Ich bin nämlich grade sowieso am sondieren, welche der Listen für mich interessant sein könnte und inwiefern sie unzensiert/unbeeinflußt sind.

Falls also jemand mir ein paar URLs von Alternativen zu Buqtraq (bzw. allgemein Mailinglisten, über die ich kostenfrei aktuelle Infos über Vulnerablities, Security-Updates, etc. mitbekomme, am besten mit ein bißchen Diskussion, aber wenig DAU-Fragen ;-) nennen kann (gerne auch hier als Kommentar, dann kriegt's der Rest auch mit :-), wäre ich recht dankbar.

P.S.: Ja, ich weiß, ich frage hier nach der eierlegenden Wollmilchsau in dem Bereich, aber vielleicht gibt es sie ja. Bin aber auch mit weniger zufrieden... ;-)

--
Where do I find the Any Key?

Hier gibt's übrigens den Heise-Newsticker-Artikel dazu. Heise schreibt u.a.:

In einer FAQ, die SecurityFocus auf Bugtraq veröffe ntl ichte, heißt es zur Politik, die Symantec verfolgt, man halte eine 30-Tage-Frist nach der Veröffentlichung einer Sicherheitslücke ein. In diesem Zeitraum gebe man zwar Informationen über das Leck weiter, aber keine Detail-Anleitungen, um die entsprechende Lücke auszunutzen. Man veröffentliche keine Exploits oder schädlichen Code, außer für andere vertrauenswürdige Sicherheitsexperten. Symantec aber versichert weiter: "Wir glauben, dass Bugtraq eine unabhängige Einheit bleiben muss, um effektiv zu sein." Die gegenwärtige Disclosure-Politik von Bugtraq sei für die Liste angemessen. Symantec aber werde seine eigene Disclosure-Politik weiter verfolgen.

Naja, mal sehen, wieviel davon auf BugTraq hinüberschwappt... :-/

Außerdem gab's noch ein paar Seitenhiebe auf ISS bzgl. ihres Umgangs mit dem letzten Apache-Security-Bug. (Jedenfalls lese ich das so... :-)

Und jaja, beim nächsten Mal poste ich das Zeug nicht wieder einzeln... :-)
-- 
Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...