Gracias por pedirme una respuesta.
La mayoría de las vulnerabilidades de seguridad no obtienen nombres públicos, porque la mayoría de las veces solo son aplicables a un sitio web o aplicación específicos. Sin embargo, cuando la misma vulnerabilidad de seguridad afecta a muchos sitios web diferentes, entonces debe haber una forma para que todos hablen sobre esa vulnerabilidad.
Entonces, por lo general, estos nombres describen una clase de vulnerabilidades, no un solo error. Las secuencias de comandos entre sitios (XSS) se refieren a una vulnerabilidad común, pero cada error que la causa es diferente.
- ¿Por qué GPG / PGP no ha visto una mejor adopción del usuario?
- ¿Debería una persona ir por seguridad cibernética si está menos interesado en la codificación?
- Cómo implementar el cifrado de la base de datos
- ¿Cómo obtener una otp (contraseña única)?
- ¿Sería prudente instalar Norton Security en mi iPhone?
La excepción es cuando el error se encuentra en un software utilizado por muchas aplicaciones diferentes. Esto es lo que sucedió con Heartbleed, que fue un error en OpenSSL. Una gran parte de los sitios web usaban OpenSSL, por lo que, aunque solo era un error, afectaba a muchas personas diferentes.
En cualquier caso, suelen ser las personas que inicialmente describen el problema quienes lo nombran. A veces se trata de investigadores que clasifican una nueva tendencia de vulnerabilidades que han observado. Otras veces son los atacantes los que inventan un nombre para la vulnerabilidad. No existe una regla coherente sobre quién decide, realmente se trata de quién está describiendo la vulnerabilidad a otras personas primero, y cómo llaman a la vulnerabilidad cuando lo hacen.
