Citat:
Originally posted by Jan Eriksson@Sep 20 2007, 18:34
När vi påpekade detta så fick vi följande svar från VD:en på företaget som utvecklar systemet:
Citat:
...att detta på något sätt skulle påverka säkerheten på xxxxxx och omöjliggöra användning bedömer jag vara obalanserat...
|
xxxxxx är systemets namn.
Vad tycker ni om detta svar?
|
Jag tycker du sakligt borde bemöta hans argumentation:
Nej, det omöjliggör inte användning men det är ett potentiellt säkerhetshåll som kan utnyttjas (visa också att du utan vidare kunnat hämta uppgifter ur systemet). Påpeka att detta har effekter för systemets säkerhet och att du inte kan ta ansvar för följder om detta inte åtgärdas.
Du har funnit en säkerhetsbrist i system och redogjort den för företaget, det är nu företagets ansvar att åtgärda problemet eller strunta blankt i det. Påpeka också vad det kan ha för effekter för företagets förtroende om säkerhetshålet skulle utnyttjas (i synnerhet när det är upptäckt och dokumenterat). Det kan säkerligen tänkas att känsliga uppgifter i så fall skulle läcka ut och att företaget genom att ignorera felet har bidragit till att möjliggöra detta vilket även kan få juridisk konsekvenser.
Huvudsaken är väl att du inte viker så att du kan på något sätt ha medverkat till att relativera frågan. Det är självfallet en säkerhetsbrist (även om den i praktiken än nog så liten), stå på dig och påpeka att sql-injektion är ett allvarligt säkerhetsfel som kan göra hela systemet obrukbart eller göra intern data tillgänglig för konkurrenter eller hackers. Säkerligen vore det inte så roligt om någon hämtade ut alla epostadresser ur systemet och använde dem för spam. På så sätt får man inga glada kunder…
Om företaget gör något åt det eller inte är deras sak. För din del är det bara viktigt att stå fast vid din kritik.