Full Disclosure Policy dla XSS?

[12-04-2007]

Tematyka ujawniania luk XSS w serwisach internetowych jest ostatnio dość popularna, i budzi czasem gorące emocje. Może warto przypomnieć o istnieniu Full Disclosure Policy?

The goal of following this policy, above all else, is education:

Education of the vendor to the problem (ISSUE, as defined below).

Education of the researcher on how the vendor intends to fix the problem, and what caveats might cause a solution to be delayed.

Education of the community of the problem, and hopefully a resolution.
With education, through continued communication between the researcher and software maintainer, it allows both parties to see where the other one is coming from. Coupled with compensation*, the experience is then beneficial to the researcher, vendor, and community. Win/win/win for everybody. :)

(*Compensation is meant to include credit for discovery of the ISSUE, and perhaps in some cases, encouragement from the vendor to continue research, which might include product updates, premier technical subscriptions, etc. Monetary compensation, or any situation that could be misconstrued as extortion, is highly discouraged.)

W przypadku XSS można zastanawiać się również, w jakich warunkach publiczne ujawnienie luki jest uzasadnione. Serwisy internetowe nie muszą zazwyczaj informować publicznie o fakcie załatania luki, ponieważ cały proces aktualizacji odbywa się po stronie serwera, i nie wymaga podjęcia żadnych działań przez użytkowników. Ujawnienie jest zatem pomocne, jeżeli:

• problem jest nowy lub nieznany, a występuje powszechnie w wielu serwisach; wówczas informacja o fakcie istnienia tego typu luk, ewentualnie poparta przykładem dla konkretnego serwisu, może mieć pozytywne skutki;
• zgłaszający proponuje nową metodę obrony, która może być zastosowana przez użytkowników lub inne serwisy
• serwis pozostaje niezałatany przez dłuższy czas (np. kilka miesięcy) pomimo zgłoszenia

Zgodnie z RFP serwis powinien odpowiedzieć w ciągu 5 dni – w tym czasie zgłaszający i serwis mogą ustalić przybliżony termin załatania błędu. Dobrym pomysłem jest dokładne wyjaśnienie w zgłoszeniu przyczyn i skutków istnienia luki. Propozycje finansowe oczywiście nie mają z Full Disclosure Policy nic wspólnego, co zresztą jest podkreślone w zacytowanym powyżej fragmencie.

Czy Waszym zdaniem tego typu zasady mają sens w przypadku luk XSS?

Leave a Comment

Name (required)

Mail (will not be published) (required)

Website