Rabbitz.org warnt vor kritischen Sicherheitslücken

Artikel ansehen

Kommentar von IKnowWhatYouDid am 26.07.2015 12:13:
Au man, Skriptkiddiez.
Jungs, mal ehrlich, macht es richtig, oder macht es gar nicht. Gebt die Infos an die Betreiber raus, um Schaden zu verhindern oder verkauft die Infos um Kohle zu machen. Aber was soll dieses „wir geben euch 3 Wochen dann publizieren wir alles!“ Gehabe?
Gut, ich spiele mal mit. Igdrazil, alias Christoph H., schalte rabbitz.org ab oder ich publiziere dich an die Seitenbetreiber :wink:

Kommentar von Lars Sobiraj am 26.07.2015 12:38:
Die Informationen werden den Seitenbetreibern ja von Anfang an ungekürzt zur Verfügung gestellt. Gegenfrage: Welches Druckmittel hat man denn sonst, wenn man weiteren Schaden von den Kunden abwenden will!? Gar keins. Klar wirkt diese Drohung etwas kindisch. Aber was könnte man sonst tun? Einfach zuschauen? Oder sogar Schadenfreude empfinden? Das ist alles recht schwierig…

Kommentar von snop. am 26.07.2015 14:21:
Wie auch schon Lars geschrieben hat, stellen wir dem Seitenbetreiber von Anfang an alle Details zur Verfügung. Dieser darf sich dann im Rahmen der „Responsible disclosure“ Regeln (Wikipedia hilft dir weiter) um den entsprechenden Fix kümmern (das Model funktioniert einwandfrei, bis jetzt wurden alle Meldungen äußerst kompetent behandelt;mit Ausnahme von watchever.de). Muss nicht jedem gefallen, wer sich aber schonmal mit dem Thema beschäftigt hat (dich zähle ich mal nicht dazu) weiß wie ignorant diverse Anbieter sein können und wie hilfreich dementsprechend ein Druckmittel.

Gerne darfst du sämtliche Details über Herrn Christoph H. publizieren, ich freue mich drauf :wink:

Kommentar von phewrie am 27.07.2015 20:34:
Warum publiziert ihr die Sachen nicht auf den einschlägigen Seiten? Das Bürgercert beteiligt sich z.B. auch an Bounty-Programmen. Ich finde das nicht sonderlich optimal den „druck“ über irgendwelche Individuelle Sites (druck = reichweite?!) aufzubauen - zumal es so aussieht, als würdet ihr nur fame einsammeln wollen. Die Bekannten sicherheitsforscher beteiligen sich bei den certs ja auch. Attention whoring?

Kommentar von snop. am 28.07.2015 13:26:
Das Bürger-CERT haben bereits kontaktiert. Beantwortet wurde die Anfrage mit „liegt nicht in unserem Zuständigkeitsbereich“. Ist auch wenig verwunderlich da sich die Plattform nicht auf individuelle Sicherheitslücken von Seiteninhabern bezieht sondern auf Sicherheitslücken in verbreiteten Anwendungen.

Keine Ahnung was gegen ein eigenes Projekt spricht. So müssen wir uns nicht immer auf die teils mangelhafte Kompetenz von Behörden verlassen.

Keiner möchte hier irgendwelchen Fame einsammeln. Dieser Beitrag z.B. stellt lediglich das Projekt vor.
Wir haben auch schon positives Feedback von „bekannten Sicherheitsforschern“ erhalten. Auch ist der Begriff „Attention Whoring“ bei den zwei Blogeinträgen die unser Projekt vorstellen (Vorstellung == Reichweite) völlig unangemessen.

Kommentar von Bulder am 12.06.2016 09:33:
Weiß jemand,was mit Rabbitz los ist? Deren Seite ist seit Monaten offline.

Danke.