Af Torben B. Sørensen, 19/10/16
Et eksperiment viser, at det største problem ved at advare administratorer af websteder om sårbarheder er at få fat i dem. Når det lykkes, lukker under halvdelen sikkerhedshullerne.
Sikkerhedsforskere fra Saarland Universitet og SAP har undersøgt, hvor effektivt det er at advare administratorer om potentielle sikkerhedsproblemer. De fandt via scanninger frem til 44.790 websteder, der havde kendte eller hidtil ukendte sårbarheder.
Det var ikke muligt at finde en kontakt-mailadresse for alle webstederne. Når det var muligt, sendte forskerne en mail til dem med advarsel om sårbarheden. De sendte en mail efterfulgt af to påmindelser.
Ud af alle der modtog en mail, var det kun 5,8 procent, der faktisk så på sårbarhedsadvarslen. Og ud af dem lukkede 40 procent sikkerhedshullet inden for en uge.
Efter en måned var 74,5 procent af webstederne i eksperimentet stadig sårbare.
Forskerne konkluderer, at den største udfordring er at finde mailadresser, som rent faktisk bliver tjekket.
Anbefaling
Sørg for, at kontaktoplysninger i WHOIS og andre databaser er korrekt, og at mail bliver læst.
Links
Hey, You Have a Problem: On the Feasibility of Large-Scale Web Vulnerability Notification (PDF-format)