Follow

Responsible Disclosure Prozesse sind inzwischen wahlweise an der folgenden Stelle kaputt:
- bringen dir Anzeigen ein
- bringen dir komisches PR-Gegen-Getöse ein
- bringen dir nicht mal einen feuchten Händedruck

Eigentlich sollte das ganz anders laufen…

· · Web · 3 · 5 · 14

… setzt einen Responsible Disclosure Prozess auf, schafft Kontaktmöglichkeiten, aber schreibt bitte nicht schon in den Prozess so nen Unsinn von wegen "Veröffentlichung ist nicht". Wenn es schon kaum Geld für den Aufwand gibt, könnt ihr nicht erwarten, dass es nicht veröffentlicht werden sollte.

Ehrliche Attribution von Security Findings ist auch ne Art Währung.
Klar, es gibt z.B. Open Source Projekte, die keine fetten Bounties zahlen können, aber dann ist es ja das Mindeste kommunikativ professionell damit umzugehen.

Eh ein Wunder, dass es immer noch Menschen gibt, die sich immer noch mit teils arg kaputten Systemen beschäftigen und die aus eigenem Antrieb durch Findings besser machen wollen.
Ein Vorgehen ala oder (beides schlechte Beispiele) nimmt jegliche Motivation.

Sicherheitsforscher*innen brauchen heute wahlweise eine Team von Jurist*innen oder ein PR-Team um sowas auch durchziehen zu können, weil sie sonst möglichen rechtlichen oder medialen Gegendruck schlecht aushalten können.

Eigentlich ist das mit Security Problemen ein Prozess, bei dem sich die Betreiberin einer App aufrichtig für einen konstruktiven Hinweis im Rahmen der eigenen Möglichkeiten bedankt. So wird das Security-Level sukzessive gemeinsam besser – und nicht gegeneinander.

Rant Ende.

Soli mit Lilith und danke für das immer noch Kritisch-Draufschauen.

@bkastl
Ich versteh auch dieses Verhalten nicht... Warum werden Menschen die auf Sicherheitsprobleme hinweisen so verfolgt? Ich zeig doch auch niemanden an, der mir sagt, dass meine Haustür offensteht...

@cinux
Boah echt? Sind leute so jämmerlich? Eieieiei
@bkastl

@Mopsi Kontext? (sehe den Bezugstoot gerade nicht, im Zweifel ja) @cinux

@bkastl
Ah sorry.

Ähm da steht, ganz grob, Menschen die Fehler aufzeigen würden verfolgt, weil Fehler Schande bringen und so lange niemand auf die Fehler hinweist kann man so tun als gäbs die nicht und man ist der große Held.
@cinux

@Mopsi Treffende Zusammenfassung der tiefergehenden psychologischen Verdrängungsmaßnahmen @cinux

@bkastl

Und genau wegen dieser Ungewissheit im Hinblick auf Strafverfolgung würde ich mir in dem Falle, dass ich bei jemandem in Deutschland eine Sicherheitslücke oder ein Datenschutzproblem finde, erstmal überlegen, ob ich die Lücke überhaupt melde oder sie einfach für mich behalten würde.

#ITSicherheitMadeInGermany

@mstrohm (einem ähnlichen Vorgang in diesem Jahr gingen Beratung mit mehreren Jurist*innen voraus, ja, das ist ein Problem sowas letztendlich dann abzuwägen)

@bkastl wär ich Sicherheitsforscher, würd ich nach dieser Arschaktion der CDU weiterhin Lücken suchen... aber dann zumindest gewinnbringend verscherbeln.

Aus Trotz.

Sollen diese Pfeifen schauen, wie Sicherheit dann funktioniert.
Sign in to participate in the conversation
Mastodon

Server run by the main developers of the project 🐘 It is not focused on any particular niche interest - everyone is welcome as long as you follow our code of conduct!