今日热议主题：当用户向你报告了安全问题你会怎样做

强行热议 ( ﾟ∀。)

刚才刷 feed 时看到这样一条讨论串 Ask Slashdot: What Is the Best Way To Thank Users For Reporting Security Issues? - Slashdot po 主的主要意思就是说他收到了用户发来的消息，报告了安全问题，他想知道到如何感谢这类提交 security issue 的用户。本来我以为底下会说 money, thanks email, bitcoin 之类的，结果竟然有不少人同意了以下观点：

This is a stupid answer.

Here's how you should actually handle people who report security issues:

If you're an IT director and it's a company employee who reported it, you need to inform the upper management that you have a possible hacker in the company, and get his ass fired.

If you work in a company and someone in the general public reported it, you need to notify your legal department so they can file a lawsuit against the person for defamation.

If you're in government and this was reported by someone in the general public of your country, you need to notify law enforcement so they'll be arrested for hacking and thrown in prison.

Only hackers would care about "security issues", and if that information becomes public, it will just help other hackers, so any such people need to be dealt with, extremely harshly. If you disagree, then you obviously are not in a position of power in the US.

虽然让我感到很不爽，但确实是一些公司的做法，简单的说就是甩锅，毕竟因为承认了纯在安全漏洞就等于给了用户发起诉讼的理由。但作为一个运维，有人愿意给我发邮件告诉我伺服器存在漏洞，告诉我问题的 CVE 编号、复现方式、修复方法，我会给他发一封感谢邮件。（虽然类似于有人把我家锁撬了然后告诉我我家的锁不安全）

诸位怎么看呢？

levn

2017-01-10 17:42:47 +08:00

@Explorare 能够得到 “确定性” 的安全程度的时候，安全程度才能成为一个足够明确的参数。但是目前用户评价产品安全程度仍然只能以 “偶然性” 的 “安全事件” 的发生来判断。这个联系太弱。所以等到安全事件开始频繁发生，频繁到几乎脱离 “偶然” 的时候，安全性评估才被迫的进入某种常态的形式。（比如电话诈骗的发展终于开始影响银行策略？）

Explorare

2017-01-10 20:34:57 +08:00

@sammo
>没有这点觉悟建议你不要做网站
被黑的觉悟么？就好比对一个穿着时尚的女性说你穿这么骚吃枣被强奸，做好觉悟吧，被强奸就是你活该咯。只要未经拥有着授权允许而进行的入侵渗透行为就是违法的，只不过看是否达到量刑标准了，比如 10 组金融、证券相关账号认证信息，或者 500 组一般账号认证信息。这点如何洗白？

>安全意识太差
术业有专攻，搞开发的安全技术肯定比不过专门搞安全的，也许有那样的个例样样精通，我不是那个人，也许你是。我尽我所能保证网站安全，当我认为数据价值大于维护成本时，我再专门雇佣专业人员进行入侵检测，给我报告和修复方案，这种我认为才算合法的白帽行为。不请自来还是免了。来了我可以善待，但不代表我接受。

>https://twitter.com/fangongheike 这就是专门黑 zf 网站的
不知道你贴这个链接是想表达什么？他的行为很伟大？如果他真这么伟大为什么不干掉 GFW ？保护境外网络的纯净？我看不出他这个行为有什么实际价值，只不过自己爽了罢了。要是能写篇论文论述一下怎样针对 GFW 的深度包检测和特征流量检测进行算法改进我倒是很服。

>建议你去当律师。
不敢当。我的一位朋友倒是是律师，我这点东西都是从他那里学来的，现学现卖而已。要是我随随便便就当上律师岂不是对他这么多年的努力是一种侮辱？

Explorare

2017-01-10 20:40:09 +08:00

@foreverdreamer 这里特指安全漏洞。一般的 bug 我敢放心大胆的开 ticket ，不指望啥，就图赶紧修复了让我继续用。安全漏洞嘛，我只敢匿名发，而且以我技术也找不到几个，人菜又懒。安全漏洞一般不是用户正常使用情景中会触发的吧，比如说跨站？注入？并不是一耙子打死所有开 issue 的人，而是指那些自作主张进行渗透测试的人，之后他们是闷声发大财还是主动上报了，不影响之前行为的违法性的定性。