Politika objave
Ova stranica opisuje kako postupam s istraživanjem sigurnosti, kako kada prijavljujem probleme drugima, tako i kada primam prijave o projektima koje održavam. Cilj je jednostavan: ispraviti stvarne probleme uz pošteno i zakonito postupanje prema svima uključenima.
Prijava ranjivosti meni
Ako vjerujete da ste pronašli sigurnosni problem u projektu koji održavam ili kojim upravljam, pišite na security@mail.mcpsec.dev. Korisne prijave sadrže:
- Opis problema i njegovog potencijalnog utjecaja.
- Korake za reprodukciju ili dokaz koncepta (proof of concept).
- Zahvaćenu verziju, URL ili komponentu.
Nastojim potvrditi primitak prijava u roku od nekoliko radnih dana. Molim vas da mi date razumnu priliku da istražim i otklonim problem prije bilo kakve javne objave te da tijekom istraživanja ne pristupate podacima koji nisu vaši, ne mijenjate ih niti uništavate.
Kako objavljujem informacije dobavljačima i održavateljima
Kada pronađem ranjivost u tuđem softveru, slijedim koordiniranu objavu:
- Kontaktiram održavatelja ili dobavljača privatno s tehničkim pojedinostima i smjernicama za otklanjanje.
- Dopuštam razumno vrijeme za razvoj i isporuku popravka, obično do 90 dana, i fleksibilan sam kada je održavatelj uključen i radi u dobroj vjeri.
- Objavljujem obavijest čim popravak postane dostupan ili se prozor za objavu zatvori, kako bi drugi mogli razumjeti problem i obraniti se od njega.
Kako obavještavam zahvaćene operatere stranica
Neke ranjivosti zahvaćaju velik broj instalacija dostupnih s interneta. Kada se to dogodi, mogu obavijestiti pojedine operatere da njihova stranica, po svemu sudeći, pokreće ranjivu komponentu ili komponentu na kraju životnog ciklusa. U svakom slučaju:
- Oslanjam se isključivo na javno dostupne informacije koje stranica ionako pruža, poput manifesta verzija.
- Ne iskorištavam ranjivost, ne pristupam privatnim podacima niti pokušavam ostvariti neovlašten pristup.
- Obavijest upućuje na stranicu ovog sajta koja objašnjava što provjeriti i kako to ispraviti. Pogledajte Za operatere stranica.
Što nikada neću učiniti
- Tražiti od vas novac, lozinke, vjerodajnice ili pristup vašim sustavima.
- Vršiti pritisak na vas ili prijetiti objavom vaših podataka.
- Pristupati podacima koji nisu moji, mijenjati ih ili izvlačiti.
Privatnost
Sigurnost i privatnost shvaćam ozbiljno. Informacije koje mi se podijele u sklopu prijave koriste se isključivo za istraživanje i otklanjanje problema te se ne prodaju niti dijele u nepovezane svrhe.