¿Cómo avisar de un bug en una web?
Esta es una pregunta que sistemáticamente me repiten: "He encontrado un fallo de seguridad en una web y quería saber cómo debo reportarla". Buena pregunta.
Yo, tiempo ha, tomé una decisión sobre esto y la escribí en Date por avisado, pero sin embargo, si la web es de amigos les aviso. También si la web es de un organismo oficial lo hago a través de los cuerpos de seguridad. Si son otras me suelo apoyar en el texto de mi post.
En España hay una legislación que marca esas actitudades como delictivas, con lo cual no es fácil explicar cómo diste con el fallo de seguridad. A mí normalmente no me preocupa mucho esto pues me suele dar la información del fallo "un informante anónimo", o son "errores o descuidos" que me pasan sin querer (que yo tengo unos dedos muy porrudos).
Pero, ... ¿cómo avisar? o...¿se debe avisar?. Yo particularmente soy de la opinión de que si no existiera esta legislación se debería avisar a todos, y eso ayudaría a que las cosas estuvieran mejor.
Las repuestas que puedes obtener son varias. La experiencia dice que algunos de los "avisados" se lo toman por el mal camino y suelen enfadarse. No se enfadan con el fallo, se enfadan con el informante, y eso, con la legislación existente no es divertido. No son tantos así, pero la conversación suele ser así:
- "Hola, he encontrado un fallo en su web que permite extraer datos personales de sus clientes".
- "Hijo*** vete a mirar el c*** de tu p*** madre".
La opción dos es el pasotismo que puede demostrarse de dos maneras. La manera 1 es la llamada "Linea Plana", es decir, que no recibes ninguna contestación. Pasan los días, pasan las semanas, pasan los meses, pasan de ti. La manera 2 es la de la que yo llamo "Contesa". Es decir, muy buen aspecto, pero no deja de ser un corte. "Gracias. Lo tendremos en cuenta". Estas dos opciones son las que más se dan o pasan de ti o te regalan una "Contesa".
La tercera opción, es la que muchos desean cuando encuentran un fallo, es decir, que se lo agradezcan con un mail. Simplemente eso, no más. Sin embargo, esta no es la respuesta más habitual, pero mola cuando pasa.
La última opción es ...la otra..., pero puede terminar....bastante mal. Tú decides.
Al final, cuando decides reportar un fallo te juegas una de estas respuestas, por lo que decide que hacer:
1.- La hago para aprender y paso de esta panda de cabrones -> No reportes.
2.- Quiero que se arregle la página y me la suda el reconocimiento -> Mail anónimo a webmaster.
3.- Quiero hacerme un nombre en este mundo como profesional-> Se cuidadoso y educado.
Ten encuenta que cuando hay un fallo de seguridad pueden caer hostias como panes al administrador o desarrollador. Si avisas al cliente/jefe le va a joder que se haga público y le va a dar dos hostias al programador, con lo cual se puede enfadar alguien. Si lo haces al contrario, avisando al desarrollador/webmaster, entonces puede que te lo agradezca bien, pero a lo mejor te quedas sin el reconocimiento. Menos riesgo, menos probabilidades de reconocimiento.
4.- Quiero hacerme un nombre en este mundo "a cualquier costa"-> Entonces toma el mal camino, pero no te asustes si te comes un marrón, porque es un mal camino.
Al final, molaría que hubiera un servicio de reportes nacional. Yo recomiento usar gente como INTECO, la Guardia Civil o la Policía para que sean ellos los que reporten la vulnerabilidad. Otra posibilidad es hacerlo vía alguna empresa de seguridad informática que seguro que ellos saben con quién hablar. Yo te doy una recomendación: Piensa en las consecuencias.
Seguro que muchos de vosotros tenéis alguna experiencia. ¿Quieres compartirla aquí?
Fuente: http://elladodelmal.blogspot.com/2008/07/cmo-avisar-de-un-bug-en-una-web.html
Yo, tiempo ha, tomé una decisión sobre esto y la escribí en Date por avisado, pero sin embargo, si la web es de amigos les aviso. También si la web es de un organismo oficial lo hago a través de los cuerpos de seguridad. Si son otras me suelo apoyar en el texto de mi post.
En España hay una legislación que marca esas actitudades como delictivas, con lo cual no es fácil explicar cómo diste con el fallo de seguridad. A mí normalmente no me preocupa mucho esto pues me suele dar la información del fallo "un informante anónimo", o son "errores o descuidos" que me pasan sin querer (que yo tengo unos dedos muy porrudos).
Pero, ... ¿cómo avisar? o...¿se debe avisar?. Yo particularmente soy de la opinión de que si no existiera esta legislación se debería avisar a todos, y eso ayudaría a que las cosas estuvieran mejor.
Las repuestas que puedes obtener son varias. La experiencia dice que algunos de los "avisados" se lo toman por el mal camino y suelen enfadarse. No se enfadan con el fallo, se enfadan con el informante, y eso, con la legislación existente no es divertido. No son tantos así, pero la conversación suele ser así:
- "Hola, he encontrado un fallo en su web que permite extraer datos personales de sus clientes".
- "Hijo*** vete a mirar el c*** de tu p*** madre".
La opción dos es el pasotismo que puede demostrarse de dos maneras. La manera 1 es la llamada "Linea Plana", es decir, que no recibes ninguna contestación. Pasan los días, pasan las semanas, pasan los meses, pasan de ti. La manera 2 es la de la que yo llamo "Contesa". Es decir, muy buen aspecto, pero no deja de ser un corte. "Gracias. Lo tendremos en cuenta". Estas dos opciones son las que más se dan o pasan de ti o te regalan una "Contesa".
La tercera opción, es la que muchos desean cuando encuentran un fallo, es decir, que se lo agradezcan con un mail. Simplemente eso, no más. Sin embargo, esta no es la respuesta más habitual, pero mola cuando pasa.
La última opción es ...la otra..., pero puede terminar....bastante mal. Tú decides.
Al final, cuando decides reportar un fallo te juegas una de estas respuestas, por lo que decide que hacer:
1.- La hago para aprender y paso de esta panda de cabrones -> No reportes.
2.- Quiero que se arregle la página y me la suda el reconocimiento -> Mail anónimo a webmaster.
3.- Quiero hacerme un nombre en este mundo como profesional-> Se cuidadoso y educado.
Ten encuenta que cuando hay un fallo de seguridad pueden caer hostias como panes al administrador o desarrollador. Si avisas al cliente/jefe le va a joder que se haga público y le va a dar dos hostias al programador, con lo cual se puede enfadar alguien. Si lo haces al contrario, avisando al desarrollador/webmaster, entonces puede que te lo agradezca bien, pero a lo mejor te quedas sin el reconocimiento. Menos riesgo, menos probabilidades de reconocimiento.
4.- Quiero hacerme un nombre en este mundo "a cualquier costa"-> Entonces toma el mal camino, pero no te asustes si te comes un marrón, porque es un mal camino.
Al final, molaría que hubiera un servicio de reportes nacional. Yo recomiento usar gente como INTECO, la Guardia Civil o la Policía para que sean ellos los que reporten la vulnerabilidad. Otra posibilidad es hacerlo vía alguna empresa de seguridad informática que seguro que ellos saben con quién hablar. Yo te doy una recomendación: Piensa en las consecuencias.
Seguro que muchos de vosotros tenéis alguna experiencia. ¿Quieres compartirla aquí?
Fuente: http://elladodelmal.blogspot.com/2008/07/cmo-avisar-de-un-bug-en-una-web.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!