Скрыть Показать
Дев блог → Как сообщать разработчикам о найденных на сайте уязвимостях
21.09.2011 21:27 by .up | Источник: CCP Sreegs

Здравствуйте, товарищи!

Эта статья посвящена очень важной для меня теме, до этого не обсуждавшейся — к счастью, очередь дошла и до нее.

Сначала я хочу рассказать вам о процессе разработки веб-приложений в компании CCP — не о том, почему мы выбираем те или иные технологии, а об обеспечении их безопасности (чем я, собственно, и занимаюсь). Мы работаем по выверенной схеме: сперва мы сами проверяем весь написанный код, а затем передаем его доверенной независимой компании, проводящей аудит уязвимостей. От результатов этого аудита зависит, выйдет ли приложение в срок: если уязвимости не удается устранить вовремя, то срок выхода приложения откладывается. Разрабатываемые нами веб-приложения весьма сложны ― ведь они взаимодействуют со многими другими системами. Это не может не сказываться на сложности тестирования; мы никогда не ограничиваемся проверкой лишь одного элемента системы (например, форумов) ― все элементы нужно испытывать вместе, что делает стоящую перед нами задачу значительно более трудной. Иногда нам не удается найти ошибки на этапе подготовки сайта к выпуску; эта статья расскажет вам о том, что следует делать в случае их обнаружения.

Со времени нашей первой попытки выпустить в свет новую версию форумов я работал над планом, который позволил бы вам своевременно сообщать об уязвимостях в наших системах, получая за это соответствующее вознаграждение. Перед вами ― первая версия этого плана; в основу дальнейшей работы над ним лягут ваши комментарии. Кто лучше вас знает, какой наградой вы действительно будете гордиться?

В настоящий момент игроки сообщают нам об уязвимостях следующими способами:

  1. С помощью петиций. Это не очень эффективный способ — гейм-мастер, который будет рассматривать вашу петицию, не является экспертом в области безопасности. Он может неправильно оценить степень важности вопроса — пока информация дойдет до нас, пройдет слишком много времени. Вопросы, связанные с безопасностью, нужно решать в течение нескольких минут или часов, а не дней.
  2. С помощью отчета об ошибке, отправляемого через сайт. Этот способ обладает всеми недостатками предыдущего — ваши отчеты вполне могут завалиться в дальний угол багтрекера.
  3. С помощью темы, создаваемой на официальном форуме. Это плохая идея — очень, ОЧЕНЬ плохая идея. В результате открытого распространения информации об уязвимости узнают злоумышленники ― они смогут беспрепятственно пользоваться ею до тех пор, пока мы не отреагируем на ваше сообщение.
  4. С помощью темы, создаваемой на любом другом форуме. Без комментариев.

Одним словом, ни один из этих способов не годится для своевременного донесения до нас важной информации. Мы хотим исправить эту ситуацию следующим образом:

  1. Предоставить в ваше распоряжение надежный и быстрый канал для передачи нам информации о найденных уязвимостях — канал, позволяющий нам моментально проверять сообщения пользователей и устранять дефекты.
  2. Объяснить, какая именно информация будет нам полезна.

Что такое «ответственное раскрытие информации»?

Согласно «Википедии», «ответственное раскрытие информации» ― это термин из области компьютерной безопасности, описывающий один из способов раскрытия информации о найденных уязвимостях. Он мало чем отличается от полного раскрытия информации, однако имеет одно важное отличие: те, кто обнаружил уязвимость, соглашаются дать разработчикам время на ее устранение; информация об уязвимости разглашается лишь по истечении этого срока. Подробнее об ответственном раскрытии информации можно узнать, прочитав соответствующую статью «Википедии».

Мы хотим создать механизм, при помощи которого вы сможете не только конфиденциально сообщать нам об уязвимостях, но и получать за это вознаграждение. Мы считаем, что усилия по улучшению игры и повышению безопасности ее участников должны соответствующим образом поощряться — но об этом мы поговорим чуть позже, когда речь зайдет о характере этих наград.

Какая информация нам нужна?

Мы не хотим начинать наше сотрудничество с разработки безумных шаблонов отчетов и правил их заполнения. Скажем просто — нам нужна максимально подробная информация. Приведу два примера, связанных с запуском нового форума:

  • Плохой пример: пользователь пишет отчет об ошибке, состоящий из одного предложения: «Вы все идиоты, ничего не работает».
  • Хороший пример: пользователь отправляет по адресу security@ccpgames.com письмо следующего содержания — «дорогой CCP Sreegs, я нашел уязвимость в коде официального форума, связанную с межсайтовым скриптингом. Пожалуйста, посмотри на эксплойт, который я написал — я его проверил, он работает».

Хотите ― верьте, хотите ― нет, но оба примера взяты из реальной жизни. Первый «отчет» так и не добрался до разработчиков, способных устранить уязвимость; кроме того, в наших логах были зафиксированы лишь попытки использования эксплойта — без учета фактических намерений пользователя. Мы могли бы счесть эти действия попыткой взлома — и наказали бы горе-помощника по всей строгости наших законов. Во втором случае игрок действительно помог нам и получил вознаграждение; теперь мы хотим формализовать правила выдачи подобных наград.

