// Responsible Disclosure
Responsible Disclosure / Coordinated Vulnerability Disclosure
Sicherheitsforschende und Hinweisgebende sind willkommen. Diese Seite beschreibt, wie Sie mögliche Schwachstellen in der öffentlichen Web-Präsenz von skopion.de verantwortungsvoll melden.
Kontakt
Meldung an [email protected], bevorzugt PGP-verschlüsselt. Schlüssel und Kontaktwege siehe /pgp und security.txt (RFC 9116).
Geltungsbereich
Im Geltungsbereich: die öffentliche Web-Präsenz skopion.de. Nicht im Geltungsbereich: Dienste Dritter sowie Infrastruktur, die nicht SKOPION zuzuordnen ist.
Regeln
- Keine DoS-/DDoS-Tests
- Kein Social Engineering
- Keine Exfiltration, Veränderung oder Löschung von Daten
- Keine Persistenz und kein lateral movement
- Kein Spam und keine automatisierten Massenabfragen, die den Betrieb stören
- Keine physischen Angriffe.
Eine gute Meldung enthält
- Betroffene URL bzw. Endpoint
- Reproduktionsschritte
- Einschätzung von Auswirkung und Schweregrad
- Belege (Screenshots, Logs, Request/Response)
- Ob automatisierte Werkzeuge eingesetzt wurden.
Einordnung von Meldungen
Sicherheitshinweise ohne reproduzierbaren Nachweis, betroffenen Endpoint und Auswirkung werden als informelles Feedback behandelt — nicht als bestätigte Schwachstelle. Generische Hinweise auf fehlende HTTP-Header ohne belegte Ausnutzbarkeit gelten nicht als Schwachstelle.
Ablauf
Wir bestätigen den Eingang, bewerten die Meldung und halten Sie über den Status auf dem Laufenden. Wir bitten um angemessene Zeit zur Behebung vor einer Veröffentlichung.
Es besteht kein Anspruch auf Vergütung oder Prämie.