mboost-dp1
unknown
At man ikke udbetaler en beløning uden at vide hvem modtageren er er jo næsten en selvfølge. Men derfra til at sige, at man ikke vil samarbejde med anonyme er der alligevel et stykke. Vil det sige, at hvis de får et anonymt tip om et sikkerhedshul vil de ikke gøre noget ved det? Det ville i hvert fald være en dårlig beslutning.
At man ikke vil udbetale en beløning uden samtidigt at offentliggøre hvem modtageren er er nok den rigtige fortolkning. Man skal så bare huske på, at der kan være personer, som har en legitim grund til at ønske anonymitet. Men selvfølgelig har 3Com lov til at beslutte, at de personer ikke skal modtage en beløning.
Det bekymrer mig lidt, at man melder ud, at hullet først vil blive offentliggjort når der er en rettelse. Som udgangspunkt er det naturligvis et fornuftigt princip, men om nødvendigt man skal være klar til at gå ud med en offentliggørelse, selv hvis de ansvarlige for hullet ikke gør en tilstrækkelig insats for at få det lukket.
At man ikke vil udbetale en beløning uden samtidigt at offentliggøre hvem modtageren er er nok den rigtige fortolkning. Man skal så bare huske på, at der kan være personer, som har en legitim grund til at ønske anonymitet. Men selvfølgelig har 3Com lov til at beslutte, at de personer ikke skal modtage en beløning.
Det bekymrer mig lidt, at man melder ud, at hullet først vil blive offentliggjort når der er en rettelse. Som udgangspunkt er det naturligvis et fornuftigt princip, men om nødvendigt man skal være klar til at gå ud med en offentliggørelse, selv hvis de ansvarlige for hullet ikke gør en tilstrækkelig insats for at få det lukket.
hvis de ikke offentliggør diverse huller når de får oplysninger om dem mon de så ikke bare bliver offentliggjort andre steder.
#1
Det med anomymiteten er der da meget logisk.
Det må ikke være en person der arbejder hos det selvskab som har sikkerhedshullet, det vil måske få nogle til at lave beviste huller, eller lignede tilfælde.
når de siger at man ikke må være anonym, siger de jo intet om at de vil offentlig gøre hvem det er der melder et sikkerhedshul.
ang. det med ikke at offentlig gøre fejlen før den er blevet rettet er der både argumenter for og i mod. (findes mange flere end dem jeg lige har...)
for: kunder kan selv forsøge at lukke for fejlen.
mod: de kunder der ikke gøre det har nu et offentlig kendt sikkerhedshul.
når et firma får af vide at de har et sikkerhedshul er det er jo ikke med 100% garanti at det bliver lukket med det samme (nok ikke så smart ikke at gøre det, men der er ingen garanti)
Det med anomymiteten er der da meget logisk.
Det må ikke være en person der arbejder hos det selvskab som har sikkerhedshullet, det vil måske få nogle til at lave beviste huller, eller lignede tilfælde.
når de siger at man ikke må være anonym, siger de jo intet om at de vil offentlig gøre hvem det er der melder et sikkerhedshul.
ang. det med ikke at offentlig gøre fejlen før den er blevet rettet er der både argumenter for og i mod. (findes mange flere end dem jeg lige har...)
for: kunder kan selv forsøge at lukke for fejlen.
mod: de kunder der ikke gøre det har nu et offentlig kendt sikkerhedshul.
når et firma får af vide at de har et sikkerhedshul er det er jo ikke med 100% garanti at det bliver lukket med det samme (nok ikke så smart ikke at gøre det, men der er ingen garanti)
[url=#4]#4[/url] x-cab-x
Hvis man overhovedet overvejer at involvere andre i stedet for at håndtere det internt, vil det være et tegn på at der er noget galt i virksomheden. Men hvis man har kendskab til et hul og virksomheden ikke vil bruge resourcer på at lukke det, så kan en medarbejder have interesse i at anmelde det anonymt til andre, som tager sikkerhed alvorligt. (Om det så lige skal være 3Com eller en helt fjerde virksomhed vil jeg ikke tage stilling til).
Det må ikke være en person der arbejder hos det selvskab som har sikkerhedshullet, det vil måske få nogle til at lave beviste huller, eller lignede tilfælde.Netop personer som arbejder i firmaet bag det sårbare produkt kunne have interesse i at være anonyme når de fortæller om hullet. Men jeg kan godt forstå dit argument for at de ikke bør have en beløning for at finde det.
Hvis man overhovedet overvejer at involvere andre i stedet for at håndtere det internt, vil det være et tegn på at der er noget galt i virksomheden. Men hvis man har kendskab til et hul og virksomheden ikke vil bruge resourcer på at lukke det, så kan en medarbejder have interesse i at anmelde det anonymt til andre, som tager sikkerhed alvorligt. (Om det så lige skal være 3Com eller en helt fjerde virksomhed vil jeg ikke tage stilling til).
når et firma får af vide at de har et sikkerhedshul er det er jo ikke med 100% garanti at det bliver lukket med det sammeNej, nogle virksomheder prioriterer anderledes. Hvorfor man så vælger at nedprioritere sikkerheden kan jeg ikke forstå, men det er der altså virksomheder, der gør. Jeg har oplevet at melde et sikkerhedshul til den "ansvarlige" virksomhed, som gjorde det meget klart, at det havde de ikke tid til at tage sig af.
Smart træk.
3COM får en masse "hjerner" til at arbejde og kigge efter bugs. Jeg finder en bug i et produkt, jeg siger det til 3COM - de kvitterer med et "yeah - that's a huge bug.. U got this huge 1$ for the info"... og så sælger de info'en videre til producenten for 50$..... smart..
ok - ovenstående scenarie er fiktivt - men mon ikke der ligger nogle penge i det?
3COM får en masse "hjerner" til at arbejde og kigge efter bugs. Jeg finder en bug i et produkt, jeg siger det til 3COM - de kvitterer med et "yeah - that's a huge bug.. U got this huge 1$ for the info"... og så sælger de info'en videre til producenten for 50$..... smart..
ok - ovenstående scenarie er fiktivt - men mon ikke der ligger nogle penge i det?
Det er ikke et nyt koncept, der er firmaer der har gjort det her længe. Jeg kender da et par stykker der har indkasseret cash på at finde sikkerhedshuller.
#2
Ja, hvad har de at frygte? Det er jo ganske lovlig buisness, der er vel ingen der kan se om de er blackhat ved siden af?
#2
Ja, det skal nok få alle de virkelig dygtige hackere/crackere til at sende fejl ind..
Ja, hvad har de at frygte? Det er jo ganske lovlig buisness, der er vel ingen der kan se om de er blackhat ved siden af?
#5 Kasperd
Meget sjovt efter vi lige har talt om det at der så kommer sådan en nyhed ang. Cisco http://www.newz.dk/forum/item/57381/#first
Og igen det understreger jo bare din point!
Meget sjovt efter vi lige har talt om det at der så kommer sådan en nyhed ang. Cisco http://www.newz.dk/forum/item/57381/#first
Og igen det understreger jo bare din point!
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund