返回信息流如果你发现了网站的安全漏洞,不应该在公开场合讨论,也不要在不信任的圈子里散播。因为漏洞一旦公布,黑客会最先利用这个漏洞进行攻击。公开讨论漏洞是一个很幼稚的做法。
正确的做法是私下联系开发人员,可以通过email、非公开订阅的邮件列表、即时消息、电话、站内信、面对面交谈等方式。注意,不要在Bug Tracker上报告,除非Bug Tracker有能只允许开发人员读报告的访问控制机制(如Bugzilla的private comment)。
只有在开发者提供了补丁,而且主要用户(这里包括我们byr以及水木社区)修复了漏洞之后,才能公开讨论。(现在都修复了)
这是一条镜像帖。来源:北邮人论坛 / security / #36318同步于 2013/5/23
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
安全漏洞不宜公开讨论
nuanyangyang
2013/5/23镜像同步3 回复
订阅后,新回复会通过你的通知中心匿名送达。
3 条回复
机制。
SNS不能保证即时响应。我甚至不知道我们论坛上有sns。
我在byr论坛网站上没有发现关于安全问题的报告机制。甚至站长信箱都没有。起码应该有一个about和contact页面。
【 在 firesun 的大作中提到: 】
: 其实我想知道开发人员的反应速度有多少 我曾经联系过sns上留下的邮箱发过邮件貌似没有回复过 那位牛人在论坛13号发帖到昨天才堵上漏洞 这速度是不是有点慢