私は最近、欧州連合(EU)のCookie法の非遵守が「その他」のカテゴリの調査結果として記載されている侵入テストレポートに気づきました。私はこれを法的でプライバシー関連の問題であり、セキュリティについてはそれほど考慮していない。
なぜこれが侵入テストレポートに含まれるのですか?気づいていないセキュリティ関連の懸念はありますか?
EUのCookie法を順守しないことに関連する技術的なセキュリティへの影響は知りません。
結局のところ、これは主に評価者の裁量と評価のコンテキストにかかっていると思います。プライバシーの問題はセキュリティに隣接しており、同様のPRの影響があり、個人の権利を侵害していると判断されることさえあるので、このような発見が役立つ場合があると思います。
私にとっての問題は、これらのことをクライアントに報告する必要があるかどうか、ペンテストレポート自体に含める必要があるかどうかではありません。この情報を中継するために使用できる他の通信チャネルがあります。これはおそらく議論され、クライアントはそれをレポートに含めるように求めたのかもしれません。そもそも、コンプライアンスの懸念が、評価を最初に行うための主要な推進力の1つであった可能性もあります。一部のスコープには、会社またはその関連会社を困らせる可能性のある調査結果の検索が明示的に含まれています(コンテンツインジェクションはここでは楽しいものです)。
最終的に私の仕事はシステムの改善を助けることなので、ペンテスティング作業を行うときに、機能の問題からタイプミス(下品な結果を伴う深刻な問題です)まですべてをクライアントに報告しました。この種のものをレポートに含めることは、クライアントの要求に応じていつでも削除して個別に提出できるので、害はないと思います。
脆弱性とは、被害を受ける可能性を未然に防ぐものです。法律に違反したとして起訴または訴えられることは、ある種の危害です。したがって、法律を遵守しないことは脆弱性です。本当にこんなに簡単です。
これはユーザーのセキュリティ問題です。
Cookie関連の法律の非遵守には、「オプトアウト」をクリックした後、サイト上でCookieデータが作成されることが含まれます。サイトが [〜#〜] gdpr [〜#〜] (プライバシー法)を認めない場合、ユーザーに関するある程度の個人識別情報がサイトのドメインに漏洩し、保存され、追跡に相当する方法で使用されます。これも:
特定のパーソナライゼーション機能がページビュー間で一貫性を維持しない限り、バックエンド技術は見えないため、Cookieはテストする明らかなものの1つであり、おそらくこれが追跡をテストする唯一の信頼できる方法です。
私が所属している一部の企業では、セッションデータと個人識別子を関連付けない限り、Cookieは違法ではないと主張する弁護士もいます。
いずれにせよ、これはエラーや不実表示の可能性が高いため、ユーザーのセキュリティに関するレポートに表示されると思います。
tl; dr:ユーザーのプライバシーがセキュリティの問題であることを理解していないようですユーザー用。
法律に準拠していない場合は、サイトを修正する必要があります。特にGDPRは、違反に対する罰金を受け入れることができる「オプション」の法律ではありません。
したがって、サイトを修正する必要がある可能性があります。しかし、GDPRの締め切りは厳しいです。多くの企業は、早期に開始する必要があることを認識しています。他の人にとって、このケースのように、それはラッシュの仕事になるでしょう。そして、ラッシュの仕事の経験はせいぜいあなたが要求されたものを手に入れるということです。したがって、ここでは、GDPRへの準拠が優先されるため、サイトへの直前の変更が広範なセキュリティレビューを通過しない場合があります。
例として、GDPRは顧客にownデータを確認する権利を与えます。急いで実装すると、顧客に会社の機密データや他の顧客からのデータを含むotherデータを確認する権利が与えられる場合があります。これは明確なセキュリティ問題です。したがって、GDPRへの準拠を急ぐ必要性は、危険因子として正しく識別されます。