it-swarm.com.de

Warum eine Website bei Klartext-Tätern einreichen?

Ich habe diese Frage gelesen und aus der akzeptierte Antwort zu zitieren

Wenn Sie die Website an Klartext-Straftäter senden, erhalten Sie außerdem eine Sichtweise von Drittanbietern, die Ihrem Fall helfen kann.

Aber ist das Einreichen einer Website bei Klartext-Tätern nicht ein höheres Risiko für Sie?
Jemand mit böswilliger Absicht könnte die Website sehen, an die Sie gesendet haben Klartext-Straftäter und dann versuchen, die Sicherheitsanfälligkeit auszunutzen, um sich selbst (und alle anderen Benutzer dieser Website) einem höheren Risiko auszusetzen.

Oder fehlt mir einfach etwas?

51
Ryan Weaver

Ich werde mit dem Zitieren ihrer FAQ beginnen:

Haben Sie keine Angst, dass Hacker Ihre Website nutzen, um Ziele zu finden?

Ja, aber weniger besorgt, als dass diese Informationen geheim bleiben und sich auf Sicherheit durch Dunkelheit verlassen.

Dies ist eine ungültige Aussage aus dem sehr einfachen Grund, dass diese Websites in keiner Weise auf Sicherheit durch Dunkelheit angewiesen sind. Ihre Sicherheit ist nicht stärker, solange dieses Geheimnis geheim bleibt. Es ist ein weit verbreiteter Irrtum, in jeder zweiten Sicherheitsdebatte Sicherheit durch Dunkelheit zur Sprache zu bringen, aber das einzige, was zählt, ist eine Risikobewertung. Und ja, zusätzliche Dunkelheit hilft oft, solange Sie sich nicht darauf verlassen.

Aber zurück zum Thema:

  • Welche Vorteile hat die Übermittlung an Klartext-Straftäter?

    Es ist wahrscheinlicher, dass Websites ihre Setups korrigieren und eine vernachlässigbare Anzahl von Benutzern ihr Passwort möglicherweise nicht wiederverwendet. Darüber hinaus haben einige behauptet, dass ein zeitgestempelter Datensatz über ihre Verwendung vor Gericht wichtig wäre, aber ein zeitgestempelter Datensatz muss nicht öffentlich lesbar sein (eine E-Mail auf zentralen - nicht privat verwalteten - Servern reicht ebenfalls aus).

  • Welche Nachteile hat die Übermittlung an Klartext-Straftäter?

    Websites, auf denen Passwörter im Klartext gespeichert werden, werden zu beliebtesten Zielen. Nicht nur, weil sie Passwörter im Klartext speichern, sondern vor allem, weil dies ein Hinweis auf alte unsichere Systeme ist.

Um Ihre Frage zu beantworten: Sie vermissen nichts und haben vollkommen Recht, dass dies ein wichtiger Anruf ist. Persönlich würde ich jedem raten, die Richtlinien für die Einreichung von Klartextoffenders.com NICHT zu befolgen und sich jederzeit zuerst selbst an die betreffende Website zu wenden. Nur wenn sich nichts ändert oder ihre Antworten mangelhaft sind, kontaktieren Sie sie erneut mit der Nachricht, dass Sie ihre Website an Klartext-Straftäter gesendet haben.

6
David Mulder

Um ihre FAQ zu zitieren:

Haben Sie keine Angst, dass Hacker Ihre Website verwenden, um Ziele zu finden?

Ja, aber weniger besorgt, als dass diese Informationen geheim bleiben und sich auf Sicherheit durch Dunkelheit verlassen.

Um es ausführlicher zu machen: Es gibt zwei mögliche Ergebnisse, wenn Sie dort eine Site einreichen:

  1. Sie beheben es - Dies ist wahrscheinlicher, wenn sie öffentlich beschämt werden. Auch die Angriffswahrscheinlichkeit steigt.

    Außerdem wird das Verstecken von Sicherheitsproblemen (nur so lange sicher gehalten, wie es geheim gehalten wird) im Allgemeinen als Sicherheits-Antimuster angesehen, wie im NIST "Guide to General Server Security" angegeben:

    "Die Systemsicherheit sollte nicht von der Geheimhaltung der Implementierung oder ihrer Komponenten abhängen."

  2. Sie beheben es nicht - Dann wird es zumindest öffentlich und extern dokumentiert.

    Genauer gesagt, danke an Chris Cirefice , der in den Kommentaren expliziter darauf hingewiesen hat, was ich vorhatte:

    "öffentlich und extern dokumentiert" - mit Zeitstempeln . Wenn also eine Studentendarlehensfirma gehackt wird und die Bankdaten der Studenten aufgrund mangelnder Einhaltung der (US-) Regierungsrichtlinien, z. Nach dem Gramm-Leach-Bliley-Gesetz 1 2 könnten die Studenten das Unternehmen verklagen, und die Zeitstempel der Veröffentlichung der Nichteinhaltung wären ein guter Beweis für die Entschädigung vor Gericht.

76
Tobi Nary

Die Frage scheint die Annahme zu treffen, dass Klartext-Täter die einzige Site sind, die eine solche Liste führt, und nicht nur die mit dem höchsten öffentlichen White-Hat-Profil.

Es gibt jedoch viele andere, weniger heilsame Websites, die solche Listen führen. Jede Domain, die auf Plaintext Offenders aufgeführt ist, befindet sich wahrscheinlich schon seit einiger Zeit auf diesen anderen Websites.

Sie erzählen den Bösen also höchstwahrscheinlich nichts, was sie nicht wissen, aber Sie erzählen den Website-Eigentümern möglicherweise etwas, das sie nicht wissen, und strahlen ein Licht der Öffentlichkeit aus, um sie zu ermutigen, darauf zu reagieren.

13
Dewi Morgan

Eine Sache, die wichtig zu verstehen ist, ist, dass es einen praktischen Unterschied zwischen "Passwort-Exposition" und "mehr Risiko" gibt.

Sie können mit Sicherheit sagen, dass das Senden einer Website an Klartext-Straftäter zu einer zusätzlichen Kennwortoffenlegung führt. Diese Tatsache steht nicht in Frage.

Ob dies zu einem zusätzlichen Risiko führt, ist jedoch differenzierter. Wenn die Site tut nichts dagegen, nd Sie und andere Benutzer verwenden die Site weiterhin so, als ob der Fehler nicht bekannt wäre, dann führt die zusätzliche Kennwortbelichtung tatsächlich dazu zusätzliches Risiko. Wenn dies jedoch zu Verhaltensänderungen führt, z. B. entscheiden sich einige Benutzer dafür, Kennwörter, die sie sonst auf dieser Site wiederverwendet hätten, nicht wiederzuverwenden (wahrscheinlicher), oder führt die negative Publizität dazu, dass die Site die Sicherheit des Systems verbessert , (weniger wahrscheinlich, aber möglich und eine enorme Risikominderung, falls erreicht), ändert sich die Gleichung zu einem Punkt zwischen nicht so klar, zu einer Definition und einer signifikanten Risikominderung.

Es ist also nicht so trocken, wie eine Option richtig und die andere falsch ist. Das Risiko umfasst naturgemäß eine Komponente des Unbekannten, nämlich die Wahrscheinlichkeit einer eventuellen Ausbeutung. Letztendlich kommt es also auf eine Entscheidung an.

12
Xander