PLEX в обмен на информацию

Грубо говоря, мы хотим простимулировать добропорядочное поведение. Нам уже приходилось вознаграждать игроков за сообщения о найденных уязвимостях, но размер награды в каждом случае определялся индивидуально. Главная проблема ― определить, что именно вас интересует. Ваше имя в новостях (это всегда полезно при составлении резюме)? Бесплатное продление подписки? Что-то иное? Мы учтем все ваши комментарии — хочется, чтобы наше сотрудничество было по-настоящему эффективным.

Мы исходим из того, что все сообщения об уязвимостях делаются на условиях полной конфиденциальности; если вы хотите сохранить анонимность ― нет проблем, но если вам нужна слава, то вы ее получите. Некоторые идеи по поводу наград у нас уже есть, однако окончательное решение будет принято лишь с учетом ваших пожеланий.

Хочу сразу оговориться: вознаграждения заслуживают далеко не все отчеты. Чтобы получить награду, вам придется снабдить нас действительно ценной информацией; например, мало кого удивишь тем фактом, что CCP Soundwave собрал самую большую в Исландии коллекцию аниме — а вот рассказом о том, как он взялся учить японский, чтобы ничего не упустить из-за перевода, грех не поделиться с окружающими. В нашем случае пример звучит так: вместо «у вас там что-то сломано» мы хотели бы услышать «у вас там что-то сломано — сломал я его так-то и так-то». Если мы сможем воспроизвести условия, позволяющие вам пользоваться эксплойтом, и устранить их, то нашей признательности не будет границ; чем больше информации вы сможете нам предоставить, тем лучше.

Все, убедили; как с вами связаться?

Самый лучший способ связи с нами — отправка подробного письма по адресу security@ccpgames.com; лишь в этом случае мы можем гарантировать, что ваше сообщение доберется до людей, в нем заинтересованных. Несмотря на то, что правила сотрудничества с пользователями еще не утверждены, я лично прослежу за тем, чтобы важные отчеты об уязвимостях соответствующим образом вознаграждались. Жду ваших соображений о характере наград!

CCP Sreegs

Теги плекс, баги, эксплойт, петиция, уязвимости, обратная связь
3
COMMENTS
[+] 6 [-]
Вверх
[#] 22.09.2011 @ 05:43 by Calamos
+ 0 -
Эксплоит наверное выгоднее юзать для получения ирисок, нежели сообщить и о нем и остаться ни с чем. ответить
[#] 22.09.2011 @ 10:57 by proces
+ 0 -
Я тоже так думаю... или награда должна быть ..например годом подписки или более-) ответить
[#] 23.09.2011 @ 20:05 by izn1
+ 0 -
хмм...я так понимаю скоро нам будут говорить почему в офисе сср больше унитазов чем писуаров. Очень нужные вещи сообщают ответить
Написать комментарий
Играть бесплатно
Warhammer 40000
от Iosif Vissarionovich - Сегодня в 21:03
Посты CCP на официальных форумах
от Yodik - Сегодня в 18:13
Escape from Tarkov
от darkpan - Сегодня в 15:51
Genshin Impact (чо посаны, анимэ?)
от Slonus - Сегодня в 14:20
Лоусечная шолупень
от kirog - Сегодня в 06:02
Path of Exile
от Mark Nomad - Сегодня в 02:46
Albion online
от elizaroff - Вчера в 13:27
комментарии топики
pre-launch дрифтеры видео inferno мелочи sisters of eve нули fanfest скитальцы 2008 jove patch notes турнир eve soe jamil sarum майнинг caldari dust odyssey incarna concord суверенитет caldari prime amarr амарр karin midular rubicon dust 514 alliance tournament клайм сообщество пвп csm kronos ccp wormhole pvp выборы обновление фанфест дроны империя upwell consortium retribution производство графика eve online ролеплей даунтайм gallente пираты баги plex интерфейс kyonoke serpentis ребаланс tibus heth капсулиры crucible список изменений рубикон корабли патч разработчики цитадель minmatar галленте чемпионат
 
© 2005—2024, EVE-RU.COM | О проекте | CCP Copyright notice | Fornex
EVE Online and the EVE logo are the registered trademarks of CCP hf. All rights are reserved worldwide. All other trademarks are the property of their respective owners. EVE Online, the EVE logo, EVE and all associated logos and designs are the intellectual property of CCP hf. All artwork, screenshots, characters, vehicles, storylines, world facts or other recognizable features of the intellectual property relating to these trademarks are likewise the intellectual property of CCP hf. CCP hf. has granted permission to EVE-RU to use EVE Online and all associated logos and designs for promotional and information purposes on its website but does not endorse, and is not in any way affiliated with, EVE-RU. CCP is in no way responsible for the content on or functioning of this website, nor can it be liable for any damage arising from the use of this website.