Ova stranica opisuje kako postupam s istraživanjem sigurnosti, kako kada prijavljujem probleme drugima, tako i kada primam prijave o projektima koje održavam. Cilj je jednostavan: ispraviti stvarne probleme uz pošteno i zakonito postupanje prema svima uključenima.

Prijava ranjivosti meni

Ako vjerujete da ste pronašli sigurnosni problem u projektu koji održavam ili kojim upravljam, pišite na security@mail.mcpsec.dev. Korisne prijave sadrže:

  • Opis problema i njegovog potencijalnog utjecaja.
  • Korake za reprodukciju ili dokaz koncepta (proof of concept).
  • Zahvaćenu verziju, URL ili komponentu.

Nastojim potvrditi primitak prijava u roku od nekoliko radnih dana. Molim vas da mi date razumnu priliku da istražim i otklonim problem prije bilo kakve javne objave te da tijekom istraživanja ne pristupate podacima koji nisu vaši, ne mijenjate ih niti uništavate.

Kako objavljujem informacije dobavljačima i održavateljima

Kada pronađem ranjivost u tuđem softveru, slijedim koordiniranu objavu:

  1. Kontaktiram održavatelja ili dobavljača privatno s tehničkim pojedinostima i smjernicama za otklanjanje.
  2. Dopuštam razumno vrijeme za razvoj i isporuku popravka, obično do 90 dana, i fleksibilan sam kada je održavatelj uključen i radi u dobroj vjeri.
  3. Objavljujem obavijest čim popravak postane dostupan ili se prozor za objavu zatvori, kako bi drugi mogli razumjeti problem i obraniti se od njega.

Kako obavještavam zahvaćene operatere stranica

Neke ranjivosti zahvaćaju velik broj instalacija dostupnih s interneta. Kada se to dogodi, mogu obavijestiti pojedine operatere da njihova stranica, po svemu sudeći, pokreće ranjivu komponentu ili komponentu na kraju životnog ciklusa. U svakom slučaju:

  • Oslanjam se isključivo na javno dostupne informacije koje stranica ionako pruža, poput manifesta verzija.
  • Ne iskorištavam ranjivost, ne pristupam privatnim podacima niti pokušavam ostvariti neovlašten pristup.
  • Obavijest upućuje na stranicu ovog sajta koja objašnjava što provjeriti i kako to ispraviti. Pogledajte Za operatere stranica.

Što nikada neću učiniti

  • Tražiti od vas novac, lozinke, vjerodajnice ili pristup vašim sustavima.
  • Vršiti pritisak na vas ili prijetiti objavom vaših podataka.
  • Pristupati podacima koji nisu moji, mijenjati ih ili izvlačiti.

Privatnost

Sigurnost i privatnost shvaćam ozbiljno. Informacije koje mi se podijele u sklopu prijave koriste se isključivo za istraživanje i otklanjanje problema te se ne prodaju niti dijele u nepovezane svrhe.