Salve,
questo forum è implementato tramite un sito dinamico con un proprio backend che gestisce vari dati di interesse, tra cui i dati degli utenti, come email, username e via dicendo.
A tale fine è importante menzionare come sia possibilità che durante la vita del forum vengano trovate varie vulnerabilità. Qui le vulnerabilità di interesse possono essere classificate in due categorie:
-
Server-side: ovvero che attaccano il server, quindi il sistema operativo sottostante, i dati salvati nel server, la disponibilità del servizio e via dicendo.
-
Client-side: ovvero che attaccano voi utenti di questo forum nel contesto del forum stesso, quindi un attacco vi può forzare ad eliminare il vostro account, oppure a scrivere un post che non volevate, e via dicendo.
A tale fine, è importante definire una Vulnerability Disclosure Policy, il cui obiettivo è descrivere come comportarsi nel caso in cui vengono scoperte delle vulnerabilità particolari su questo sito.
Il forum è il deployment di Discourse, un forum open-source, che già ha un proprio ciclo di gestione delle vulnerabilità con un ottimo supporto da parte della community open-source. Da questo consegue che sarà abbastanza difficile trovare una vulnerabilità nella tecnologia di base del forum. Sarà molto più probabile invece trovare qualche miss-configurazione in questa particolare istanza di discourse che lo rende vulnerabile.
Io, ovviamente, ho cercato di fare il possibile per renderlo sicuro. Detto questo, se dovreste trovare delle vulnerabilità, vi chiedo di scrivermi al seguente indirizzo email con il seguente oggetto
email: info [at] esadecimale.it
subject: [Vulnerability Disclosure Forum - <Nome Vulnerabilità>]
Inoltre, è bene notare che prenderò seriamente solo le vulnerabilità con PoC (Proof of Concept) riproducibile. Se la generazione del PoC può avere conseguenze gravi sul sito, vi prego allora di contattarmi direttamente spiegandomi la potenziale vulnerabilità. Inoltre, vi chiedo di non effettuare attacchi di tipo DoS solo per testare una PoC.
Vi ringrazio per la disponibilità e per rendere questo un forum più sicuro per tutti!