Skip to content

SICHERHEIT

Nur gegen das, was dir gehört.

Riposte fährt echtes offensives Werkzeug gegen echte Systeme. Diese Macht kommt mit einer harten Regel und Kontrollen, die sie durchsetzen. Diese Seite deckt beides ab: wie du es verantwortungsvoll nutzt und wie du uns meldest, wenn du eine Lücke in Riposte selbst findest.

NUR AUTORISIERTE NUTZUNG

Riposte fährt echtes Angriffswerkzeug.

DIE REGEL

Setze Riposte nur gegen Systeme ein, die dir gehören oder die du ausdrücklich testen darfst. Offensives Werkzeug auf Infrastruktur zu richten, für deren Prüfung du keine schriftliche Erlaubnis hast, ist mit hoher Wahrscheinlichkeit illegal, und die Verantwortung liegt bei dir. Im Zweifel hast du keine Autorisierung.

Die Kontrollen unten sollen ein autorisiertes Engagement innerhalb seiner Grenzen halten. Sie ersetzen diese Autorisierung nicht und können ein Ziel außerhalb des Scopes nicht legal machen. Sie existieren, damit du, wenn du etwas testen darfst, kaum über den Rand des Erlaubten hinausgerätst.

WIE RIPOSTE IN DEN GRENZEN BLEIBT

Drei Kontrollen, standardmäßig an.

01

Deny-by-default-Scope.

Nichts ist im Scope, bis du es hineinsetzt. Du deklarierst die genauen Ziele, und alles außerhalb wird nie angefasst, weder enumeriert noch getestet.

02

Freigabe bei jedem folgenreichen Schritt.

Der Operator macht die mühsame Arbeit, aber nicht die Entscheidung. Jeder Schritt, der ein System verändern oder erreichen könnte, hält an und wartet auf dein ausdrückliches Ja. Er eskaliert nie von selbst.

03

Ein hash-verkettetes Audit-Log.

Jede Aktion wird in ein manipulationssicheres Log geschrieben, in dem jeder Eintrag mit dem vorherigen verkettet ist. Brich die Kette, und es zeigt sich, sodass es immer ein ehrliches Protokoll gibt.

Jede Kontrolle scheitert sicher. Ist der Scope nicht gesetzt, läuft nichts. Wird eine Freigabe nicht erteilt, passiert der Schritt nicht. Kann das Log nicht geschrieben werden, stoppt der Operator, statt ohne Protokoll zu handeln.

EINE SCHWACHSTELLE MELDEN

Eine Lücke in Riposte gefunden? Sag uns Bescheid.

Riposte ist ein Sicherheitstool, also ist ein Fehler darin ein Fehler, der zählt. Findest du eine Schwachstelle in Riposte selbst, melde sie uns bitte privat über ein GitHub Security Advisory, bevor du sie anderswo offenlegst. So bleibt der Bericht zwischen uns, bis es einen Fix gibt.

  • Zuerst privat melden, nicht in einem öffentlichen Issue oder Pull Request.
  • Pre-Alpha heißt: noch keine formale SLA, aber jeder Bericht wird gelesen und ernst genommen.
  • Noch kein Bug-Bounty-Programm. Berichte sind aus eigenem Wert willkommen.
  • Sag uns, was du gefunden hast, wie man es reproduziert und welchen Impact du siehst.

pre-alpha . nur autorisierte Nutzung . keine Telemetrie . läuft offline