Besteht ein Interesse an so einem Service? 31
Das Ergebnis ist nur für Teilnehmer sichtbar.
Moin, aufgrund diesen Bitte melden Sie sich an, um diesen Link zu sehen. und einer Person bin ich erneut am überlegen so etwas anzubieten.
Bei dem Service würde ich anbieten mir euren Server/Source/System/.. anzuschauen und versuchen so viele Sicherheitslücken wie möglich zu finden.
Ich habe ein wenig Erfahrung in diesem Bereich, bin aber dennoch zuversichtlich das gröbste zu finden.
An sich eine nette Geschichte nur gibt es ein paar Probleme, weshalb ich diesen Thread hier eröffne, vielleicht haben andere Lösungsansätze.
Die Probleme, weshalb ich mich gegen so etwas entscheide, wären:
- Was mache ich mit den Gefunden Lücken? Sie nur bei dem Kunden zu fixen ist für mich unrealistisch da ich es für zu wahrscheinlich halte, das der Kunde diese selbst ausnutzen würde. Eine Möglichkeit wäre es diese Lücken daraufhin Public zu machen, das würde aber natürlich den Preis in die höhe schießen lassen und kein Kunde wäre bereit "für andere" zu Zahlen (oder sehe ich das falsch?)
- Was habe ich zu verantworten und was nicht? Es ist unmöglich alles zu finden und für zukünftige Änderungen kann und will ich nicht verantwortlich sein. Allerdings würde der Kunde Teuer Geld Zahlen und quasi erwarten das er sicher ist, was ich nachvollziehen kann. Ich hatte mir überlegt deshalb nur für gefixte Lücken Geld zu verlangen und eine geringere "vorab" Pauschale, quasi um auch eine nicht erfolgreiche Suche zu entlohnen - bleibt ja nach wie vor aufwand. Wäre das aus Kunden Sicht realistisch? Lasst mich bitte wissen wie viel ihr für sowas bereit wärt zu Zahlen, aufgeteilt in: SQL Injection, Yang Bug, Dupe, XSS, Privilege Eskalation (Das ein User mehr darf als er eigentlich sollte, z.B verwenden von Admin Quests, Admin Paneln, ...) / Kategorien oder wie auch immer ihr das am Sinnvollsten haltet und was eurer Meinung nach meine Verantwortung dem Kunden gegenüber wäre
- In was für Paketen soll sowas angeboten werden? Nicht jeder wird einen Full Audit benötigen, den meisten würde es wahrscheinlich reichen wenn ich einmal IG komme und alles durch teste was ich so kenne. Bei so einem Paket wäre die vorab Pauschale natürlich deutlich geringer als bei einem Full Audit - ist dafür aber auch deutlich gröber und unsicherer. Würde "Ihr Zahlt nur teuer patte wenn ich was finde" als Argument für sowas ausreichen oder würdet ihr bei beiden Paketen Quasi die selbe Flächendeckung erwarten? Was für Pakete wären Interessant für euch? "Nur System", "Nur Quests", "Nur HP", "Nur Blind", "Nur Changes", ..?
Als komplette alternative wären "Seminare" wie Zynko sie für git und co. angeboten hat theoretisch möglich, ich bin mir aber unsicher ob ich so etwas überhaupt anbieten möchte. Diese Seminare würden sich dann ausschließlich an Entwickler richten die ein gewisses Grundmaß an Erfahrung besitzen gerichtet - das Problem hierbei wäre das die Entwickler die ich hiermit meine meistens so einen Service nicht brauchen.
Ich danke jedem der sich das durchließt und was dazu beiträgt, ich habe meine Lösungsansätze genannt, halte diese aber für unrealistisch / unbrauchbar - überzeugt mich gerne von dem Gegenteil.
