Wie melde ich einen Fehler oder eine Sicherheitslücke?
Wenn du eine Sicherheitslücke entdeckt hast, freuen wir uns, wenn du uns hilfst, diese auf verantwortungsvolle Weise zu melden.
Wir werden mit dir zusammenarbeiten, um sicherzugehen, dass wir das Ausmaß des Problems verstehen und dass wir deine Bedenken vollständig berücksichtigen. Wenn du eine Sicherheitslücke entdeckt hast oder einen Zwischenfall melden möchtest, sende bitte eine E-Mail an security@ifixit.com. Bitte beschreibe ausführlich das von dir entdeckte Problem. Vergiss nicht, eine E-Mail-Adresse anzugeben, unter der wir dich erreichen können, falls wir weitere Informationen benötigen.
Bitte achte darauf, dass du bei deiner Meldung die Privatsphäre und die Daten unserer Nutzer respektierst. Wenn du Sicherheitslücken testest, füge bitte keinen Testcode in beliebte öffentliche Anleitungen ein - diese Anleitungen werden täglich von Tausenden von Nutzern verwendet, und es ist nicht in Ordnung, sie durch das Testen auf Sicherheitslücken zu stören (bitte erstelle stattdessen immer eine neue Anleitung!). Wir werden keine rechtlichen oder administrativen Maßnahmen gegen dich oder dein Konto ergreifen, wenn du so vorgehst, denn wir sind immer dankbar für "White Hat" Tests.
Wir freuen uns, Nutzern, die gültige Sicherheitslücken melden, eine Belohnung zukommen zu lassen. Um für eine Gutschrift und eine Belohnung in Frage zu kommen, sind folgende Punkte ausschlaggebend:
- Du bist die erste Person, die den Fehler auf verantwortungsvolle Weise aufdeckt.
- Du meldest einen Fehler, der die privaten Daten unserer Nutzer gefährdet, die Schutzfunktionen des Systems umgeht oder den Zugang zu einem System innerhalb unserer Infrastruktur ermöglicht.
Bitte melde auf jeden Fall:
- Anhaltendes Cross-Site-Scripting (XSS)
- Cross-Site Request Forgery (CSRF/XSRF)
- Fehlerhafte Authentifizierung
- Umgehung der Datenschutz- und Berechtigungsmodelle unseres Systems
- Remote-Code-Ausführung (RCE)
Bitte melde nicht:
- Veraltete Versionen von Wordpress ohne bekannte Sicherheitslücken
- Aufzählung von Benutzernamen
- Self-XSS
- Fehlende DNS SPF-Einträge
Unser Sicherheitsteam prüft jeden Fehler, um festzustellen, ob er relevant ist. Wir tun unser Bestes, um zeitnah auf deine Meldung zu reagieren. Wir bemühen uns, innerhalb von 3 Arbeitstagen zu antworten, aber bei manchen Meldungen dauert die Bearbeitung länger als bei anderen. Wir antworten nur während der Geschäftszeiten (werktags 9-16 Uhr, außer an Sonn- und Feiertagen). Wiederholte E-Mails führen NICHT zu einer schnelleren Antwort, sondern führen eher dazu, dass Ihre Meldung an das Ende der Warteschlange verschoben wird.