About Security & Bug Bounty Program on Hive - Über Sicherheit & Bug Bounty Programm auf Hive

in #hive4 months ago

image.png

As a web developer I have to deal with web frontends on a daily basis. Driven by my meticulous work also in terms of security, I have therefore often come across security-related issues in Hive projects. Almost every day I am on various Hive projects and usually go to these sites with a critical ulterior motive. In this article I would like to show what I have achieved so far in cooperation with the project owners and also talk about an old but nice project.

I will not go into the details of security vulnerabilities - but I would like to point out to all developers at Hive, that you please check your scripts and developments. You are doing a great job and I know you can't know everything or if you are alone in a project, you cannot check everything on your own. But it is not acceptable that applications are developed here, where easily exploitable security vulnerabilities are present. There is no room for that here at HIVE, where money is at stake at the end of the day.

In the past I had to deal with different developers and project owners. Some reacted immediately and fixed the bugs. Excellent! Others had no idea what to do with the problem. Sometimes it is simply advantageous as a project operator / developer to also deal with the security of your software and to read up on the Internet about the risks. Unfortunately, not all project operators do that.

Als Webentwickler muss ich mich täglich mit Web-Frontends auseinander setzen. Getrieben durch meine akribische Arbeit auch hinsichtlich Sicherheit, bin ich demnach schon des Öfteren über sicherheitsrelevante Dinge bei Hive Projekten gestoßen. Nahezu täglich bin ich auf diversen Hive Projekten unterwegs und gehe meist mit einem kritischen Hintergedanken auf diese Seiten. In diesem Beitrag möchte ich einmal aufzeigen, was ich bisher in Zusammenarbeit mit den Projektbesitzern erreicht habe und auch einmal über ein altes aber schönes Projekt sprechen.

Ich werde hier nicht ins Details von Sicherheitslücken gehen - sondern möchte alle Entwickler bei Hive darauf aufmerksam machen, das ihr doch bitte einmal eure Scripte und Entwicklungen prüft. Ihr macht eine großartige Arbeit und ich weiß, man kann nicht alles wissen oder wenn man alleine in einem Projekt ist, alles alleine auf Herz und Nieren prüfen. Es kann aber nicht angehen, das hier Anwendungen entwickelt werden, wo kinderleicht ausnutzbare Sicherheitslücken vorliegen. Dafür ist hier bei HIVE kein Platz, wo es am Ende des Tages dann um Geld geht.

In der Vergangenheit hatte ich es mit den unterschiedlichsten Entwicklern und Projektbetreibern zu tun. Die einen haben sofort reagiert und die Fehler behoben. Top! Andere wieder rum hatten keine große Idee, was Sie mit der Lücke anfangen sollten. Manchmal ist es als Projektbetreiber / Entwickler einfach von Vorteil sich ebenfalls mit der Sicherheit seiner Software auseinander zu setzen und sich im Internet über die Risiken belesen. Leider machen das nicht alle Projektbetreiber.


Projects that have fixed critical frontend security vulnerabilities reported by me so far:

  • +various other projects

Projects with critical security vulnerabilities that are not fixed at this time:

  • +various other projects

Translated with www.DeepL.com/Translator (free version)

Projekte die bisher von mir gemeldete kritische Sicherheitslücken im Frontend gefixt haben:

  • +diverse weitere Projekte

Projekte mit kritischen Sicherheitslücken die zum jetzigen Zeitpunkt nicht gefixt sind:

  • +diverse weitere Projekte

Many thanks go here to the developers who have already worked quickly and efficiently on their project and fixed bugs quickly. Also many thanks to @keys-defender / @GuiltyParties for your whitelisting support and questions and answers. I will continue to investigate every new project that comes to my attention and contact the project owner immediately if I suspect or find a security vulnerability.

Do we need a bug bounty program or something similar?

An open question to the community. Back in the Steemit days there was a wonderful project for open source projects. For those who don't know - it was called Utopian and it rewarded work on open source projects. The project was a great success and made many open source projects better - also translations of open source projects were rewarded - all in the form of upvotes after meticulous review by a large team of Utopian staff. The question that comes to my mind - how to present this project in its old form or modified today? I am sure there are enough developers, translators and more here on Hive who would participate in a project like Utopian was. This is not primarily about funding such a project - but first of all about the question - Do we need a project that supports developers working on open source projects? It is clear that not every project that runs on Hive is an open source project - many projects are closed source and fall out. Back in Utopian, reporting / development on security-related work was also honored.... Can we do the same here and now? Your opinions are asked. Feel free to discuss this topic in the comments.

Vielen Dank geht hier an die Entwickler, die bereits schnell und effizient an ihrem Projekt gearbeitet haben und Fehler schnell behoben haben. Ebenfalls vielen Dank an @keys-defender / @GuiltyParties für Ihren Support im Whitelisting sowie für Fragen und Antworten. Ich werde auch in Zukunft jedes neue Projekt, was mir bekannt wird untersuchen und bei Verdacht oder Fund einer Sicherheitslücke umgehenden Kontakt aufnehmen mit dem Projektbetreiber.

Brauchen wir ein Bug-Bounty Programm oder etwas ähnliches?

Eine offene Frage an die Community. Damals, zu Steemit Zeiten gab es ein wundervollen Projekt für Open Source Projekte. Wer es nicht kennt - es hieß Utopian und hat die Arbeit an Open Source Projekten honoriert. Das Projekt war ein voller Erfolg und hat zahlreiche Open Source Projekte besser gemacht - ebenfalls Translations von Open Source Projekten wurden vergütet - Alles in Form von Upvotes nach akribischer Prüfung von einem großen Team an Mitarbeitern von Utopian. Die Frage die sich mir stellt - Wie kann man dieses Projekt in deren alter Form oder abgewandelt heute darstellen? Ich bin mir sicher, das es genügend Entwickler, Übersetzer und mehr hier auf Hive gibt, die sich bei einem Projekt wie es Utopian war, beteiligen würden. Hier soll es in erster Linie nicht um die Finanzierung eines solchen Projektes gehen - sondern erstmal um die Frage - Brauchen wir ein Projekt, das Entwickler bei der Arbeit an Open Source Projekten unterstützt? Klar ist, das nicht jedes Projekt, welches auf Hive läuft ein Open Source Projekt ist - viele Projekte sind Closed Source und fallen hierbei raus. Damals bei Utopian wurde ebenfalls die Meldung / Entwicklung an sicherheitsrelevanten Arbeiten honoriert... Kriegen wir das hier und heute auch wieder hin? Eure Meinungen sind gefragt. Unterhaltet euch zu dem Thema gerne in den Kommentaren.


Thanks.

Sort:  

@louis88 for Hive-President

Das ist ein wichtiger Job für die Community.

Ein Bug-Bounty Programm wäre in der Tat eine gute Idee.

Ein Bug-Bounty Programm ist auf jeden Fall eine gute Idee.

Ich könnte mir vorstellen dass es einen vom DHF periodisch aufgefüllten Topf gibt, auf den ein paar Community-Member (mit ausreichend technischer Expertise) zugreifen können und Bugs (gestaffelt nach Gefahr und Schwierigkeit sie aufzudecken) belohnen können.
Entlohnung über Upvotes, wie Utopian, sehe ich eher ungerne. Es ist mir klar, dass das DHF an meinem Vorschlag der Knackpunkt ist.

Du hast ein Upvote von mir bekommen, diese soll die Deutsche Community unterstützen. Wenn du mich unterstützten möchtest, dann sende mir eine Delegation. Egal wie klein die Unterstützung ist, Du hilfst damit der Community. DANKE!

Announce the entire list of problematic projects - please!

Ich als Anti Programmierer erfreue mich über die vielen interessanten Links und bin für Deine Arbeit mehr als dankbar. Was meine ich damit. Ganz abgesehen von den Bugs, wäre es einmal nett ein paar Tools näher kennen zu lernen. Was gibt, was kann wo und wann tun. Ich gehe davon aus, dass es diese schon irgendwo schriftlich gibt bzw. zusammen gefasst wurden. Wäre mitunter jedoch auch einmal ein Thema für das nächste Meet Up oder aber auch für eigene Vorträge :)

Genau hierfür wurde die Seite https://hiveprojects.io ins Leben gerufen um als Sammelstelle für Hive related Projekte eine Übersicht zu sein. Klar, solche Themen sind immer spannend für Vorträge / Meetups.

Exactly for this purpose the page https://hiveprojects.io was created to be an overview as a collection point for Hive related projects. Of course, such topics are always exciting for talks / meetups.

Grüße

Mir ist dein Anliegen nicht ganz klar. Willst du ein zweites Utopian gründen? Das würde ich supporten.