Ну-и ? Прйдет время, дыры в безопасности перестанут латать, общество прогнется перед специалистами, поскольку благодаря табу на публичный анализ безопасности, дыры будут такими, что по закрытым сетям можно будет ходить пешком, общество спохватится, и оять сделает шаг в сторону открытости.... маятник.
Об этой истории писалось ещё раньше, сразу после подачи в суд, ещё до его решения. Эксперт и не выкладывал эксплоиты, а всего лишь сообщил, что антивирусный софт той компании не надёжен и привёл в пример конкретные вирусы, которые не ловились. При чём тут реинжиниринг я не понял.
На первый взгляд всё логично, можно даже провести такую аналогию с бытом: Вы обнаружили о том, что сосед уйдя на работу оставил приоткрытой входную дверь. Можно позвонить соседу на мобильник и сказать ему об этом, а можно выйти во двор и орать, что сосед мой дверь не закрыл.
Но всё-равно как то непмого нелепо, так скоро вообще всеми этими судебными решениями, патентами и прочей мутотенью думать запретят. Что-то противоестественное во всём этом чувствуется :-/
Наверное в последнее время вирусы и спам так надоели, что с ними стали бороться путём сокрытия багов, т.е. если вирусописатель не будет знать уязвимостей, он не напишет вирус. Такой способ может и стоит ввести, чтобы девелоперы сообщали фирме, а не размещали в Интернете, т.к. после этого появляются вирусы, которые поражают компьютеры нас, простых пользователей.
>На первый взгляд всё логично, можно даже провести такую аналогию с бытом: Вы обнаружили о том, что сосед уйдя на работу оставил приоткрытой входную дверь. Можно позвонить соседу на мобильник и сказать ему об этом, а можно выйти во двор и орать, что сосед мой дверь не закрыл.
совершенно левая анология....ничего общего с описаной ситуацией...
вот так правильно: фирма продаёт некачественные дверные замки, вот и ори куда хочешь об этом, только проблема в том, что без оглазки производитель часто не торопится иправлять указанные ему ошибки...
>Наверное в последнее время вирусы и спам так надоели, что с ними стали бороться путём сокрытия багов, т.е. если вирусописатель не будет знать уязвимостей, он не напишет вирус. Такой способ может и стоит ввести, чтобы девелоперы сообщали фирме, а не размещали в Интернете, т.к. после этого появляются вирусы, которые поражают компьютеры нас, простых пользователей.
>вот так правильно: фирма продаёт некачественные дверные замки, вот и ори куда хочешь об этом, только проблема в том, что без оглазки производитель часто не торопится иправлять указанные ему ошибки...
Сначала надо в этом убедиться и предупредить разработчика о последствиях.
> Такой способ может и стоит ввести, чтобы девелоперы сообщали фирме, а не размещали в Интернете
Насколько я знаю, сейчас есть некоторый срок между сообщением разработчику и возможностью выложить в интернете.
Представим ситуацию, когда запретят вообще выкладывать в интернете. Куда денутся специалисты по безопасности? Microsoft им что, бабосы за поиск дыр отваливать будет? Нет. Они будут работать по найму. Некоторая подставная фирма нанимает спеца, он находит дыры, а потом эти дыры используются, чтобы гулять по компам. Самое главное - народ не волнуется. Никто не знает - все спокойны. Мечта идиотов.
>>Сначала надо в этом убедиться и предупредить разработчика о последствиях.
>полностью согласен, но не всегда помагает...
А я несогласен. Право потребителя (особенно - потенциального) этой фирмы знать о том, с кем он связался (собирается связаться), и сделать выводы, важнее. Народ должен знать своих героев. А что этим кто-то может воспользоваться - так надо чётко понимать, что виноват будет не тот, кто об этом рассказал, а тот, кто дыру оставил. Важно, чтобы производитель дырявой программы в результате ушёл с рынка, или хотя бы потерял какую-то его долю, - это стимулирует.
И вообще хорош тут свободу информации ограничивать, а то поводы для этого всегда найдутся.
>а можно выйти во двор и орать, что сосед мой дверь не закрыл.
Угу пускай создатели этих дыр и дальше дыры плодят, собственно и эти дыры их никто закрывать не заставляет. А лохи пользователи пусть свято верят в непогрешимость этих багописателей. Давайте как страусы голову в песок засунем !
>без оглазки производитель часто не торопится иправлять указанные ему >ошибки...
Вот именно. А пользователи этих замков более чем кто либо имеют право знать что это за "замки".
Вот и хорошо. Нашёл дыру -- сообщи разработчику, а кричать на весь мир не надо. Публикация найденных дыр -- это удар по пользователям ПО. Никому от этого не легче, кроме самолюбия "исследователей".
> Вот и хорошо. Нашёл дыру -- сообщи разработчику, а кричать на весь мир не надо.
имхо, неправильно это... количество секьюрити-репортов по тому или иному продукту показывает степень его адекватности и соответствия, профессиональности его разработчиков. Ну а если не будет репортов, то как это можно будет оценить?
>Если разработчикам насрать, то разглашение уязвимости для пользователей окажется хуже, чем её утаивание.
ты прикидываешься идиотом, или нет?
а если дыру кроме тебя ещё нашёл какой-то злой дядька? И придумал, как через эту дыру опустить всех и вся?
ps: если разработчикам насрать, то разглашение уязвимости по крайней мере подтолкнёт какую-то часть юзверей заменить софт. Что минимизирует возможные последствия от атаки.
Хули толковать, dimss крутой затыкатель дыр из Латвии, злых дядек не боицца. Ему только Совет Европы поможет, принятием закона о "защите прав одноногих умалишённых чернокожих танцоров из Японии" (C) с последующим отстрелом.
2mikhail (*) (11.03.2005 0:19:02)
>Сначала надо в этом убедиться и предупредить разработчика о последствиях.
Точно, если производитель лекарства сделал ^%&ню, надо только ему намекнуть, заодно и бабла взять за молчание, а те, кто лекарство уже принял или собирается, пусть жрут то, что производитель ему впихнул.
С такой психологией сам жри. Вместе с производителем.
2dimss (*) (11.03.2005 12:37:33)
>Вот и хорошо. Нашёл дыру -- сообщи разработчику, а кричать на весь мир не надо. Публикация найденных дыр -- это удар по пользователям ПО. Никому от этого не легче, кроме самолюбия "исследователей".
О, разработчика издалека видно.
Необходимость обостряет разум.
> Вот и хорошо. Нашёл дыру -- сообщи разработчику, а кричать на весь мир не надо.
Ты вообще не в курсе той истории, почитай ссылки в статье. Там никакого реинжиниринга вообще не было. Человек просто проверил, что антивирус далеко не все известные вирусы ловит, о чём и сообщил, сказав какие конкретно не ловит.
>Можно позвонить соседу на мобильник и сказать ему об этом, а можно выйти во двор и орать, что сосед мой дверь не закрыл.
Причем тут это? Это объявлять об уязвимости КОНКРЕТНОГО хоста, сети.
А сообщать об уязвимости софта - это то же, что и написать в газете, что замки фирмы "Клоунцев и сыновья" открываются женской заколкой на раз, чтобы эти замки не покупали.