQL خطيرة جدًا.إذا علقت في إلحاق التحديدات، فقد لا تواجه مشكلة كبيرة، ولكن السؤال هو، كيف تعرف أنه ينفذ SQL الذي تم إدخاله؟
من الطريقة التي وصفتها بها، يبدو أنها ممارسة تجارية سيئة يمكن أن تكون مفيدة مع بعض التعديل.
أولا، أي ينبغي الاتفاق على تقييم الضعف أو اختبار الاختراق الذي تجريه على العميل في الكتابة من قبل ذلك العميل، الفترة.وهذا يغطي أفعالك من الناحية القانونية.بدون اتفاقية مكتوبة، إذا تسببت عن غير قصد في حدوث ضرر (تعطل التطبيق، رفض الخدمة، تسرب البيانات، وما إلى ذلك) أثناء الفحص، فأنت مسؤول ويمكن أن يتم محاسبتك (بموجب قانون الولايات المتحدة؛الدول الأخرى لديها معايير مختلفة).
حتى لو لم تتسبب في ضرر، يمكن للعميل الجاهل أو الذي يحتمل أن يكون خبيثًا أن يأخذك إلى المحكمة للمطالبة بالتعويضات؛قد يمنحهم القاضي الجاهل فقط.
إذا كنت قد حصلت على تصريح كتابي للقيام بذلك، فإن تقييم الضعف المجاني لجذب العملاء المحتملين يبدو وكأنه إظهار لحسن النية ويوضح ما تريده - مهاراتك.
