我刚刚发现我的大学校友的登录页面只是普通的 HTTP。Wireshark 确认凭据是使用 HTTP POST 消息发送的。我做了一些研究,我认为应该始终在登录页面上使用 HTTPS(请参阅站点使用 HTTP 提供登录页面是否安全,但实际站点使用 HTTPS?)。
首先,我想帮我的大学一个忙,但是我怎样才能让他们采取一些行动呢?我的个人数据,例如学位和毕业年份,很可能存储在校友数据库中。一些组织不认真对待此类报告也就不足为奇了(请参阅 如何向不认为自己存在问题的大型组织报告漏洞?)。我已经使用我的校友电子邮件帐户向大学的 IT 服务台发送了电子邮件,但工作人员要求我将我的查询直接发送到一般校友查询电子邮件。
除了技术细节之外,我如何确保没有警察会因为我的黑客行为而逮捕我?我没有试图窃取任何个人信息。在大学采取行动之前,我没有兴趣向某些安全论坛报告此漏洞。
PS 我很尴尬我的计算机科学学位来自那所学校。