Эта страница описывает, как я обращаюсь с исследованиями безопасности, как когда я сообщаю о проблемах другим, так и когда я получаю сообщения о проектах, которые сопровождаю. Цель проста: устранять реальные проблемы, обращаясь со всеми участниками справедливо и в рамках закона.

Сообщить об уязвимости мне

Если вы полагаете, что нашли проблему безопасности в проекте, который я сопровождаю или эксплуатирую, напишите, пожалуйста, на security@mail.mcpsec.dev. Полезные сообщения содержат:

  • Описание проблемы и её потенциального воздействия.
  • Шаги для воспроизведения или проверочный пример (proof of concept).
  • Затронутую версию, URL или компонент.

Я стремлюсь подтвердить получение сообщений в течение нескольких рабочих дней. Пожалуйста, дайте мне разумную возможность изучить проблему и устранить её до любого публичного раскрытия, и во время исследования не получайте доступ к данным, которые вам не принадлежат, не изменяйте и не уничтожайте их.

Как я раскрываю информацию поставщикам и сопровождающим

Когда я нахожу уязвимость в чужом программном обеспечении, я следую скоординированному раскрытию:

  1. Я связываюсь с сопровождающим или поставщиком конфиденциально, передавая технические детали и рекомендации по устранению.
  2. Я предоставляю разумное время на разработку и выпуск исправления, как правило, до 90 дней, и проявляю гибкость, когда сопровождающий вовлечён в работу и действует добросовестно.
  3. Я публикую бюллетень безопасности, как только исправление становится доступно или окно раскрытия закрывается, чтобы другие могли понять проблему и защититься от неё.

Как я уведомляю затронутых операторов сайтов

Некоторые уязвимости затрагивают большое число установок, доступных из интернета. Когда так происходит, я могу уведомить отдельных операторов о том, что на их сайте, по всей видимости, используется уязвимый или снятый с поддержки компонент. В каждом случае:

  • Я опираюсь только на общедоступную информацию, которую сайт и так предоставляет, например на манифест версий.
  • Я не использую уязвимость, не получаю доступ к частным данным и не пытаюсь получить несанкционированный доступ.
  • Уведомление указывает на страницу этого сайта, объясняющую, что следует проверить и как это исправить. Смотрите Для операторов сайтов.

Чего я никогда не сделаю

  • Не буду просить у вас денег, паролей, учётных данных или доступа к вашим системам.
  • Не буду давить на вас или угрожать публикацией ваших данных.
  • Не буду получать доступ к данным, которые мне не принадлежат, изменять или похищать их.

Конфиденциальность

Я серьёзно отношусь к безопасности и конфиденциальности. Информацию, переданную мне в рамках сообщения, я использую исключительно для того, чтобы изучить проблему и устранить её. Она не продаётся и не передаётся для посторонних целей.