Перейти к содержимому

Донат
На хостинг
ISK за переводы
до 75kk за 1000зн.
Хроники EVE
Сборник
Новичкам
Полезная информация
Фотография

Как сообщать разработчикам о найденных на сайте уязвимостях


  • Авторизуйтесь для ответа в теме
16 ответов в теме

#1
ISD Grossvogel

ISD Grossvogel

    Clone Grade Zeta

  • CCP loc. team
  • 462 сообщений
1087
  • Client:Рус
Ответственное раскрытие информации,
или Как сообщать разработчикам о найденных на сайте уязвимостях

(оригинал, перевод)

Здравствуйте, товарищи!

Эта статья посвящена очень важной для меня теме, до этого не обсуждавшейся — к счастью, очередь дошла и до нее.

Сначала я хочу рассказать вам о процессе разработки веб-приложений в компании CCP — не о том, почему мы выбираем те или иные технологии, а об обеспечении их безопасности (чем я, собственно, и занимаюсь). Мы работаем по выверенной схеме: сперва мы сами проверяем весь написанный код, а затем передаем его доверенной независимой компании, проводящей аудит уязвимостей. От результатов этого аудита зависит, выйдет ли приложение в срок: если уязвимости не удается устранить вовремя, то срок выхода приложения откладывается. Разрабатываемые нами веб-приложения весьма сложны ― ведь они взаимодействуют со многими другими системами. Это не может не сказываться на сложности тестирования; мы никогда не ограничиваемся проверкой лишь одного элемента системы (например, форумов) ― все элементы нужно испытывать вместе, что делает стоящую перед нами задачу значительно более трудной. Иногда нам не удается найти ошибки на этапе подготовки сайта к выпуску; эта статья расскажет вам о том, что следует делать в случае их обнаружения.

Со времени нашей первой попытки выпустить в свет новую версию форумов я работал над планом, который позволил бы вам своевременно сообщать об уязвимостях в наших системах, получая за это соответствующее вознаграждение. Перед вами ― первая версия этого плана; в основу дальнейшей работы над ним лягут ваши комментарии. Кто лучше вас знает, какой наградой вы действительно будете гордиться?

В настоящий момент игроки сообщают нам об уязвимостях следующими способами:

  • С помощью петиций. Это не очень эффективный способ — гейм-мастер, который будет рассматривать вашу петицию, не является экспертом в области безопасности. Он может неправильно оценить степень важности вопроса — пока информация дойдет до нас, пройдет слишком много времени. Вопросы, связанные с безопасностью, нужно решать в течение нескольких минут или часов, а не дней.
  • С помощью отчета об ошибке, отправляемого через сайт. Этот способ обладает всеми недостатками предыдущего — ваши отчеты вполне могут завалиться в дальний угол багтрекера.
  • С помощью темы, создаваемой на официальном форуме. Это плохая идея — очень, ОЧЕНЬ плохая идея. В результате открытого распространения информации об уязвимости узнают злоумышленники ― они смогут беспрепятственно пользоваться ею до тех пор, пока мы не отреагируем на ваше сообщение.
  • С помощью темы, создаваемой на любом другом форуме. Без комментариев.
Одним словом, ни один из этих способов не годится для своевременного донесения до нас важной информации. Мы хотим исправить эту ситуацию следующим образом:

  • Предоставить в ваше распоряжение надежный и быстрый канал для передачи нам информации о найденных уязвимостях — канал, позволяющий нам моментально проверять сообщения пользователей и устранять дефекты.
  • Объяснить, какая именно информация будет нам полезна.
Что такое «ответственное раскрытие информации»?

Согласно «Википедии», «ответственное раскрытие информации» ― это термин из области компьютерной безопасности, описывающий один из способов раскрытия информации о найденных уязвимостях. Он мало чем отличается от полного раскрытия информации, однако имеет одно важное отличие: те, кто обнаружил уязвимость, соглашаются дать разработчикам время на ее устранение; информация об уязвимости разглашается лишь по истечении этого срока. Подробнее об ответственном раскрытии информации можно узнать, прочитав соответствующую статью «Википедии».

