Périmètre refusé par défaut.
Rien n'est dans le périmètre tant que vous ne l'y placez pas. Vous déclarez les cibles exactes, et tout ce qui sort de ce périmètre n'est jamais touché, ni énuméré, ni sondé.
SÉCURITÉ
Riposte lance de véritables outils offensifs contre de vrais systèmes. Cette puissance vient avec une règle stricte et un ensemble de contrôles conçus pour la faire respecter. Cette page couvre les deux : comment l'utiliser de façon responsable, et comment nous signaler une faille dans Riposte lui-même.
USAGE AUTORISÉ UNIQUEMENT
Ne lancez Riposte que contre des systèmes que vous possédez ou que vous êtes explicitement autorisé à tester. Pointer un outil offensif vers une infrastructure pour laquelle vous n'avez pas d'autorisation écrite est très probablement illégal, et la responsabilité est la vôtre. En cas de doute, vous n'avez pas l'autorisation.
Les contrôles ci-dessous sont conçus pour maintenir un engagement autorisé dans ses limites. Ils ne remplacent pas cette autorisation, et ils ne peuvent pas rendre légale une cible hors périmètre. Ils existent pour que, lorsque vous êtes habilité à tester une chose, il reste difficile de déborder de ce pour quoi vous étiez habilité.
COMMENT RIPOSTE RESTE DANS LES LIMITES
Rien n'est dans le périmètre tant que vous ne l'y placez pas. Vous déclarez les cibles exactes, et tout ce qui sort de ce périmètre n'est jamais touché, ni énuméré, ni sondé.
L'opérateur fait le travail fastidieux mais ne décide pas. Toute manœuvre susceptible de modifier ou d'atteindre un système s'arrête et attend votre feu vert explicite. Il ne s'escalade jamais de lui-même.
Chaque action est inscrite dans un journal inviolable où chaque entrée est chaînée à la précédente. Rompez la chaîne et cela se voit, si bien qu'il existe toujours une trace honnête de ce qui a tourné.
Chaque contrôle échoue en position fermée. Si le périmètre n'est pas défini, rien ne tourne. Si une approbation n'est pas donnée, la manœuvre n'a pas lieu. Si le journal ne peut pas être écrit, l'opérateur s'arrête plutôt que d'agir sans trace.
SIGNALER UNE VULNÉRABILITÉ
Riposte est un outil de sécurité, donc une faille en son sein est une faille qui compte. Si vous trouvez une vulnérabilité dans Riposte lui-même, signalez-la-nous en privé via un avis de sécurité GitHub avant de la divulguer ailleurs. Cela garde le rapport entre nous jusqu'à ce qu'un correctif existe.
pré-alpha . usage autorisé uniquement . aucune télémétrie . fonctionne hors ligne