Информировать потенциальных клиентов об уязвимостях в системе безопасности?
https://stackoverflow.com/questions/52830
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Мы проводим много открытых дискуссий с потенциальными клиентами, и они часто спрашивают о нашем уровне технической экспертизы, включая объем работ по нашим текущим проектам.Первое, что я делаю, чтобы оценить уровень компетентности сотрудников, которыми они обладают сейчас или пользовались ранее, - это проверяю их на наличие уязвимостей в системе безопасности, таких как XSS и SQL-инъекция.Мне еще предстоит найти потенциального клиента, который был бы уязвим, но я начал задаваться вопросом, действительно ли они сочли бы это расследование полезным, или они подумали бы: "хм, эти ребята разнесут наш сайт в пух и прах, если мы не будем вести с ними дела". Нетехнические люди довольно легко пугаются подобных вещей, поэтому мне интересно, это проявление добросовестности или плохая деловая практика?
Решение
Я бы сказал, что удивление людей внезапным тестированием их программного обеспечения на проникновение может беспокоить людей хотя бы из-за того, что они не знали заранее.Я бы сказал, что если вы собираетесь это сделать (а я считаю, что это хороший поступок), заранее сообщите своим клиентам, что вы собираетесь это сделать.Если они кажутся немного расстроенными этим, расскажите им о преимуществах проверки на наличие человеческих ошибок с точки зрения злоумышленника в контролируемой среде.В конце концов, даже самые здравомыслящие люди совершают ошибки:уязвимость Debian PRNG является хорошим примером этого.
Другие советы
Я думаю, что это довольно субъективное решение, и разные потенциальные клиенты отреагировали бы по-разному, если бы вы рассказали им об этом.
Я думаю, что идея могла бы заключаться в том, чтобы сообщить им об этом после того, как они передадут бизнес кому-то другому.
По крайней мере, таким образом, бывший потенциальный клиент не подумает, что вы пытаетесь оказать на него давление, чтобы он отдал вам бизнес.
Я думаю, проблема с этим была бы в том, что было бы довольно сложно выполнять проверки в XSS, не испортив их сайт.Кроме того, такие вещи, как SQL-инъекция, могут быть довольно опасными.Если вы застряли с добавлением selects, возможно, у вас не возникнет особых проблем, но тогда возникает вопрос: откуда вы знаете, что он вообще выполняет введенный SQL?
Судя по тому, как вы это описали, это похоже на плохую деловую практику, которая могла бы быть полезной при некоторых изменениях.
Во-первых, Любой оценка уязвимости или тест на проникновение, который вы проводите для клиента, должны быть согласованы в письменном виде этим клиентом, и точка.Это распространяется на ваши действия юридически.Без письменного соглашения, если вы непреднамеренно нанесете ущерб (сбой приложения, отказ в обслуживании, утечка данных и т.д.) Во время проверки, вы несете ответственность и можете быть привлечены к ответственности (в соответствии с законодательством США;в других странах другие стандарты).
Даже если вы не причиняете ущерба, невежественный или потенциально злонамеренный клиент может обратиться к вам в суд с требованием возмещения ущерба;невежественный судья мог бы просто присудить им награду.
Если у вас есть письменное разрешение на это, то бесплатная оценка уязвимости для привлечения потенциальных клиентов звучит как проявление добросовестности и демонстрирует то, чего вы хотите, - ваши навыки.
