mboost-dp1

unknown

Skal sikkerhedshuller offentliggøres?

- Via Wired.com -

Denne artikel diskuterer emnet, om det er fair at sikkerhedsfejl i software bliver udsendt i pressen, før udviklerne overhovedet får en chance for at rette fejlen. Det sker i lyset af den seneste grove [url=forum_item.php?id=23350]fejl[/url], der kunne give adgang til eksempelvis at formatere en brugers harddisk.





Gå til bund
Gravatar #1 - DiZaster
20. nov. 2002 11:09
Lige ang. den fejl der bliver påpeget her. Blev Microsoft ikke informeret ca. en måneds tid inden det blev offentliggjort? At de så ikke havde gjort noget ved det er vel en anden sag.
Gravatar #2 - seahawk
20. nov. 2002 11:23
Microsoft blev informeret 4 oktober, og havde derfor haft mere end 1 måned til at rette fejlen før den blev posted på bugtraq!

Ydermere var fejlen allerede postet på adskillige andre mailinglists, så at tro at crackere ikke havde adgang til den i forvejen er vist rimeligt naivt!

Men det kan da forhåbentligt sætte en ordentligt debat igang om hvor hurtigt sikkerhedshuller skal offentliggøres - alt over 2 uger er imho for meget! Måske endda så lidt som 1 uge i kommercielt udnyttet software...

Original post er her: http://online.securityfocus.com/archive/1/298748

Og lige et enkelt citat: "Microsoft was initially contacted 2002-10-04. After several mailexchanges, their final response were that the technique used to runprograms with parameters from the "Local computer zone" was no securityvulnerability".

Så jeg kan ikke se hvad problemet er - microsoft mener jo ikke at det er et problem at hjemmesider kan eksekvere programmer på deres kunders maskiner - så det kan da aldrig være et problem at folk poster hvordan?!?
Gravatar #3 - TeamCKGarlic
20. nov. 2002 11:23
Kan man ikke med lige så stor ret revse producenten for ikke at have testet sin kode ordentligt ?
Microsofts ambitioner har været at lave en god browser, men der er ikke tænkt meget over sikkerheden. Men omvendt kan jeg godt se, at mange brugere nu kan blive offer for dette sikkerhedshul, da de færreste brugere interesserer sig for sikkerhed (og så brugte de nok ikke deres IE, som de gør nu).
Men hvis Microsoft var hurtigere ude med patches og dermed viste, at de var dedikerede til sikkerhed, så ville hullet ikke ramme så mange. Se blot hvor hurtigt, der bliver lavet patches i Open Source-miljøet.
Gravatar #4 - seahawk
20. nov. 2002 11:27

Kan man ikke med lige så stor ret revse producenten for ikke at have testet sin kode ordentligt ?
Til en hvis grænse - internet explorer er et projekt af en hvis størrelse - der VIL være bugs - også af katastrofal sikkerhedsmæssig art!
Men som du selv siger - hvis de så bare ville patche hullerne hurtigere... :)
Gravatar #5 - mortenp
20. nov. 2002 11:43
"microsoft mener jo ikke at det er et problem at hjemmesider kan eksekvere programmer på deres kunders maskiner"

Microsoft har paa sin vis ret i, at det ikke er et sikkerheds-hul, blot en teknik til at eksekvere programmer fra zoner der gerne maa eksekvere programmer. For at kunne bruge teknikken, skal man udnytte et (andet) sikkerheds-hul, fx. assign method caching (som blev brugt i demonstrationen).

Problemet er, at den teknik som Andreas Sandblad demonstrerede, goer det nemt at eksekvere programmer (igen, fra zoner der gerne maa) med parametre.

Skal man lukke for det? Maaske, men det er ikke et problem, hvis der ikke er sikkerheds-huller i MSIE ;-)
Gravatar #6 - west
20. nov. 2002 13:12
Naturligvis skal det da ud!?

Så man ved hvilke huller man har. Så man ved at der fx lige nu er et hul i, say, IE, og man derfor bør tage sine forholdsregler (ie. ikke besøge untrusted sites før der er en patch) etc.

Kan slet ikke se problemet.
Gravatar #7 - sKIDROw
20. nov. 2002 13:22
For at gentage mig selv:
Hvis man følger 'security through obscurity' princippet, så burde myndighederne IKKE har fortalt os om HIV/AIDS.
Det er jo bedst at vente med at fortælle folk om det, til kuren er opfundet.
Tænk nu hvis disse oplysninger gav dem mulighed, for at forebygge smitten..
Den kan vi jo ikke have.. ;P
Gravatar #8 - Deternal
20. nov. 2002 16:36
Vildt - ikke nogen der har flamet over at det er da for dårligt etc.

Selvfølgelig skal den information ud. Og jo hurtigere jo bedre. At give en leverandør af software et forvarsel er kun flot af den person der udgiver det (jeg ville personligt gøre det ifb. almindelig fairness - men det er en anden sag).

Det er ligesom da de der forskere udgav en rapport om at V6 ikke virkede - men det skulle de også bare have holdt hemmeligt, da man kan bevise en placebo effekt? ;)
Gravatar #9 - sKIDROw
20. nov. 2002 16:48
#8

Jeg er også lidt skuffet over at der ikke er nogen, der forsøger at modargumentere mit eksempel.. ;)
Gravatar #10 - Acro
20. nov. 2002 16:52
#7:

De skulle bare sende alle med HIV/AIDS ud på en øde ø.

Bombe den, hvorefter men gentager med en anden minoritet.

Øen kunne passende være Afrika.
Gravatar #11 - Odin
21. nov. 2002 10:07
#10

Hva med at bombe flabede 1 g. ere først ?
Gravatar #12 - sKIDROw
21. nov. 2002 12:50
#11

LOL.. :)
Gravatar #13 - Acro
21. nov. 2002 14:19
#11:

Det er også helt fint med mig.
Gravatar #14 - Fabhund
21. nov. 2002 16:21
#10
Acro....hvor gammel er det lige du er? Vent lige lidt. Lad mig gætte. Underligt, mit umiddelbare skud ville være en otte ni år. Kan det virkelig passe?

Og Odin er din legekammerat ?

//Fabhund,
der mener at der burde værre aldersgrænse for at poste på Newz.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login