RICHTLINIE ZUR KOORDINIERTEN OFFENLEGUNG VON SICHERHEITSLÜCKEN

GoDaddy möchte Forschende dazu aufrufen, gemeinsam mit uns potenzielle Probleme in unseren Services oder auf unserer Website anzugehen. Zur Förderung einer Kooperation von Forschenden mit uns erklärt GoDaddy Folgendes: Kommen wir nach eigenem Ermessen zu dem Schluss, dass eine Offenlegung den Vorgaben des GoDaddy-Programms zur Bekämpfung der koordinierten Offenlegung von Sicherheitslücken entspricht, wird GoDaddy gegen die offenlegende Partei weder rechtlich noch strafrechtlich vorgehen.

Domains, die sich nicht in GoDaddy befinden, erfüllen die Voraussetzungen des Programms zur Bekämpfung der koordinierten Offenlegung von Sicherheitslücken nicht. Dies schließt auch sämtliche gehosteten Kundeninhalte und Programme und Plug-ins Dritter ein.

Folgende Maßnahmen erfüllen die Voraussetzungen des Programms zur Bekämpfung der koordinierten Offenlegung von Sicherheitslücken nicht. Tests durch Programmteilnehmer sind nicht gestattet.

• DoS-, Brute-Force-, User-Enumeration- und DDoS-Angriffe
• Physische Angriffe
• Phishing-Angriffe
• Bugs, die Social Engineering nutzen
• CRIME-/BEAST-Angriffe
• Logout CSRF
• Banner- oder Versionsoffenlegung
• Fehlende SPF-Records
• Verzeichniseintrag (außer bei Auffinden sensibler Daten)
• Blackhat-SEO-Techniken
• Bugs, die veraltete Browser nutzen

GoDaddy akzeptiert keine Meldungen zu Sicherheitslücken, die von automatischen Sicherheitslückenscannern erstellt wurden.

GoDaddy akzeptiert Meldungen zu Sicherheitslücken, die die Vertraulichkeit oder Integrität infrage kommender Services von GoDaddy wesentlich beeinträchtigen. In Frage kommende Sicherheitslücken sind u. a.:

• Cross Site Scripting (XSS)
• Mängel bei Authentifizierung und Autorisierung
• Cross Site Request Forgery (CSRF)
• Ausführung von externem Code
• SQL-Injection
• Directory Traversal
• Clickjacking
• Rechteausweitung

1. Je genauer die von Ihnen angegebenen Schritte zum Reproduzieren des Bugs, desto besser. Nehmen Sie besuchte Seiten auf, Nutzer-IDs, angeklickte Links usw.
2. Videos und Bilder sind stets hilfreich. Noch hilfreicher sind sie allerdings, wenn sie von einer Beschreibung begleitet werden.
3. Exploit-Code, der stets funktioniert, ermöglicht uns ggf. die schnellere Bestätigung der Lücke.
4. Denken Sie daran: Je mehr Details, desto besser.

Die Vertraulichkeit sämtlicher Daten, die Sie im Rahmen des Programms zur Bekämpfung der koordinierten Offenlegung von Sicherheitslücken über GoDaddy, GoDaddy-Mitarbeiter und Kunden von GoDaddy erheben („vertrauliche Daten“;) ist aufrechtzuerhalten. Die Nutzung ist nur in Verbindung mit dem Programm gestattet. Sie sind erst dann zur Offenlegung von Sicherheitslücken berechtigt, wenn der Schutz der Daten in angemessener Form wiederhergestellt wurde. Sie sind nicht berechtigt, vertrauliche Daten ohne vorherige schriftliche Zustimmung von GoDaddy offenzulegen. Jegliche Offenlegung vertraulicher Daten außerhalb des Rahmens dieser Anforderung resultiert in der sofortigen Entfernung aus dem Programm.

Durch Teilnahme am GoDaddy-Programm zur Bekämpfung der koordinierten Offenlegung von Sicherheitslücken stimmen Sie den Universellen Nutzungsbedingungen und den Datenschutzbestimmungen von GoDaddy zu.

Ihre Tests dürfen keine Gesetze verletzen, Dienste unterbrechen oder Daten schädigen, die nicht Ihre eigenen sind.