Wie veröffentlich man Sicherheitslücken?

Hallo,

mich interessiert wie man gefundene Sicherheitslücken richtig veröffentlicht. Angenommen ich hätte eine XSS Lücke auf www.pcwelt.de gefunden, wie gehe ich damit am besten um?
Es ist doch sicher nicht richtig zu erstmal darüber zu bloggen und erst danach den Betreiber zu informieren. Informiert man den Betreiber und der behebt das Problem würde ein folgender Blogbeitrag recht haltlos im Raum stehen.

Wie veröffentlich man eine Sicherheitslücken richtig?

Gruß,
Daniel Walter

 

was willst du denn erreichen? ruhm und ehre?

die "richtige" vorgehensweise wäre, den betreiber zu informieren und dabei eine sinnvolle deadline für die behebung anzusetzen. ist bis dahin nix passiert kannst nach herzenslust veröffentlichen...

 

Danke für deine schnelle Antwort.
Ja, bestenfalls Rum und Eher aber ohne sich einen zweifelhaften Ruf aufzubauen. Mein Problem ist eben, dass nachdem der Anbieter das Problem behoben ist, ja jeder viel schreiben kann und es einem dann keiner mehr glauben muss.

 

Hast du denn etwas gefunden oder propagierst du hier nur heiße Luft?

Gruß kingjon

 

Ich habe die gleiche Frage noch in anderen spezielisierten Foren gestellt und tausche die URL da immer gegen die, des jeweiligen Forums aus .
In meiner Frage geht es um keinen konkreten Fall sondern um generelles rechtssicheres vorgehen!

PS:
Darüber hinaus bin ich fast sicher, ich würde auch hier etwas finden. Von XSS sind enorm viele auch größere Seiten betroffen!

 

Also nur "was wäre wenn" das so ist.
Das kannst du dann hier veröffentlichen und auch davon ausgehen das sich drum gekümmert wird!
http://www.pcwelt.de/forum/online-meinung-internetauftritt-pc-welt/
Früher gab es den Bugreport, doch der ist dem aufräumen zum Opfer gefallen....

Gruß kingjon

 

Sind Blogs nicht ohnehin nur eine bessere Gerüchteküche?
Dann mach halt Screenshots, wenn Du befürchtest, daß man Dir nicht glaubt.
Über Lücken, die rechtzeitig behoben wurden, berichtet normalerweise niemand, außer sie waren sehr gravierend/peinlich/wasauchimmer.

 

Was wäre denn die Anerkennung oder der Rum für mich? Dürfte ich denn, falls ich hier wirklich einen finde, den auch auf meinem Blog veröffentlichen und mit damit rühmen? Oder würde das ganze seitens pcwelt.de geleugnet?

Es gibt auch Fachblogs! Und welche XSS Lücke ist denn nicht peinlich, gravierend oder wasauchimmer?

 

Beiträge zusammen geführt!
Zumindest könntest du den Button benutzen, damit handelst du entsprechend den Regeln und du würdest uns Mods das Leben erleichtern!

Gruß kingjon

 

Über behobene Sicherheitslücken wird doch nur deswegen nicht berichtet, weil sie ja behoben und nicht etwa kriminell ausgenutzt wurden. Ich möchte da nur mal das Playstation Network anbringen. das Hat Sony eine menge Geld gekostet und ging in den Medien richtig rum. Hätte "den Bug" eine ehrliche Seele gefunden und gemeldet hätte es höchstens ein Dankgeschhön gegeben und niemand hätte je davon erfahren.
Das ist doch genau der Zwiespalt vor dem jeder "Hacker" steht. Er könnte enormen Schaden verursachen oder sich über ein Freibier freuen.
Genau deshalb meine Frage wie man sein Wissen für alle am besten veröffentlicht!

 

Du machst Dir zu viele Gedanken über ungelegte Eier.
Die meisten Lücken werden von Fachleuten gefunden, die brauchen keinen Ruhm, die wollen nur die Lücke möglichst schnell geflickt sehen - und wenn der Hersteller das nicht in ausreichender Zeit macht, wird eben veröffnentlicht, um den Druck zu erhöhen - und nicht wegen Ruhm, Ehre und ähnlichem Mist.

 

Kohle, einzig allein um Kohle geht es - nichts anderes!
Und dafür musst du gut sein.......

