中国人发现了IE浏览器安全漏洞已经闹得满城风雨,由于漏洞信息的过早透露,全球数亿用户被暴露在各种潜在攻击之下。
刚发现一篇 Opera 安全策略的文档翻译,或许对漏洞研究者们有些帮助,尽管文章讲的是相关 Opera 的内容,但包含了所有浏览器安全漏洞处理的行业惯例。发现漏洞是您的能力,妥善处理您发现的漏洞才是善莫大焉。全文如下(删除了一些 Opera 相关的信息,着重在行业惯例,文中我们指 Opera 团队):
英文全文在:
http://www.opera.com/security/policy/
如何处理安全报告
安全性问题总是具有最高的优先级。当我们收到安全报告, 会尽快评估潜在的威胁。当被确认为安全性问题, 我们会立即联系报告者。作为行业惯例, 报告者会同意接受一个对外公布问题的日期。
公布日期由具体情况决定。在公布之前会有时间允许准备和测试修复, 并检查是否有其它相关问题。同时, 这样保证用户在没有任何升级手段的情况下不被公开的安全脆弱性所影响。
如果必要, 报告者也会被询问如何重现问题的详细信息。有时候, 可能的安全问题会被发现并不是可被利用的漏洞。如果合适, 我们会与报告者联系并告知我们不认为其为安全问题的具体解释。
如何公布安全脆弱性
在报告者所同意的日期, 我们会发布安全建议。同时公布问题细节以及针对此问题我们的解决方案, 大部分情况下, 解决方案是推荐升级最新官方发布的版本。一般来说, 此建议会与新 Opera 版本同时发布, 该版变更日志会提到问题并给出建议的链接。初始报告者一般会被致谢。一条安全建议通常不会解释如何利用问题进行攻击, 但会提供足够的信息识别该问题。
安全性问题评级
当安全机构报告一个问题, 它们一般会包含严重性评级,这是基于攻击漏洞的难度和潜在危害作出的评级。举例包含:
- 导致应用崩溃并不能被重启
- 使得一个网站有伪装另外网站的可能性
- 执行任意代码的能力
- 读取其它站点登录信息和用户系统上的文件的能力
在调查问题的过程中, 会发现更多利用问题进行攻击的难易度信息。某些情况下,我们可能发现报告者给了一个问题过高或过低的评级。这可能意味着我们会更新问题评级, 基于我们对问题的了解。将来的进一步调查过程中可能也会改动评级。
若 Opera 是唯一受影响的程序
我们偶尔会发现一个问题会影响其它提供商的应用。这种情况下, 若初始报告者未联系该应用提供商, 我们可能会联系受影响的厂商。
此类情况下, 公布日期可能会推迟到受影响的厂商发布它们自己的补丁。网络的安全依赖于厂商的合作以保护所有用户。在厂商有机会做出修复之前公开脆弱性问题细节会将用户置于危险的境地。安全建议往往由报告者和厂商发布于新的日期。如果在此之前修复好的版本已经发布, 它的变更日志可能不会包含脆弱性的细节信息, 但应该包含说明表示这是安全性更新, 之后加入更多细节。
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!