0 Utenti e 1 Visitatore stanno visualizzando questo topic.
Se il problema è solo questo disabilità i commenti e sei a postoInviato dal mio Mi A2 Lite utilizzando Tapatalk
Potrei farlo per un periodo, finché non trovo la soluzione, però ci sarebbe sempre il modulo di login, che, anche se per ora il mio sito non prevede la possibilità di registrarsi, serve a me per accedere al pannello di amministrazione.
Se il login è su indirizzo specifico tipo sito.it/login.php Puoi bloccare la pagina lato server con filtro ip o un'altro username e passwordInviato dal mio Mi A2 Lite utilizzando Tapatalk
non credo sia un fatto di spillare soldi. I security researcher esistono davvero, a voler puntualizzare gli hacker che puntano al ritorno economico o alla frode sono cracker, infatti l'hacker nominalmente sarebbe quello che sblocca programmi o servizi per renderli free.detto questo probabilmente ti hanno contattato insieme a altri utilizzatori della medesima piattaforma e probabilmente i developer già ne sono al corrente. a meno che la piattaforma non abbia aggiornamenti che tu hai ignorato, in quel caso ti basterà forse aggiornare
Sono sostanzialmente d'accordo, ma resta qualche ombra, perché se davvero fossero mossi dall'ideale puro del "safer place" rivelerebbero subito all'amministratore del sito i dettagli della vulnerabilità, magari offrendo anche il loro aiuto per trovare una patch, monetizzando se possibile. Invece i dettagli restano nascosti, con la velata minaccia di renderli pubblici dopo 90 giorni.Questo a me pare un gentile ricatto:"A security researcher can delete the report before public disclosure, afterwards the report cannot be deleted or modified anymore. The researcher can also postpone public disclosure date as long as reasonably required to remediate the vulnerability".
beh ma 90 giorni è un tempo ragionevole e la minaccia è di una pubblicazione irrevocabile, non un attacco al sito, considerato che mancano elementi di interesse potrebbe anche non cacarti nessuno e togliendo la pubblicazione dal controllo dell'hacker sei anche al "sicuro" da ricatti successivi, visto che sai che il researcher non potrà più eliminare quella entry e quindi non potrà richiedere pagamenti in quell'ottica.Ovviamente la cosa non è del tutto pulita, ma concettualmente è: "sistema sta cosa, se non sai farlo paga qualcuno, se non sai chi pagare paga il researcher. se non lo fai nulla succede salvo che la pubblicazione della tua falla nel nostro bollettino delle falle", cosa che ovviamente implica notevoli problemi potenziali per cui difficilmente li si ignora, ma sperare che quello ti regali anche il suo tempo per risolvere mi pare francamente utopistico e irragionevole. è come se i pompieri oltre a intimare i lavori urgenti alle facciate dovesso anche farli
No no, mi sono spiegato male. Non mi aspetto che quello mi regali il suo tempo per risolvere il problema, mi aspetto che mi dica quale sia il problema. Probabilmente lo farà pure, anche se non mi ha ancora risposto. Per il resto mi sono fatto la stessa idea tua.
Infatti si sta risolvendo tutto per il meglio. Il tipo mi ha scritto, molto serio e professionale. Io lo avevo contattato da un indirizzo di posta generico, lui mi ha detto che mi avrebbe mandato i dettagli della falla, ma che preferiva mandarli a una casella email del mio nome a dominio. Giusta precauzione da parte sua, perché avrebbe potuto scrivergli un malintenzionato qualunque che volesse usare la vulnerabilità per hackerarmi il sito.Quindi gli ho detto di scrivermi ad admin@miodominio.it, e subito dopo mi ha risposto con tutte le info necessarie, mettendosi a disposizione in caso mi servisse aiuto per risolvere il problema. Insomma, un modo intelligente e utile per cercare lavoro. Io gli ho detto che avrei girato le info agli sviluppatori del CMS e poi gli avrei fatto sapere. Di sicuro avrà una menzione sul sito di Zenphoto e un rating positivo da parte mia sulla piattaforma. Anche perché la falla che ha trovato è piuttosto pericolosa. Comunque il capoccia di Zenphoto ha già capito come risolvere e probabilmente già domani distribuirà la patch.
bene, queste sono le cose belle di internet
Magari hanno scoperto una falla sul forum e preso possesso dell'account di dieguito per spammare.