Me preocupa que un sitio web que uso sea vulnerable: se corrijan las vulnerabilidades (Reino Unido) [duplicado]

3

Soy un cliente de pago de un servicio. No puedo cambiar de proveedor sin dañar mi propio negocio.

Creo que el sitio web es vulnerable a vulnerabilidades muy básicas (manipulación de URL (IDOR)) que revelarían mi información personal y potencialmente peor.

El administrador niega que el sitio sea vulnerable y no me permitirá realizar pruebas ni tendrá el sitio revisado por profesionales.

Todo lo que puedo pensar es informar mi preocupación a enlace pero sin ninguna evidencia concreta más allá de que las contraseñas se almacenen en texto sin formato .

¿Cómo puedo asegurar que el sitio resuelva los problemas de seguridad básicos, si existen?

    
pregunta Qgenerator 02.01.2016 - 13:20
fuente

1 respuesta

4

Si no puede (al menos fácilmente) cambiar de proveedor (supongo que está bloqueado en un servicio que no se puede cambiar), entonces debe tener algunas cosas cubiertas. Para usted, su empresa y sus clientes (si hacen uso del servicio).

Para empezar, no soy un abogado, así que será mejor que lo comentes con un abogado .

Lea primero su contrato de servicio: ¿hay algo acerca de los "esfuerzos razonables" que se supone que el proveedor debe hacer, desde un punto de vista de seguridad? Si es así, hay mejores prácticas industriales sobre cómo se debe asegurar una aplicación. Podría indicar a su proveedor que posiblemente esté incumpliendo un acuerdo.

Ahora, puede que a él no le importe, saber que estás encerrado con él y resolver el problema en la corte es demasiado largo / complicado / lo que sea para ti.

En ese caso, debe hacer algo de diligencia debida . La idea es que, en caso de que ocurran cosas malas (el servicio es violado, sus datos y los de sus clientes están en libertad) puede probar que ha realizado todos los pasos razonables para alertar sobre posibles problemas. Guarde una copia de los intercambios. Luego advierta a su administrador que en caso de que haya un problema, él será responsable de todos los costos.

Lo que puede hacer y el verdadero valor de sus acciones variará considerablemente según las circunstancias exactas de su caso. De nuevo, consulte a un abogado .

También recomendaría encarecidamente la planificación de un cambio de proveedor. Soy muy consciente de que esta no es una opción fácil, pero generalmente se reduce a recursos (tiempo, dinero).

Por último, no intentes piratear su sitio con fines de demostración. Esto no solo es posiblemente ilegal (y está sujeto a la apreciación de un jurado), sino que también puede dañar su servicio con todas las consecuencias (por ejemplo, la interrupción de otros clientes).

    
respondido por el WoJ 02.01.2016 - 19:44
fuente

Lea otras preguntas en las etiquetas