web-dev-qa-db-fra.com

Pourquoi soumettre un site Web aux contrevenants en texte brut?

J'ai lu ceci question et pour citer le réponse acceptée

En plus de cela, en soumettant le site à des contrevenants en texte brut, vous fournirez un point de vue tiers, qui pourrait aider votre cas.

Mais, ne pas soumettre un site Web à des délinquants en clair ne vous expose-t-il pas à plus de risques?
Une personne malveillante pourrait voir le site Web que vous avez envoyé contrevenants en texte clair puis essayer d'exploiter la vulnérabilité, vous exposant (ainsi que toute autre personne utilisant ce site) à un risque plus élevé.

Ou est-ce que je manque juste quelque chose?

51
Ryan Weaver

Je commencerai par citer également leur FAQ :

N'êtes-vous pas inquiet que les pirates utilisent votre site pour trouver des cibles?

Oui, mais moins inquiet que de garder ces informations secrètes et de s'appuyer sur la sécurité par l'obscurité.

Ce qui est une déclaration invalide pour la raison très simple que ces sites ne dépendent en aucune façon de la sécurité par l'obscurité. Leur sécurité n'est pas renforcée tant que ce secret reste secret. C'est une erreur populaire que d'évoquer la sécurité par l'obscurité dans chaque deuxième débat sur la sécurité, mais la seule chose qui compte est de faire une évaluation des risques. Et oui, une obscurité supplémentaire sera souvent utile, tant que vous ne vous y fiez pas.

Mais revenons au sujet:

  • Quels avantages y a-t-il à le soumettre aux contrevenants en texte brut?

    Les sites Web sont plus susceptibles de corriger leurs configurations et un nombre négligeable d'utilisateurs peuvent ne pas réutiliser leur mot de passe. De plus, certains ont prétendu qu'un enregistrement horodaté de leur utilisation serait important en cour, mais un enregistrement horodaté n'a pas besoin d'être lisible publiquement (un courrier sur des serveurs centraux - non gérés de manière privée - fera aussi l'affaire).

  • Quels inconvénients y a-t-il à le soumettre aux contrevenants en texte brut?

    Les sites Web qui stockent des mots de passe en texte brut deviennent des cibles plus populaires. Non seulement parce qu'ils stockent les mots de passe en texte brut, mais surtout parce que c'est une indication d'anciens systèmes non sécurisés.

Donc, pour répondre à votre question: vous ne manquez absolument rien et vous avez tout à fait raison que c'est un appel important à faire. Personnellement, je conseillerais à quiconque de NE PAS suivre les directives de soumission de plainxtoffenders.com et de contacter à tout moment le site Web en question vous-même. Seulement si rien ne change ou que leurs réponses sont ternes, contactez-les à nouveau avec le message que vous avez soumis leur site Web aux délinquants en texte brut.

6
David Mulder

Pour citer leur FAQ :

Ne craignez-vous pas que les pirates utilisent votre site pour trouver des cibles?

Oui, mais moins inquiet que de garder ces informations secrètes et de s'appuyer sur la sécurité par l'obscurité.

Pour être plus verbeux: Il y a deux résultats possibles en soumettant un site là-bas:

  1. Ils le corrigent - Cela se produit plus souvent lorsqu'ils sont honteux publiquement. La probabilité d'attaque augmente également.

    En outre, cacher les problèmes de sécurité (ne les laisser sécurisés que tant qu'ils sont gardés secrets) plutôt que de les résoudre est généralement considéré comme un contre-modèle de sécurité, comme l'indique le NIST "Guide to General Server Security" :

    "La sécurité du système ne doit pas dépendre du secret de l'implémentation ou de ses composants."

  2. Ils ne le résolvent pas - Ensuite, il est au moins documenté publiquement et en externe.

    Pour être plus précis, merci à Chris Cirefice qui a précisé les commentaires de ce que j'avais en tête:

    "documenté publiquement et en externe" - avec des horodatages . Donc, si une société de prêts aux étudiants est piratée et que les coordonnées bancaires des étudiants sont divulguées en raison du non-respect des politiques gouvernementales (américaines), par ex. la loi Gramm-Leach-Bliley 1 2, les étudiants pourraient poursuivre la société, et les horodatages de la divulgation publique du non-respect constitueraient une grande preuve en justice pour une récompense.

76
Tobi Nary

La question semble faire l'hypothèse que les délinquants en texte brut sont le seul site qui maintient une telle liste, plutôt que d'être simplement celui qui a le profil public le plus élevé.

Il existe cependant de nombreux autres sites, moins salubres, qui tiennent de telles listes; tout domaine répertorié sur Plaintext Offenders est susceptible d'avoir été sur ces autres sites pendant un certain temps.

Donc, vous ne dites probablement pas aux méchants tout ce qu'ils ne savent pas, mais vous dites peut-être aux propriétaires du site quelque chose qu'ils ne savent pas, et braquez une lumière de publicité pour les encourager à agir en conséquence.

13
Dewi Morgan

Une chose qu'il est important de comprendre, c'est qu'il existe une différence pratique entre "l'exposition par mot de passe" et "plus de risques".

Vous pouvez dire avec certitude que la soumission d'un site à des contrevenants en texte brut entraîne une exposition supplémentaire au mot de passe. Ce fait n'est pas en cause.

Cependant, qu'il en résulte un risque supplémentaire est plus nuancé. Si le site ne fait rien à ce sujet, et vous et les autres utilisateurs continuez à utiliser le site comme si la faille n'était pas connue, alors l'exposition supplémentaire du mot de passe entraîne effectivement risque supplémentaire. Si, cependant, cela entraîne des changements de comportement, par exemple, certains utilisateurs décident de ne pas réutiliser les mots de passe qu'ils auraient autrement réutilisés sur ce site, (plus probablement) ou si la publicité négative conduit le site à améliorer la sécurité du système , (moins probable, mais possible et une énorme réduction du risque si elle est atteinte), puis l'équation passe à quelque part entre pas si clair, à une définition et à une réduction significative du risque.

Donc, ce n'est pas aussi simple qu'une option est bonne et l'autre est fausse. Le risque, de par sa nature même, comprend une composante de l'inconnu, qui est la probabilité d'une éventuelle exploitation, de sorte qu'en fin de compte, il s'agit d'un appel au jugement.

12
Xander