Мы хотим создать механизм, при помощи которого вы сможете не только конфиденциально сообщать нам об уязвимостях, но и получать за это вознаграждение. Мы считаем, что усилия по улучшению игры и повышению безопасности ее участников должны соответствующим образом поощряться — но об этом мы поговорим чуть позже, когда речь зайдет о характере этих наград.

Какая информация нам нужна?

Мы не хотим начинать наше сотрудничество с разработки безумных шаблонов отчетов и правил их заполнения. Скажем просто — нам нужна максимально подробная информация. Приведу два примера, связанных с запуском нового форума:

  • Плохой пример: пользователь пишет отчет об ошибке, состоящий из одного предложения: «Вы все идиоты, ничего не работает».
  • Хороший пример: пользователь отправляет по адресу security@ccpgames.com письмо следующего содержания — «дорогой CCP Sreegs, я нашел уязвимость в коде официального форума, связанную с межсайтовым скриптингом. Пожалуйста, посмотри на эксплойт, который я написал — я его проверил, он работает».
Хотите ― верьте, хотите ― нет, но оба примера взяты из реальной жизни. Первый «отчет» так и не добрался до разработчиков, способных устранить уязвимость; кроме того, в наших логах были зафиксированы лишь попытки использования эксплойта — без учета фактических намерений пользователя. Мы могли бы счесть эти действия попыткой взлома — и наказали бы горе-помощника по всей строгости наших законов. Во втором случае игрок действительно помог нам и получил вознаграждение; теперь мы хотим формализовать правила выдачи подобных наград.

PLEX в обмен на информацию

Грубо говоря, мы хотим простимулировать добропорядочное поведение. Нам уже приходилось вознаграждать игроков за сообщения о найденных уязвимостях, но размер награды в каждом случае определялся индивидуально. Главная проблема ― определить, что именно вас интересует. Ваше имя в новостях (это всегда полезно при составлении резюме)? Бесплатное продление подписки? Что-то иное? Мы учтем все ваши комментарии — хочется, чтобы наше сотрудничество было по-настоящему эффективным.

Мы исходим из того, что все сообщения об уязвимостях делаются на условиях полной конфиденциальности; если вы хотите сохранить анонимность ― нет проблем, но если вам нужна слава, то вы ее получите. Некоторые идеи по поводу наград у нас уже есть, однако окончательное решение будет принято лишь с учетом ваших пожеланий.

Хочу сразу оговориться: вознаграждения заслуживают далеко не все отчеты. Чтобы получить награду, вам придется снабдить нас действительно ценной информацией; например, мало кого удивишь тем фактом, что CCP Soundwave собрал самую большую в Исландии коллекцию аниме — а вот рассказом о том, как он взялся учить японский, чтобы ничего не упустить из-за перевода, грех не поделиться с окружающими. В нашем случае пример звучит так: вместо «у вас там что-то сломано» мы хотели бы услышать «у вас там что-то сломано — сломал я его так-то и так-то». Если мы сможем воспроизвести условия, позволяющие вам пользоваться эксплойтом, и устранить их, то нашей признательности не будет границ; чем больше информации вы сможете нам предоставить, тем лучше.

Все, убедили; как с вами связаться?

Самый лучший способ связи с нами — отправка подробного письма по адресу security@ccpgames.com; лишь в этом случае мы можем гарантировать, что ваше сообщение доберется до людей, в нем заинтересованных. Несмотря на то, что правила сотрудничества с пользователями еще не утверждены, я лично прослежу за тем, чтобы важные отчеты об уязвимостях соответствующим образом вознаграждались. Жду ваших соображений о характере наград!


CCP Sreegs

Сообщение отредактировал whp_deadline_fail: 22 September 2011 - 11:41

  • 3

#2
xo3e

xo3e

    not playing the game but still better than you

  • Tech III Pilots
  • PipPipPipPipPip
  • 2228 сообщений
900
  • EVE Ingame:Zoat Aon
  • Corp:.GCC.
  • Ally:HYDRA RELOADED
  • Client:Eng
расчехляем Jsky
  • 0

CHECK YOURSELF BEFORE YOU SHREK YOURSELF


#3
Eklykti

Eklykti

    Пушистый изумруд

  • Tech III Pilots
  • PipPipPipPipPip
  • 1916 сообщений
110
  • EVE Ingame:Eklykti
  • Corp:.ANS.
  • Ally:UAFL
  • Channel:ANSUA
  • Client:Eng
Эксплойты клиента типа манкисферы попадают под сабж статьи? Или пока только веб части системы?
  • 0

