¿Sería legal diseñar un robot rastreador para detectar e informar a los propietarios de sitios web vulnerables? [Heartbleed] [cerrado]

Question

¿Sería legal diseñar un robot rastreador para detectar e informar a los propietarios de sitios web vulnerables? [Heartbleed] [cerrado]

Navega tus respuestas

#1 de ScottMcGready (3 votos)

0

¿Sería legal diseñar un robot rastreador para detectar e informar a propietarios de sitios web vulnerables?

heartbleed

pregunta 10.04.2014 - 01:54

fuente

1 respuesta

Lea otras preguntas en las etiquetas heartbleed

Fuzzdb detectado como troyanos [cerrado] ¿Existe alguna forma 100% segura para la autenticación de formularios y el envío de información desde el lado del cliente al servidor a través de las páginas de Internet? [cerrado]

score 3 · Answer 1

Suponiendo que usted tenía el permiso expreso de los propietarios del sitio web para probar la vulnerabilidad, probablemente, dependiendo de su ubicación (según las leyes de Reino Unido / EE. UU. / UE).

Tener un rastreador que analice la vulnerabilidad es (en mi opinión) es casi seguro que infringe alguna ley en cualquier país. Sin embargo, no solo esto, imagínelo desde la perspectiva del propietario del negocio / sitio web: ¿cuál es su intención real ?

Como una nota al margen - Tienes que tener cuidado al seguir esta ruta, a pesar de que estás tratando de hacer lo correcto (presumiblemente) y ganar una pequeña cantidad de dinero ( De nuevo, suponiendo que esto puede interpretarse de dos maneras diferentes:

Sé cómo solucionar este problema, le avisaré al cliente y pueden pagarme una pequeña tarifa por hacerlo (o gratis porque me importa la seguridad).
Sé cómo solucionar este problema, le avisaré al cliente y lo forzaré a pagarme un rescate o, de lo contrario, les contaré a todos sobre su defecto.

Casi todos los que leen su correo electrónico / carta o escuchan su llamada telefónica van a pensar que están siendo estafados. Además de esto, si informa a un cliente que existe la vulnerabilidad y que ha escaneado su servidor / sitio y lo encontró allí, acaba de enviarles un correo electrónico diciendo lo siguiente (a los ojos de la ley del Reino Unido, otros podrían ser diferente):

"Hola, exploré su sitio web sin permiso y descubrí una falla. Puedo omitir la seguridad / acceder a datos confidenciales. Por favor, asegure esto".

¿Qué sucede si dentro de los 3 minutos posteriores al envío de ese correo electrónico, el servidor se ve comprometido utilizando el método que acaba de describir? Incluso si saben que no eres tú, se les tachará de que acaban de perder datos y suponen que eres tú. Incluso si hay una falta de evidencia, es un problema que preferiría no tener.

Le sugeriría crear un sitio web donde las personas puedan probar sus propios sitios y servidores escribiendo un nombre de host / dirección IP en un cuadro y aceptando algunas t y c que lo hacen no responsable.