|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
Ich bin der Meinung, dass man schon Full Disclosure machen sollte denn dann sind die Admins gezwungen zu updaten und die Firmen sind gezwungen sofort zu reagieren und nicht erst wenn es in deren Geschäftskram passt.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
naja updates sind ja mittlerweile so geschneidert dass es selbst bei großen firmen mit echtzeitanwendungen nur zu ganz kurzen downtimes kommt... nicht so wie diesen winter einmal, wo die firma, die unser MS-CRM bereitstellt, eine downtime von 6 stunden angesagt hat, um updates aufzuspielen. das passiert doch heutzutage nicht mehr.
von dem her ist es in ordnung, vulns zuerst an die entwickler zu schicken, um dann die möglichkeit zu bieten, dagegen etwas zu unternehmen.
|
|
|
|
|
|
|
|
|
|
|
|
|
finde ich ok und fair. Wenn der Hersteller jedoch nicht reagiert und/oder mit der Behebung schlampt, dann wäre ich klar für eine Veröffentlichung. Ein "Problem" bleibt natürlich, es liegt im Ermessen des Finders, wie lange er/sie dem Hersteller Zeit lassen will, bevor er/sie damit an die Öffentlichkeit geht... Ich denke jedoch, wenn schon eine/r den Hersteller informiert, hat er in der Regel kein grossses Interesse, dass "seine" Entdeckung ausgenutzt wird...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ja, finde ich auch fair den Hersteller/Programmierer zuerst zu benachrichtigen.
Nur habe ich andere Ideen als Microsoft oder iDefense wie lange die Zeit haben sollen. Und 120 Tage (!) ist absolut lächerlich, jenseitig, Banane.
Eine Woche, und wenn die dann nett nachfragen gibts noch eine zweite Woche Aufschub, danach geht mindestens die Beschreibung des Bugs raus. Und wenn sich der Hersteller daneben benimmt, nicht reagiert, verzögern will usf. dann gibts noch einen Exploit dazu.
--
"The more prohibitions there are, The poorer the people will be"
-- Lao Tse
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 20. September 2006, 19:29 MEW (#5)
|
|
|
|
|
w00t xpl017!11 Bist Du nur ein Poser oder kannst Du das auch? Dir ist schon klar, dass Du dem Hersteller am allerwenigsten damit schadest? Zumindest bei Göttern wie Microsoft, die auch Scheisse in Flaschen an den Mann bringen könnten, ist das so. Spammer etc. sind i.d.R. extrem faul, d.h. tun exakt soviel wie notwendig. Wenn Du denen die Arbeit abnimmst, schadest Du Dir auf Dauer nur selbst, indem Deine Wikis und Deine Mailboxen immer weiter überquillen.
Ich würde an Deiner Stelle zumindest nicht auf dicke Hose machen. "daneben benimmt" klingt für mich nämlich eher danach als wolltest Du einen auf Powerplay machen. Damit kannst Du Dir Deinen L0bin-H007-Titel dann allerdings in die Haare schmieren.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 21. September 2006, 20:13 MEW (#8)
|
|
|
|
|
Zumindest bei Göttern wie Microsoft, die auch Scheisse in Flaschen an den Mann bringen könnten, ist das so. Spammer etc. sind i.d.R. extrem faul, d.h. tun exakt soviel wie notwendig. Wenn Du denen die Arbeit abnimmst, schadest Du Dir auf Dauer nur selbst, indem Deine Wikis und Deine Mailboxen immer weiter überquillen.
er hat sich ein bisschen im Ton vergriffen, aber das gequotete ist meiner meinung nach Tiefsinnig! Das veröffentlichen von Exploits hilf keinem Sys Admin bei seiner Arbeit.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 20. September 2006, 20:40 MEW (#6)
|
|
|
|
|
kannst du hier bitte Links zu den, von dir geschrieben, Exploits posten?
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 21. September 2006, 14:15 MEW (#7)
|
|
|
|
|
-100, Volldepp und HTML-Hacker.
|
|
|
|
|
|
|
|
|
|
|
|
|
Da fällt mir gleich das hier ein:
The Six Dumbest Ideas in Computer Security
#3) Penetrate and Patch
http://www.ranum.com/security/computer_security/editorials/dumb/
--
Quidquid est, timeo parvus mollis et dona ferens!
|
|
|
|
|
|
| |
|