#4
Nares

Nares

    Apocalypse Now

  • Tech III Pilots
  • PipPipPipPipPipPipPipPipPipPip
  • 16770 сообщений
3617
  • EVE Ingame:Captain Nares
  • Channel:t2y
"Сломай оффсайт за плекс" :o
  • 0
Изображение
Изображение
Изображение
Потеряла лицо Таня-тян -
Плачет о мяче, укатившемся в пруд.
Возьми себя в руки, дочь самурая.

#5
CHoh

CHoh

    EVE Offline

  • Tech III Pilots
  • PipPipPipPipPipPipPipPipPip
  • 14037 сообщений
2310
Стресс-тест. :)
Всё правильно, проще раздавать плюшки, чем разгребать последствия.

Надеюсь только, что это не вместо бета-тестирования нормального, а в дополнение к нему.
  • 0

#6
Eretic

Eretic

    Легат Возврата

  • Tech III Pilots
  • PipPipPipPipPipPip
  • 5197 сообщений
446
  • EVE Ingame:KB Eretic
  • Client:Eng

Стресс-тест. :)
Всё правильно, проще раздавать плюшки, чем разгребать последствия.

Надеюсь только, что это не вместо бета-тестирования нормального, а в дополнение к нему.


С учетом сколько бабла ССР может потерять на незамеченых дырах защиты и того факта, что бюджет у них с дефицитом, то не думаю, что они будут так рисковать.
  • 0
Ересь - иной взгляд на привычные вещи

Не зная ни сна, ни отдыха, при лунном и солнечном свете мы делаем деньги из воздуха, что бы снова пустить их на ветер

Сражение, это странный опыт. Мы планируем действия за счет интеллекта, сражаемся за счет инстинктов, и только потом понимаем, что выжили лишь благодаря случаю.(с)Из письма Фиска Блэка своей сестре Люси.

#7
Karrok Magn

Karrok Magn

    Clone Grade Gamma

  • Tech III Pilots
  • PipPip
  • 115 сообщений
10
  • EVE Ingame:Karrok Magn
  • Client:Eng
Врут. Самым эффективным способом уведомить разработчиков о уязвимости - оставить текстовый файл с сообщением об ошибке на рабочем столе разработчика.
  • 2

#8
SkyFox

SkyFox

    Зануда

  • Tech III Pilots
  • PipPipPipPipPipPipPipPip
  • 9938 сообщений
4273
  • EVE Ingame:Bapah
  • Corp:War.H
  • Ally:AAA
  • Client:Eng

Врут. Самым эффективным способом уведомить разработчиков о уязвимости - оставить текстовый файл с сообщением об ошибке на рабочем столе разработчика.

Угу - в виде распечатки :)

По теме: Интересно какую награду ЦЦП предложило-бы капсулиру сообщившему о дыре в механике не уступающей по доходности багу с Феррогелем из воздуха ;)
  • -1

AAA - Warhamsters Corp
Качаю невозмутимость level5_act.gif


#9
DarkPhoenix

DarkPhoenix

    Hatred

  • Tech III Pilots
  • PipPipPipPipPipPipPipPipPipPip
  • 28656 сообщений
4376
Очевидно же, 1 (один) плекс.
  • 2

There is a place where the black stars hang
and the strangest eons call that amorphous mass
unknown, immense, ambivalent to all


#10
Eretic

Eretic

    Легат Возврата

  • Tech III Pilots
  • PipPipPipPipPipPip
  • 5197 сообщений
446
  • EVE Ingame:KB Eretic
  • Client:Eng
И место в новостях. В принудительном порядке. Галактика должна знать своих героев.
  • 0
Ересь - иной взгляд на привычные вещи

Не зная ни сна, ни отдыха, при лунном и солнечном свете мы делаем деньги из воздуха, что бы снова пустить их на ветер

Сражение, это странный опыт. Мы планируем действия за счет интеллекта, сражаемся за счет инстинктов, и только потом понимаем, что выжили лишь благодаря случаю.(с)Из письма Фиска Блэка своей сестре Люси.

