| |
יומן אבטחהבלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות. |
| 10/2006
איך להגיב לטענה כי יש לך פרצה באתר
רשימה מעניינת של RSnake. בפורום של פרצות web ב-sla.ckers.org התפרסם כי באתר של Acunetix ו-F5, יש פרצת XSS. החברות טענו מייד כי לא היו דברים מעולם, מה שהוליד סדרת נסיונות פריצה והוכחות יכולת מצד תוקפים. בהנתן ששתי החברות מספקות מוצרי/שירותי אבטחת יישומי web, ברור שפרצות מסוג זה אינן פרסומת טובה ולכן ברור מדוע הן הזדרזו להכחיש את קיום הפרצות. בלי להתייחס כרגע לשאלה אם הייתה פרצה או לא (כי מאוד קל להכחיש זאת לאחר שאתה משנה את הדף הרלוונטי), נראה כי התגובה של החברות לא הייתה אידיאלית. לא תמיד הדבר הכי טוב זה להכחיש, לעתים עדיף להודות בקיום הפרצה או לפחות לטעון לביצוע בדיקה מקיפה ולא להכחיש ישר. גם לחברות אבטחה יש בעיות אבטחה ולעתים הניסיון להיראות מושלם עלול להוביל לקטסטרופה. לעתים דווקא ההודאה בקיום פרצה והתיקון היסודי והמהיר עם מתן קרדיט לחושפים עשוי להיות יותר אפקטיבי מהניסיון להכחיש. Jeremiah Grossman כתב על כך רשימה מעניינת.
| |
| כינוי:
גיל: 50
|
בבלוג זה
בכל הבלוגים
