Αυτή η σελίδα περιγράφει πώς χειρίζομαι την έρευνα ασφαλείας, τόσο όταν αναφέρω ζητήματα σε άλλους όσο και όταν λαμβάνω αναφορές για έργα που συντηρώ. Ο στόχος είναι απλός: να διορθώνονται τα πραγματικά προβλήματα, αντιμετωπίζοντας όλους τους εμπλεκόμενους δίκαια και νόμιμα.

Αναφορά ευπάθειας σε εμένα

Αν πιστεύετε ότι έχετε βρει ένα ζήτημα ασφαλείας σε ένα έργο που συντηρώ ή χειρίζομαι, στείλτε παρακαλώ email στο security@mail.mcpsec.dev. Οι χρήσιμες αναφορές περιλαμβάνουν:

  • Μια περιγραφή του ζητήματος και του πιθανού αντίκτυπού του.
  • Βήματα αναπαραγωγής ή μια απόδειξη ιδέας (proof of concept).
  • Την επηρεαζόμενη έκδοση, URL ή στοιχείο.

Στοχεύω να επιβεβαιώσω τη λήψη των αναφορών εντός λίγων εργάσιμων ημερών. Παρακαλώ δώστε μου μια εύλογη ευκαιρία να διερευνήσω και να αποκαταστήσω το ζήτημα πριν από οποιαδήποτε δημόσια γνωστοποίηση, και μην αποκτάτε πρόσβαση, τροποποιείτε ή καταστρέφετε δεδομένα που δεν σας ανήκουν κατά τη διάρκεια της έρευνας.

Πώς γνωστοποιώ σε προμηθευτές και συντηρητές

Όταν βρίσκω μια ευπάθεια στο λογισμικό κάποιου άλλου, ακολουθώ τη συντονισμένη γνωστοποίηση:

  1. Επικοινωνώ με τον συντηρητή ή τον προμηθευτή ιδιωτικά, με τις τεχνικές λεπτομέρειες και οδηγίες αποκατάστασης.
  2. Δίνω εύλογο χρόνο για την ανάπτυξη και την κυκλοφορία μιας διόρθωσης, συνήθως έως 90 ημέρες, και είμαι ευέλικτος όταν ένας συντηρητής είναι ενεργά αφοσιωμένος και εργάζεται καλόπιστα.
  3. Δημοσιεύω ένα δελτίο ασφαλείας μόλις γίνει διαθέσιμη μια διόρθωση ή κλείσει το παράθυρο γνωστοποίησης, ώστε οι άλλοι να μπορούν να κατανοήσουν το ζήτημα και να αμυνθούν απέναντί του.

Πώς ειδοποιώ επηρεαζόμενους χειριστές ιστοτόπων

Ορισμένες ευπάθειες επηρεάζουν μεγάλο αριθμό εγκαταστάσεων με πρόσβαση από το διαδίκτυο. Όταν συμβαίνει αυτό, ενδέχεται να ειδοποιήσω μεμονωμένους χειριστές ότι ο ιστότοπός τους φαίνεται να εκτελεί ένα ευπαθές ή εκτός κύκλου ζωής στοιχείο. Σε κάθε περίπτωση:

  • Βασίζομαι μόνο σε δημόσια διαθέσιμη πληροφορία που ο ιστότοπος ήδη παρέχει, όπως ένα μανιφέστο εκδόσεων.
  • Δεν εκμεταλλεύομαι την ευπάθεια, δεν αποκτώ πρόσβαση σε ιδιωτικά δεδομένα και δεν επιχειρώ να αποκτήσω μη εξουσιοδοτημένη πρόσβαση.
  • Η ειδοποίηση παραπέμπει σε μια σελίδα αυτού του ιστοτόπου που εξηγεί τι να ελέγξετε και πώς να το διορθώσετε. Δείτε Για χειριστές ιστοτόπων.

Τι δεν θα κάνω ποτέ

  • Να σας ζητήσω χρήματα, κωδικούς πρόσβασης, διαπιστευτήρια ή πρόσβαση στα συστήματά σας.
  • Να σας πιέσω ή να σας απειλήσω με δημοσίευση των στοιχείων σας.
  • Να αποκτήσω πρόσβαση, να αλλοιώσω ή να εξαγάγω δεδομένα που δεν μου ανήκουν.

Απόρρητο

Λαμβάνω σοβαρά την ασφάλεια και το απόρρητο. Οι πληροφορίες που μοιράζεστε μαζί μου ως μέρος μιας αναφοράς χρησιμοποιούνται μόνο για τη διερεύνηση και την αποκατάσταση του ζητήματος, και δεν πωλούνται ούτε κοινοποιούνται για άσχετους σκοπούς.