[讨论] 是否能够接受在数据脱敏的情况下回传信息用来提高指纹准确度, 改进算法, 整理字典

[M09Ic]

目前使用spray最大的困境可能还是没有一个很好的字典. 但制作字典除了手工整理之外几乎别无二法.

但如果使用spray的人足够多, spray可以通过收集部分数据来提高spray各方面的功能.

• 提高指纹准确度, 筛选无效指纹
• 改进过滤算法, 减少手动配置
• 整理目录字典

因此, 是否能接受spray新增回传脱敏数据到云端的方式来提高工具本身. 为了保证安全, 可以做出以下保证.

• 数据将会去掉目标部分(包括url, 跳转后的url, title), 只回传baseline基本信息(length, path, status), 指纹数据
• 该功能可以通过参数关闭
• 该功能的各个相关组件(包括云端部分)保持开源, 并通过github action自动编译
• 收集的数据只用于提高spray以及chainreactors相关工具的能力

[SuperXiaoxiong]

建议不要 要做也是做个选项 做安全的对这些很敏感

[M09Ic]

建议不要 要做也是做个选项 做安全的对这些很敏感

我考虑到了这点, 我的想法是加个选项关闭, 或者在配置文件中添加一行永久关闭.

[alwaystest18]

增加关闭选项，不如默认关闭，增加选项开启回传，这样回传的能保证是别人真正想这样做的，否则很多人无意识的简单使用，有一天发现这东西还会回传数据，心里会如何想？ 另外假设这样一个场景，攻击者未授权渗透，搞了一个跳板，跳板上运行spray，被人发现后溯源的时候发现有回传数据的行为，会不会给自己带来些不必要的麻烦？ 单纯提醒，问题如果能解决或者经过评估问题不大，那就可以搞

[M09Ic]

增加关闭选项，不如默认关闭，增加选项开启回传，这样回传的能保证是别人真正想这样做的，否则很多人无意识的简单使用，有一天发现这东西还会回传数据，心里会如何想？ 另外假设这样一个场景，攻击者未授权渗透，搞了一个跳板，跳板上运行spray，被人发现后溯源的时候发现有回传数据的行为，会不会给自己带来些不必要的麻烦？ 单纯提醒，问题如果能解决或者经过评估问题不大，那就可以搞

如果默认关闭， 可能收集不到很多数据。 如果是高亮提示会回传信息的功能未关闭呢？

[disapp1ar]

也许可以在每次运行前询问一下并提供选择

[winezer0]

建议忽略该方案，好像没几个会同意的，大家都是有小秘密的.