Hallo @bsi ihr habt da ja jetzt ein Portal mit dem man Schwachstellen melden kann.

Hallo @bsi ihr habt da ja jetzt ein Portal mit dem man Schwachstellen melden kann. Ich wollte ja nur mal ausprobieren wie das so aussieht, aber falls Ihr Euch wundert dass da niemand was meldet: offenbar ist das Portal immer der Meinung, dass der eingegebene CVSS-Wert ungültig ist, egal was man eingibt. (Davon abgesehen halte ich es für eine sehr dumme Idee, Leuten, die freiwillig was melden wollen, erstmal mit so einem Quatsch zu behelligen.)

@bsi P.S.: wenn Eure CSP-Policy Wildcard-Hosts von AWS enthält, ist sie auch einigermaßen sinnlos, da sich jeder bei AWS einen account anlegen kann. ('unsafe-inline' steht aber zusätzlich noch drin, also eigentlich auch egal...)

@bsi ich bin auch nicht sicher ob 256 zeichen als feldlänge groß genug für einen PGP-Key sind...

@bsi Dass das Formular dauernd mit sowas abbricht macht auch keine Freude...

@hanno Hallo hanno, vielen Dank für den Hinweis - und die zahlreichen anderen! Sehr nützlich. Wir haben das schon an unsere Fachleute weitergegeben und schauen uns das natürlich asap an.
Ein frohes neues Jahr wünscht das BSI-Social-Media-Team

@bsi @hanno auf der Seite steht auch, man solle per Tor seine IP verschleiern, wenn man wirklich anonym eine Schwachstelle melden soll.
Ich habe das mal versucht, die Seite lädt nicht via Tor, selbst wenn man JavaScript zulässt. Der statische Content wird nicht korrekt ausgeliefert...

@faker @hanno Hallo noch mal, eine Nutzung des Portals via Tor-Netzwerk oder VPN ist zum jetzigen Zeitpunkt nicht vorgesehen.
Wir werden die fehlerhafte Information anpassen.
Viele Grüße vom BSI-Social-Media-Team