#11
Lentyai

Lentyai

    Clone Grade Epsilon

  • Tech III Pilots
  • PipPipPip
  • 344 сообщений
11
  • EVE Ingame:Lentyai
Может ева и песочница , но мы не дети чтоб за конфетку парится . Eва комерческий проект и вознаграждения должны быть ощутимей ибо использование эксплоита в своих целях обычно даёт выгоду несоизмеримую со стоимостью плекса .
  • 0

#12
Eretic

Eretic

    Легат Возврата

  • Tech III Pilots
  • PipPipPipPipPipPip
  • 5197 сообщений
446
  • EVE Ingame:KB Eretic
  • Client:Eng
Мне кажется они потому пока и определяют награду для каждого слачая конкретно. Соразмерно серьезности найденой дыры так сказать.
  • 0
Ересь - иной взгляд на привычные вещи

Не зная ни сна, ни отдыха, при лунном и солнечном свете мы делаем деньги из воздуха, что бы снова пустить их на ветер

Сражение, это странный опыт. Мы планируем действия за счет интеллекта, сражаемся за счет инстинктов, и только потом понимаем, что выжили лишь благодаря случаю.(с)Из письма Фиска Блэка своей сестре Люси.

#13
Kanthu

Kanthu

    Clone Grade Iota

  • Tech III Pilots
  • PipPipPipPipPip
  • 1617 сообщений
376
  • EVE Ingame:Ljus Himmlen
  • Corp:A0E
  • Ally:Darkside.
  • Client:Eng
Нашли эксплойт - пользуйтесь на здоровье, никто же не заставляет сразу сдаваться)
  • 0
it's all about the killmails, baby ©

Изображение

#14
amiina

amiina

    Clone Grade Beta

  • Tech III Pilots
  • Pip
  • 84 сообщений
17
  • Client:Eng
Могли бы уже и багтрекер публичный сделать для таких дел. Профиты: стандартизированное оформление проблемы, статус проблемы (open, deffered, resolved etc), как минимум опытные юзеры даблы не будут постить (от рядовых юзеров всё уже спрятано (если нет то за это в голову надо давать разрабам, лидам))
  • 0

#15
reiser

reiser

    Clone Grade Zeta

  • Tech III Pilots
  • PipPipPip
  • 368 сообщений
33
CCP Sreegs — это Darius Johnson, бывш. глава GS.
  • 0

#16
Mind Paralizer

Mind Paralizer

    Clone Grade Kappa

  • Tech III Pilots
  • PipPipPipPipPip
  • 3150 сообщений
357
  • Client:Eng

Del.


Сообщение отредактировал Mind Paralizer: 28 March 2019 - 21:13

  • 2

#17
thiscall

thiscall

    Clone Grade Epsilon

  • Tech III Pilots
  • PipPipPip
  • 301 сообщений
0
  • EVE Ingame:OutCast EG
  • Corp:BLYA
  • Ally:x.i.x
  • Client:Eng

Могли бы уже и багтрекер публичный сделать для таких дел. Профиты: стандартизированное оформление проблемы, статус проблемы (open, deffered, resolved etc), как минимум опытные юзеры даблы не будут постить (от рядовых юзеров всё уже спрятано (если нет то за это в голову надо давать разрабам, лидам))

В настоящий момент игроки сообщают нам об уязвимостях следующими способами:

С помощью отчета об ошибке, отправляемого через сайт. Этот способ обладает всеми недостатками предыдущего — ваши отчеты вполне могут завалиться в дальний угол багтрекера.

Одним словом, ни один из этих способов не годится для своевременного донесения до нас важной информации. Мы хотим исправить эту ситуацию следующим образом:

адрес багтрекера: https://bugs.eveonline.com/

Баг будет и дальше существовать, а нашедший его, будет связан некими непонятными обязательствами и в дальнейшем уже не сможет требовать его правки, с помощью привлечения коммунити и сторонних форумов.

Никаких обязательств не заметил в блоге.
Очевидно, что если после двух-трех пинков не будет никакого шевеления - можно выкладывать в паблик.
  • 0




0 посетителей читают тему

0 members, 0 guests, 0 anonymous users