Gruß kingjon

 

Klar geht es um kohle, da in unserer gestellschaft zeit mit geld gleichgesetzt wird. vielleicht sucht jemand, der die fähigkeiten dazu besitzt, erst aus spaß nach solchen lücken. wenn er ersteinmal eine gefunden hat und sie weder selbst kriminell nutzen noch an kriminelle verkaufen will, was soll er tun um für die aufgewendete zeit belohnt zu werden? am besten wäre es natürlich, wenn sich das betroffene unternehmen mit einer angemessenen summe erkenntlich zeigen würde. würde das unternehmen einen eigenen Fachmann mit der fehlersuche beauftragen, würde dies schließlich auch eine finanzielle aufwendung bedeuten, welche dann sogar noch unabhängig von dessen erfolg ist.

google und facebook wissen, das die besten lückenfinde externe leute sind. ich gehe davon aus, das die meisten unternehmen nicht bereit sind, für gefundene lücken zu bezahlen, ebensowenig wie sich zu bemühen, diese selbst bei sich zu finden.

quelle: http://www.pcgameshardware.de/aid,796897/Google-Kopfgeld-auf-Sicherheitsluecken/Internet/News/

 

es soll auch Mancheinen geben, der's einfach macht, weil zu viele ihre Daten zu schlampig behandeln...und solch Schlamperei einfach nicht sein sollt, dürfte oder müsste

 

Die möglichkeiten für unbezahlte weltverbesserer sind vielfältig. wobei jemand der ehrenamtlich arbeitet - wie der name schon sagt - im idealfall auch eine gewisse ehre und anerkennung dafür erhält.

 

Der Seitenbetreiber stellt dir für jeden bedeutsamen Fehler, den du gefunden hast, einen Liter heißes Wasser und 10 Stück Zucker zur Verfügung. Den Rum hast du ja schon und dann kannste daraus einen Grog brauen!

 

http://www.pcwelt.de/forum/online-m...nte-xss-pcwelt-de-startseite.html#post2543060

Ich habe das NUR gefunden weil mich die Diskussion angeregt hat und bin gespannt auf die kommenden Reaktionen!
Ob ich dafür belohnt werde? Für alle nicht Fachleute, eine "persistente XSS Lücke auf der Startseite" ist sozusagen der "Heilige Gral"!

 

Wenn Du es an einem Montag mitgeteilt hättest, wäre die Seite und ihre Besucher nicht für über 2,5 Tage jedem halbwegs talentierten Angreifer ausgeliefert.
Ich würde sagen, das ist genau der Weg, den ein seriöser Lückenfinder nicht geht. Der informiert erst die Verantwortlichen und wenn keine Reaktion kommt, wird die Öffentlichkeit informiert - und zwar zu einem Zeitpunkt, wo eine sofortige Reaktion trotzdem möglich ist.

Alle, die vielleicht nun wegen dieser Lücke kompromittiert werden, werden Dir vermutlich alles Mögliche an den Hals wünschen, sofern sie es merken.

PS: Ich habe keine Ahnung, was XSS eigentlich ist und will es auch nicht wissen.
Ich hoffe, es ist ausreichend, daß ich ohne Javascript die Seite besuche.

 

ich habe deinen Hinweis zumindest mal weitergeleitet- ist schon mal die erste Reaktion mehr kann ich nicht sagen, da WE ist

und den Thread hab ich aus oben genannten Gründen aus dem Forum genommen- mir wäre der Hinweis lieber gewesen, wenn er unter 4Augen als PN gekommen wäre..... oder über das Kontaktformular http://www.pcwelt.de/kontakt/index.html
wär halt halb so reißerisch angekommen...

edit @magiceye04:
XSS (Cross Site Scripting) lässt sich mit NoScript unterbinden....(Einstellungen-> Erweitert-> XSS)

 

Ich habe mich doch an die Anweisungen eines Moderators gehalten!

Woher willst du wissen, dass ich der erste bin? Ich bin vieleicht nur die erste gute Seele welche diese Lücke meldet! Und das so schnell als möglich. Wenn die Lücke bereits ausgenutzt wird und ich es erst in 2,5 Tagen bekannt gebe wären das 2 Tage mehr wo vieleicht ein Übeltäter weiter sein Unwesen hätte treiben können, oder nicht?

Ich habe vorher extra gefragt wie man soetwas denn veröffentlichen soll und habe mich an die Anweisungen gehalten und jetzt muss ich mich dennoch rechtfertigen? Jetzt wissen wir auch, warum Lücken nicht gemeldet werden. Es wird einem nicht gedankt und rechtfertigen muss man sich auch .