即使我已经通过了安全评估,他们仍需要确保我设置了漏洞披露计划。因此,我创建了 URL .co/incident 并将其添加到 网站的页脚中。对于 SearchMyEmail.com,六月/七月我与 OAuth 团队进行了长时间的来回交流。我正处于需要进行安全评估的阶段,我告诉他们我不会接受评估,很乐意保持“未经验证”,并且我只会保持制之下。我计划通过撤销不活动的令牌并强制用户定期重新验证来实现此目的。然而,我发现谷歌对活跃代币的计数是有缺陷的,在抱怨了足够多之后,他们将我的限制从一个代币提高到了一个代币。
对于 Wordzen 来说,结果有所不同。在收到多封 洪都拉斯号码数据 电子邮件通知我必须接受安全审核后,我回复道,指出 Wordzen 只有活跃用户,并且由于我处于 状态,Wordzen 是否可以继续以这种方式运行。他们给出了详细的解释,消除了我的疑虑。此外,在 OAuth 奇迹中,Wordzen 项目的 Cloud Console 正在将完整范围显示为 Wordzen 应用程序的正式批准范围。我不知道这是怎么发生的——Wordzen 从未通过安全审核。 // 看起来 又添加了第三家安全公司 NCC,可以进行安全评估。
此外,Leviathan 不再接受新项目 // 安全评估正式启动。在测试的第一天,Leviathan 发现了一个 SQL 注入问题,他们认为该问题很严重。那天晚上晚些时候,我解决了这个问题,并向 Leviathan 报告,然后 Leviathan 将问题标记为“已解决”。 // 我创建 Slack 频道并邀请来自 Leviathan 的所有相关成员。我的首要任务是向他们发送 扩展程序的所有 URL 端点的列表。由于 扩展本质上是公共的,因此可以轻松地从扩展的 JavaScript 中获取端点。 // 我与利维坦进行了外部校准电话。
- Board index
- All times are UTC
- Delete cookies
- Contact us