¿Los servicios de comentarios como Disqus, IntenseDebate, etc. representan un riesgo de seguridad para las corporaciones?
Editar: ¿Qué riesgos podrían surgir al integrar dichos servicios en sitios web corporativos?
¿Los servicios de comentarios como Disqus, IntenseDebate, etc. representan un riesgo de seguridad para las corporaciones?
Editar: ¿Qué riesgos podrían surgir al integrar dichos servicios en sitios web corporativos?
Responda a la pregunta original: no, no es un riesgo de seguridad para sus empleados usar Disqus, etc., al menos, no más que cualquier otra forma de comunicación.
Por supuesto, si los empleados publican información corporativa confidencial en estos sistemas, eso puede dañar los intereses de la empresa. Pero se podría decir lo mismo de cualquier otro medio de comunicación. Con suerte, capacitará a los empleados para que no lo hagan y puede confiar en que sean sensatos.
Responda a la pregunta editada: Sí, la incorporación de estos servicios en el sitio web de su empresa es un riesgo para la seguridad. La forma en que los integras es incorporando un poco de Javascript y ejecutándolo en tu dominio web. Dado que Javascript tiene acceso a su sitio web, a las cookies de su sitio web, a las contraseñas de sus usuarios en su sitio web, etc., esto requiere una confianza total en ese Javascript. Si el proveedor de comentarios de terceros (por ejemplo, Disqus) es malicioso o sufre una infracción de seguridad, podría utilizar el acceso que tiene para atacar su página web y sus usuarios. Para obtener más detalles, consulte Preguntas frecuentes sobre seguridad de widgets web de terceros de Jeremiah Grossman .
Agregando a la gran respuesta de @ D.W. ...
Si su compañía está regulada y requiere que todas las comunicaciones sean auditadas por un tercero, entonces eso podría ser un problema.
Por ejemplo, se requiere que los asesores financieros de FINRA tengan todas las comunicaciones registradas y monitoreadas por alguien como SMARSH. La implementación de dicha solución de cumplimiento fuera del correo electrónico es un dolor de cabeza según los requisitos de los responsables de cumplimiento.
Le sugeriré consultar departamento por departamento o línea comercial.
Personalmente creo que usar Disqus es más seguro. Mi lógica me preguntas? Es sencillo. Disqus le ofrece un servicio popular que puede usar para iniciar sesión, Facebook, OpenID, etc. Preferiría usar las credenciales almacenadas en sus servidores, que en un sitio aleatorio que no puedo verificar que tenga una seguridad decente. No estoy diciendo que solo porque los servicios que ofrece Disqus son populares porque son seguros, creo que han tenido más tiempo para corregir & Mejorar su seguridad. Hay excepciones, por supuesto.
Lea otras preguntas en las etiquetas xss web-service