nicht angemeldet
CGI Sicherheitsseite
Hallo,
unter http://www.xwolf.com/security/ hab ich
seit ein paar Wochen eine Seite, worin ich CGI-Programme benenne, die Sicherheitsloecher beinhalten.
Da ich gerade mein ganze Domain umgestalte, werd ich auch dort ein bischen aendern.
Meine Frage ist aber mehr inhaltlich: (Ja, ich weiss, das diese Diskussion auch auf Bugtraq lief) Inwieweit sollte ich mich bei der Beschreibung zurueckhalten, oder detailiert sein?
Auf der obigen Seite sieht man den Unterschied mal zwischen der Fehlerbeschreibung von sendmail.cgi und Party-Line.
Eine Moeglichkeit waere ja, die Seite zweigeteilt zu machen: Es werden nur die obverflaechlichen Infos gegeben und dabei einen Link auf einen geschuetzten Bereich, wo man dann die Details liest.....
ABER: Dies wuerde dauernd Administrationsarbeit fuer mich bedeuten, wozu ich ehrlich nicht auch noch Lust hab.
(In Zukunft plane ich zwar mit noch jemand anders eine Seite, wo Bugs allgemeiner Art beschreiben werden, aber das ist noch nicht.)
Also zurueck zur Frage: Inwieweit sollte man mit der Info zurueckhaltend sein, inwieweit detailliert?
Ciao,
Wolfgang
-
Hallo Wolfgang,
ich würde sagen, Du kannst ruhig detaillierte Beschreibungen geben, wenn jemand das mit böser Absicht gebrauchen will, wird er das Loch auch mit kurzer Beschreibung finden. Wichtig ist, das die Autoren sofort informiert werden.
Finde ich übrigens ne Supersache, kann man Dir auch ein eigenes Script zum untersuchen schicken, wenn man es danach für die Allgemeinheit veröffentlicht ?
gruss
Marko
-
Hi,
Finde ich übrigens ne Supersache, kann man Dir auch ein eigenes Script zum untersuchen schicken, wenn man es danach für die Allgemeinheit veröffentlicht ?
Njein...
Wenn ich eines bekomme, geh ich es durch....sofern ich dazu Zeit hab.
Es kommt halt auf die Laenge des Codes an und ob es bereits etabliert ist.
Wenn es z.B. schon lang bei CGI-Resources ist und schon einige Votes hat, geh ich es schon durch.
Wenn nicht, also wenn es von jemand ist, der es noch nirgends sonst in ein Archiv gestellt hat, dann ists ja nicht fuer die Allgemeinheit und also kostenpflichtig :)Ich hatte mal so in Gedanken die Idee daraus einen eigenen Dienst zu machen, von wegen: 'Sie schicken uns ihr CGI-Skript - Wenn es ein Bug hat zahlen Sie nichts, ansonsten zahlen Sie die Stundenweise Abrechnung fuer die Ueberpruefung...'
Allerdings ist das zu riskant: Wenn ich ein Bug ueberseh, dann bin ich Schuld und ausserdem koennten es ein paar Newbie-CGI-Programmer knallhart ausnutzen, um Ihre Anfangsfehler auszumerzen..Ciao,
Wolfgang-
Ich hatte mal so in Gedanken die Idee daraus einen eigenen Dienst zu machen, von wegen: 'Sie schicken uns ihr CGI-Skript - Wenn es ein Bug hat zahlen Sie nichts, ansonsten zahlen Sie die Stundenweise Abrechnung fuer die Ueberpruefung...'
Allerdings ist das zu riskant: Wenn ich ein Bug ueberseh, dann bin ich Schuld und ausserdem koennten es ein paar Newbie-CGI-Programmer knallhart ausnutzen, um Ihre Anfangsfehler auszumerzen..Hallo Wolfgang,
also so kannst Du denn Dienst nur anbieten, wenn Du den finanziellen Suizid machen willst, wenn man nichts zahlen muss, wenn das Script einen Bug hat, dann macht man halt einen rein, und erfährt von Dir kostenlos ob es noch einen hat :-)
Andersrum würde das schon mehr Sinn machen, oder war das nur ein Tippfehler ? Aber ich denke auch, das ist zu gefährlich und lohnt sich nicht.gruss
Marko
-
-
-
Hallo Wolfgang!
unter http://www.xwolf.com/security/ hab ich
seit ein paar Wochen eine Seite, worin ich CGI-Programme benenne, die Sicherheitsloecher beinhalten.Die Seite ist gut! Nach dem ich sie vor einiger Zeit gefunden habe, bin ich erstmal meine eigenen Scripts durchgegangen und siehe da... (ich hoffe, sie sind jetzt sicherer.)
Ob die Probleme detailliert oder nur kurz beschrieben sind, das wird keinen mit dem festen Willen zum Hack davon abhalten. Ich meine, eine kurze Benennung des Problems reicht. Wer dann die Sicherheitslücke nicht selbst beheben kann, der kann ja in dem (den) Forum (Foren) um Rat bitten.
Außerdem: selber denken macht schlau...(In Zukunft plane ich zwar mit noch jemand anders eine Seite, wo Bugs allgemeiner Art beschreiben werden, aber das ist noch nicht.)
Wenn diese Seite dann online ist und sie detaillierte Infos (und Lösungen?) für die meisten Bugs enthält (reduziert sich fast immer auf ungeparste Usereingaben), dann reicht bei der Übersichtsseite eigentlich eine kurze Beschreibung. Jeder kann dann die gezogenen Scripts selber sicher machen.
Gruß Frank