mboost-dp1
Flickr - bongo vongo
#1
Selvom offentliggørelse kan være et problem på den korte bane, kan det også virke som en katalysator til at gøre noget ved fremtidige problemer.
Som regel findes der alternative implementationer af forskellige teknologier, som man kan skifte til ved sikkerhedshul.
Hvis der f.eks. findes et hul hvert 100 dag og det tager 10 dage at rette, vil man være sårbar hver 10. dag. Hvis man istedet kan skifte til et andet produkt, vil man kun være sårbar hver 100. dag.
Dvs. at hvis det er ekstremt nemt at udskifte produkter med hinanden, kan man være sårbar i meget kortere tid. Ved at offentlige gøre huller før de er rettet, presser man mod en verden hvor softwareprodukter nemt kan udskiftes (hvilket jo også er godt for konkurrencen).
Selvom offentliggørelse kan være et problem på den korte bane, kan det også virke som en katalysator til at gøre noget ved fremtidige problemer.
Som regel findes der alternative implementationer af forskellige teknologier, som man kan skifte til ved sikkerhedshul.
Hvis der f.eks. findes et hul hvert 100 dag og det tager 10 dage at rette, vil man være sårbar hver 10. dag. Hvis man istedet kan skifte til et andet produkt, vil man kun være sårbar hver 100. dag.
Dvs. at hvis det er ekstremt nemt at udskifte produkter med hinanden, kan man være sårbar i meget kortere tid. Ved at offentlige gøre huller før de er rettet, presser man mod en verden hvor softwareprodukter nemt kan udskiftes (hvilket jo også er godt for konkurrencen).
over9001 (3) skrev:
Som regel findes der alternative implementationer af forskellige teknologier, som man kan skifte til ved sikkerhedshul.
Nu er der jo her tale om en fejl i protokollen, og ikke et konkret produkt. I det tilfælde kan man ikke bare skifte til en alternativ implementation, for alle implementationerne er bygget op omkring den samme fejlbehæftede protokol, og derfor holder dit argument ikke her.
Den eneste måde en alternativ implementation kunne hjælpe på det er hvis de ikke har fulgt protokollen, men så er det en rimelig antagelse at det ikke har været bevidst - hvis de havde fundet hullet, må man håbe de havde meldt det til de relevante parter, og så ville denne nyhed næppe eksistere.
#2
Hvis de ikke offentliggør hvordan hullet virker, men kun fortæller de ansvarlige om detaljerne i hullet, så vil det være meget sværere for andre at udnytte hullet - Det ville jo effektivt kræve at de selv fandt samme hul, uden først at vide at det var der.
Ved at offentliggøre hullet, vil alle SSL transaktioner i praksis være usikre, hvilket betyder at alt internethandel pludselig er blevet risikabelt. Det er jeg sikker på at netbutikker ikke sætter pris på, da det svækker tilliden til internethandel.
Hvis de ikke offentliggør hvordan hullet virker, men kun fortæller de ansvarlige om detaljerne i hullet, så vil det være meget sværere for andre at udnytte hullet - Det ville jo effektivt kræve at de selv fandt samme hul, uden først at vide at det var der.
Ved at offentliggøre hullet, vil alle SSL transaktioner i praksis være usikre, hvilket betyder at alt internethandel pludselig er blevet risikabelt. Det er jeg sikker på at netbutikker ikke sætter pris på, da det svækker tilliden til internethandel.
#2
Når det er sådan et hul som rammer alle, så ville det rigtige være som Marsh Ray og Steve Dispensa at fortælle om deres fund til de rette vedkommende.
For så at sikre at de ikke bare sylter sagen fortæller man at man vil offentliggøre fundet om xx dage, efter hvad man mener, er rimelig tid for at kunne lukke det.
Dette vil skabe rette pres på vedkommende for at finde en fejl og det er nu deres ansvar at aftale ny dato med finderen, hvis det viser sig at tage længere tid end forventet.
Når det er sådan et hul som rammer alle, så ville det rigtige være som Marsh Ray og Steve Dispensa at fortælle om deres fund til de rette vedkommende.
For så at sikre at de ikke bare sylter sagen fortæller man at man vil offentliggøre fundet om xx dage, efter hvad man mener, er rimelig tid for at kunne lukke det.
Dette vil skabe rette pres på vedkommende for at finde en fejl og det er nu deres ansvar at aftale ny dato med finderen, hvis det viser sig at tage længere tid end forventet.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund