Divulgation responsable

Coret Généalogie attache une grande importance à la sécurité de ses systèmes. Malgré le souci de la sécurité, il peut arriver qu’il y ait un point faible. Si vous avez trouvé un point faible dans l’un de nos systèmes, Coret Généalogie aimerait l’entendre, afin que nous puissions prendre des mesures aussi rapidement que possible. Coret Généalogie aime travailler avec vous pour mieux protéger nos systèmes.

Table des matières

• Qu'est-ce que Coret Généalogie exige de vous?
• Quelles actions doivent être évitées?
• Que pouvez-vous attendre de Coret Généalogie?
• Quelles vulnérabilités ont été signalées?
• Des questions sur la divulgation responsable?

Qu'est-ce que Coret Généalogie exige de vous?

• Envoyez vos conclusions par courrier électronique à responsable-disclosure@coret.org.
• Fournissez suffisamment d'informations pour reproduire le problème afin que nous puissions le résoudre le plus rapidement possible. Généralement, l’adresse IP ou l’URL du système affecté et une description de la vulnérabilité suffisent, mais des vulnérabilités plus complexes peuvent nécessiter davantage.
• Laissez les coordonnées afin que Coret Généalogie puisse vous contacter afin de travailler ensemble pour un résultat sans danger. Laissez au moins une adresse électronique ou un numéro de téléphone.
• Créez le rapport dès que possible après la découverte de la vulnérabilité.
• Ne partagez pas les informations relatives au problème de sécurité avec d'autres personnes tant qu'elles ne sont pas résolues.
• Responsable de gérer la connaissance du problème de sécurité en n'effectuant aucune action allant au-delà de ce qui est nécessaire pour démontrer le problème de sécurité.

Quelles actions doivent être évitées?

• Placement de logiciels malveillants.
• Copier, modifier ou supprimer des données sur un système (une autre solution consiste à créer une liste de répertoires d'un système).
• Apporter des modifications au système.
• Accès répété au système ou partage de l'accès avec d'autres personnes.
• Utilisation du "forçage brutal" de l'accès aux systèmes.
• Utilisez l'ingénierie par déni de service ou social.

Que pouvez-vous attendre de Coret Généalogie?

• Si vous remplissez toutes les conditions ci-dessus lorsque vous signalez une vulnérabilité que vous avez détectée dans un système Coret Généalogie, nous n'attacherons aucune conséquence juridique à cette déclaration.
• Nous traitons un rapport de manière confidentielle et ne partageons aucune information personnelle avec des tiers sans le consentement de l'auteur de la notification, sauf si la loi ou une décision de justice l'exige.
• Nous vous enverrons un accusé de réception dans les 2 jours ouvrables.
• Nous répondrons à une notification dans un délai de 5 jours ouvrables en évaluant la notification et la date prévue pour une solution.
• Nous vous tiendrons au courant des progrès réalisés dans la résolution du problème.
• Coret Généalogie résout le problème de sécurité que vous avez rencontré dans un système aussi rapidement que possible, mais au plus tard dans les 30 jours. En consultation mutuelle, on peut déterminer si et comment le problème sera publié une fois résolu.
• En consultation réciproque, nous pouvons, si vous le souhaitez, indiquer votre nom en tant que découvreur de la vulnérabilité signalée.

Quelles vulnérabilités ont été signalées? - Hall of fame

Date	Name	Vulnerability type	Effected part
2017-03-01	Kenny Hietbrink	Cross-site scripting (XSS)	Open Archives searchresultspage
2017-03-02	Kenny Hietbrink	Cross-site scripting (XSS)	Cross-search API van Coret Généalogie
2017-03-02	Elyesa in der Maur	Cross-site scripting (XSS)	Genealogie Online helppages
2017-04-03	@secuninja	Cross-site scripting (XSS)	Open Archives homepage
2017-04-24	Huy Kha @HuyKha_10	Cross-site scripting (XSS)	Stamboom Gids searchresultpage
2017-04-25	Robert Wiggins	Cross-site scripting (XSS)	Stamboom Gids searchresultpage
2017-04-28	Damian Ebelties	Cross-site scripting (XSS)	Genealogie Online familynamespage
2017-04-28	Damian Ebelties	Cross-site scripting (XSS)	OAI tool
2017-04-28	Pethuraj	Cross-site scripting (XSS)	Stamboom Forum profilepage, searchpictures and familynamespage
2017-04-28	Pethuraj	Cross-site scripting (XSS)	Genealogie Online new publicationspage
2017-04-29	Raju Patil	Cross Site Request Forgery (CRSF)	Open Archive password change page
2017-04-29	Raju Patil	Cross-site scripting (XSS)	Open Archives searchresultspage
2017-04-29	Raju Patil	SQL Injectie	Cross-search API
2017-05-05	Sajibe Kanti	Content Spoofing	Coret Généalogie 404-page
2017-06-30	Damian Ebelties	Cross-site scripting (XSS)	OAI tool
2017-08-27	Raju Patil	Cross Site Scripting (XSS)	A2A validation service
2018-02-01	Ali Hassan Ghori	Cross-site scripting (XSS)	Coret Généalogie
2018-07-13	lacroute serge	Reflected XSS	Open Archives viewer
2018-11-03	Chirag Gupta	Readable REST API	Wordpress blog
2018-11-09	lacroute serge	Cross-site scripting (XSS)	Stamboom Forum recent subjects page
2019-05-06	Saima Usman	Cross-site scripting (XSS)	Open Archives search (placename)
2019-05-10	Kerem Tamcı	Cross-site scripting (XSS)	Open Archives overview2 page
2020-01-18	Yogeshwaran Chandrasekaran	Improper Data Validation & Broken Authentiction	Généalogie Online password reset
2020-01-27	4N_CURZE	Cross-site scripting (XSS)	Généalogie Online language selector
2020-03-31	4N_CURZE	Cross-site scripting (XSS)	Généalogie Online unescaped url parameter
2020-06-01	Script_Kiddie	Cross-site scripting (XSS)	Open Archives language setting page
2021-06-26	gaurang maheta	Security Misconfiguration	Généalogie Online showing composer.json/lock

Un grand merci aux experts en sécurité mentionnés ci-dessus pour leurs rapports!

Des questions sur la divulgation responsable?

Si vous avez des questions sur la manière dont Coret Généalogie gère la divulgation responsable, veuillez contacter responsable-disclosure@coret.org. Nous sommes heureux de vous aider.