Куды бечь, когда узнал о проблемах с безопасностью?

На чтение 1 мин Просмотров 23 Опубликовано 17/09/2007

Опубликовал на SecurityLab очередную статью про рекомендации Vulnerability Disclosure Working Group в части создания на каждом сайте раздела /security, который является демонстрацией компанией или организацией своего стремления защитить своих клиентов и свои активы от различных посягательств.

Адрес статьи- http://www.securitylab.ru/contest/302888.php

статьи уязвимости

Есть что добавить? Добавьте!

Имя *

Email *

Комментарий

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

Ригель 17/09/2007 в 13:44

По-моему, «так нам велит НИАК» (ИСО, НИСТ, НАСА, ПАСЕ) в соседстве с «не верьте западным оракулам» выглядит странно 😉
Более ожидаемым был заход через профит, например «наметилась такая тенденция, это солидно и удобно, прошла даже унификация» (если уж нужно показать Cisco в авангарде) и т.д.

А вообще, конечно, впервые в Рунете поднята тема внешнего интерфейса службы ИБ (даже Б), т.к. с уязвимостями, ссылками и рекомендациями и блогами это уже действительно интерфейс, а не контакт для инцидент-рипортинга — пока из наших служб ИБ ничего не исходило, только входило.
Кстати, это еще и своеобразный индикатор роли_безопасности_в_бизнесе: в AT&T и HCBS, поди, структуру сайта тоже первые лица согласовывают.

Ответить
Алексей Лукацкий 18/09/2007 в 11:30

Ну ты немного не прав. Я не говорил «не верьте западным оракулам». Особенно, коль скоро, я работаю в одном из них 😉 Я говорил «верьте, но обдуманно». Это, согласись, немного другая точка зрения.

И я также не говорил «так велит NIAC» 😉 Он так рекомендует. И его рекомендация вполне логична и понятна. Почему бы ей не воспользоваться? А уж пользоваться или нет — всегда остается на совести предприятия.

Ответить
Ригель 20/09/2007 в 07:15

> его рекомендация вполне логична
> и понятна. Почему бы ей не
> воспользоваться

Разумеется.
Я всего лишь усомнился, стоило ли начинать статью со ссылки на NIAC, а не в том, стоило ли его упоминать.
Т.е. заходить через авторитет, а не через пользу.

Ответить
Алексей Лукацкий 20/09/2007 в 08:24

А почему бы и нет 😉 Тем более, что изначально я статью писал про другое 😉 Даже не так. Была задумка на 3 статьи. Первая про NIAC. Вторая про slash security. Третья — результаты тестирования российских сайтов slash security. Потом оказалось, что с третьей статьей облом — ни одного сайта не нашел. Поэтому я и совместил первые две статьи 😉

Ответить
Ригель 20/09/2007 в 16:17

Это и так заметно: адресованность тем, КТО нашел дыру, обусловлена переделкой под секлаб, а содержание писалось для тех, У КОГО имеется неиспользуемая возможность для улучшения.

На чем, кстати, и возникли непонятки у части комментаторов.

Ответить