Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Blogok harca 2.

2010.12.07. 23:00 | buherator | 2 komment

És akkor egy pár szóban a katedrálisról, a bazárról, meg a hibakezelésről az előző blogos poszt kapcsán. Előre bocsátanám, hogy hivatalosan nem értek sem a sebezhetőség-menedzsmenthez, sem más kapcsolódó területhez, a leírtak csak a saját tapasztalataimat és gondolataimat összegzik, támaszkodva néhány, nálam sokkal tapasztaltabb szakember hasonló okfejtésére.

Bizonyára mindenki, aki ide kommentel felfedezte már, hogy a blog.hu admin felületén van egy nagy, narancsságra "Bugreport" gomb (mailto:), amit lehet nyomogatni, ha valakinek baja van, ezen kívül ott a Gépház blog és egy általános kontakt e-mail cím a főoldalon a nem regisztrált felhasználók számára. A Postr-en a lap alján van egy Írjon Nekünk! link, ami átdob az origo.hu-ra, ahonnan egy webes formon keresztül küldhetünk üzenetet, Origo címlap tárgymegjelöléssel, miután megoldunk egy CAPTCHA-t - ez a form mellesleg pár hónapja szintén SQL errort dobott ha jól rémlik.

A blog.hu-nak küldött e-mailemre 2:03 perc után kaptam választ, majd kicsivel később kértek, hogy írjam le a kihasználás pontos módját, hogy tudják ellenőrizni az addigra elkészült javításukat, valamint megkértek, hogy ne publikáljak semmit, amíg mindent le nem ellenőriztek.

Ha ugyanezt az Origo felületéről indulva akartam volna eljátszani, akkor nem tudtam volna elrakni az eredeti e-mailem, és fogalmam sem lett volna arról, hogy egyáltalán történt-e valami a túloldalon - a Mailer-Daemon bácsi ezzel szemben hasznos infókkal tud szolgálni a legtöbb esetben. Szerencsére annak idején pont a Postr kapcsán beszélgettünk egy origo-s illetékessel, akin keresztül (2 hopon át...) el tudtam juttatni a fejlesztőkhöz az információt.

Aztán két nap múlva írtam egy türelmetlen e-mailt, hogy mi a vihar van, mert a site ugyanúgy áll bugosan. Mint a válaszból megtudtam, a fejlesztők már kijavítottak valamit, de azért jó lenne ha küldenék támadási mintákat, hogy ellenőrizzék magukat. Ezen kívül a frissítési folyamat a Magenta Óriás gyomrában nem triviális, 1-2 napnál hamarabb nem tudnak kikerülni a javítások. 

Igen, elfeledkeztem róla, hogy a Postr kiadója az Origo, akit pedig bezony a Magyar Telekom tart kézben az egész blogszolgáltatás meg integrálva van az iWiW-vel, a Videával és a Freemaillel is. Bazárt feltételeztem ott, ahol már rég katedrális áll, az pedig mint tudjuk, nehezen mozdul meg.

A történet egyik tanulsága tehát az, hogy nem szabad ugyanúgy hozzáállni egy hatalmas multihoz, mint egy olyan céghez, ahol közvetlenül lehet levelezni a fejlesztőkkel. Türelmesnek kell lenni, mert a belső szabályzatok és a vállalati hierarchia a legtettrekészebb emberek kezét is megkötheti - nincs kétségem affelől, hogy a Postr munkatársai lehetőségeikhez képest a leghatékonyabban jártak el ebben a szituációban.

De az eset ugyanakkor a technikai segítségnyújtás prüszkölő állatorvosi lova is, álljon hát itt néhány tanács azok számára, akik szeretnének hatékonyan reagálni a kívülről érkező hibajelentésekre:

  • Ne nehezítsük meg a hibajelentést! Legyen legalább egy közvetlen technikai kontakt e-mail cím a weboldalon, minimum az impresszumban, mert a magunkfajta nem fog telefonálni, levelet írni, faxot, vagy füstjeleket küldeni, meg önmagát CAPTCHA-kkal szívatni, mikor a hibajavítás kizárólag a szolgáltató érdeke. Nagy fejlesztők esetében általában egy security@ fiók létezése is elvárás. Spamszűrő meg legyen.
  • A technikai kapcsolat címére küldött e-mailek lehetőleg ne a PR-osztályon landoljanak, mert ott nem tudják, hogy mit kell kezdeni vele.
  • A bejelentővel közöljük, hogy várható-e javítás, és ha igen, mikorra. Ezzel kapcsolatban ezt a levelet tudom ajánlani. 
  • Szerezzünk meg a bejelentőtől minden javításhoz szükséges információt mihamarabb, nem tudjuk mikor válik köddé az illető.

Akinek ez mániája, írhat erre valami szabályzatot is :)

Címkék: gondolat

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Depth 2010.12.08. 09:34:21

Bicskanyitogató mindig ilyenekre fogni a javításra szánt időt :)
Ha az ember valaha is áll/állt a túloldalon tudja miért történik ez...

b. á. 2010.12.08. 16:44:11

Azért jópofa, hogy a bloghu motor fő-fő-fő ősapukája emlékeim szerint a Postr-nál is fejlesztő, de ő sem gondolhatott mindenre.