中国人发现了IE浏览器安全漏洞已经闹得满城风雨,由于漏洞信息的过早透露,全球数亿用户被暴露在各种潜在攻击之下。
刚发现一篇Opera安全策略的文档翻译,或许对漏洞研究者们有些帮助,尽管文章讲的是相关 Opera 的内容,但包含了所有浏览器安全漏洞处理的行业惯例。发现漏洞是您的能力,妥善处理您发现的漏洞才是善莫大焉。全文如下(删除了一些 Opera 相关的信息,着重在行业惯例,文中我们指 Opera 团队):
英文全文在:
http://www.opera.com/security/policy/
如何处理安全报告
安全性问题总是具有最高的优先级。当我们收到安全报告, 会尽快评估潜在的威胁。当被确认为安全性问题, 我们会立即联系报告者。作为行业惯例, 报告者会同意接受一个对外公布问题的日期。
公布日期由具体情况决定。在公布之前会有时间允许准备和测试修复, 并检查是否有其它相关问题。同时, 这样保证用户在没有任何升级手段的情况下不被公开的安全脆弱性所影响。
如果必要, 报告者也会被询问如何重现问题的详细信息。有时候, 可能的安全问题会被发现并不是可被利用的漏洞。如果合适, 我们会与报告者联系并告知我们不认为其为安全问题的具体解释。
如何公布安全脆弱性
在报告者所同意的日期, 我们会发布安全建议。同时公布问题细节以及针对此问题我们的解决方案, 大部分情况下, 解决方案是推荐升级最新官方发布的版本。一般来说, 此建议会与新 Opera 版本同时发布, 该版变更日志会提到问题并给出建议的链接。初始报告者一般会被致谢。一条安全建议通常不会解释如何利用问题进行攻击, 但会提供足够的信息识别该问题。
安全性问题评级
当安全机构报告一个问题, 它们一般会包含严重性评级,这是基于攻击漏洞的难度和潜在危害作出的评级。举例包含:
- 导致应用崩溃并不能被重启
- 使得一个网站有伪装另外网站的可能性
- 执行任意代码的能力
- 读取其它站点登录信息和用户系统上的文件的能力
在调查问题的过程中, 会发现更多利用问题进行攻击的难易度信息。某些情况下,我们可能发现报告者给了一个问题过高或过低的评级。这可能意味着我们会更新问题评级, 基于我们对问题的了解。将来的进一步调查过程中可能也会改动评级。
若Opera是唯一受影响的程序
我们偶尔会发现一个问题会影响其它提供商的应用。这种情况下, 若初始报告者未联系该应用提供商, 我们可能会联系受影响的厂商。
此类情况下, 公布日期可能会推迟到受影响的厂商发布它们自己的补丁。网络的安全依赖于厂商的合作以保护所有用户。在厂商有机会做出修复之前公开脆弱性问题细节会将用户置于危险的境地。安全建议往往由报告者和厂商发布于新的日期。如果在此之前修复好的版本已经发布, 它的变更日志可能不会包含脆弱性的细节信息, 但应该包含说明表示这是安全性更新, 之后加入更多细节。
原文出处:http://www.cnbeta.com/articles/72373.htm
