¿Formulario web de correo electrónico o SSL / TLS encriptado PGP para la comunicación de divulgación responsable?

5

Así que es una pregunta bastante simple. Al ofrecer una vía a los investigadores de seguridad para comunicarse con nosotros con respecto a la divulgación de vulnerabilidades de seguridad, ¿cuál es la mejor manera de hacerlo?

Supongamos que tenemos una página de política de divulgación responsable que está protegida por una conexión SSL / TLS correctamente configurada:

  1. Ofrezca una dirección de correo electrónico security@ para ponerse en contacto con un PGP con una Web de confianza establecida que consta de desarrolladores y una comunidad de código abierto. La huella digital de PGP se publica en la página y la clave está disponible en uno de los muchos servidores clave.
  2. Ofrezca un formulario de envío HTTPS que, debajo del capó, envíe un correo electrónico desde el servidor web al sistema de correo interno de la oficina. STARTTLS se utilizaría para que el correo electrónico esté encriptado en tránsito
  3. Ofrezca ambos, dejando que el investigador decida.

Me parece que la Opción 3 es la mejor, pero he escuchado que los investigadores se quejan de las 3 opciones para & en contra.

    
pregunta JustinBull 27.03.2014 - 14:59
fuente

1 respuesta

1

Cuando trabajamos con la Comunicación de Divulgación Responsable, necesitamos seguridad y conveniencia.

¿Conveniencia para quién?

Para investigadores de seguridad.

Debe pensar algunas cosas antes de elegir:

  • ¿Necesita los informes tan seguros que pueda esperar para recibirlos?

A veces, el investigador de seguridad encuentra un error de seguridad, pero no está con sus claves PGP. ¿Y si está viajando? Esperará unos días (o más) para recibir los informes. ¿Se espera? A veces no lo es.

  • ¿Qué es lo mejor, solucionar un error rápidamente, incluso recibir el informe a través de canales inseguros, o demorar un poco más en solucionarlo, pero asegúrese de que los informes se envíen y almacenen de la forma más segura?

Solo puedes responder esta pregunta.

Recientemente trabajé en la gestión de un programa de recompensas de errores, y puedo decirle que algunos investigadores elegirán enviar el error a través del formulario HTTPS (rápido), otros lo enviarán por correo electrónico en texto sin formato (más rápido) y otros Nunca hablaré contigo sin intercambiar claves PGP.

Y nunca se puede decir que un tipo de investigador de seguridad enviará mejores informes que otros (el tipo de PGP, el tipo de formulario HTTPS o el tipo de correo electrónico de texto sin formato).

Así que ten cuidado con tu elección, yo elegiría la opción 3.

En mi opinión, es mejor recibir un informe que no recibirlo, independientemente de cómo lo recibí.

    
respondido por el Lucas NN 03.12.2014 - 07:31
fuente

Lea otras preguntas en las etiquetas