mboost-dp1
unknown
Ingen grund til at se overrasket ud. Vi ved de er der, og vi ved de før eller siden bliver fundet :)
#5 - Sikkerhedshuller er først farlige, når de er kendte. Derfor er fremgangsmåden at holde det diskret, indtil en fejlrettelse er på banen.
Personligt ville jeg mene at cirka 2 dage er nok interval mellem at software-maintaineren og communityet får det at vide... Microsofts mening ligger vist tættere på en måned, så de har tid til at - som du så fint selv siger det - nosse sig sammen til at sende en fejlrettelse ud.
OpenOffice.org er lige så udsat for denne fejl i bug-rapporteringen. Derfor det er ækelt.
(Nej, jeg kunne heller ikke finde på at røre Word med en ildtang).
Personligt ville jeg mene at cirka 2 dage er nok interval mellem at software-maintaineren og communityet får det at vide... Microsofts mening ligger vist tættere på en måned, så de har tid til at - som du så fint selv siger det - nosse sig sammen til at sende en fejlrettelse ud.
OpenOffice.org er lige så udsat for denne fejl i bug-rapporteringen. Derfor det er ækelt.
(Nej, jeg kunne heller ikke finde på at røre Word med en ildtang).
bruger heller ikke word, men det er sgu da klamt ikke at informere producenten før alle andre. Basically forhindrer man jo alle andre i at tætne hullet.
Svarer til at man går hjem og sætter 20 ekstra skruer i bilen forskellige steder, og så ringer til BMW 2 dage efter (mm, hvis man har penge..ellers er det Mini) og siger "hey, rattet og højre baghjul falder af hvis man kører langsomt og mangler features i forhold til gratis biler, det skulle I måske lige tjekke ud."
Så pisser man sgu på sine medmennesker.
Svarer til at man går hjem og sætter 20 ekstra skruer i bilen forskellige steder, og så ringer til BMW 2 dage efter (mm, hvis man har penge..ellers er det Mini) og siger "hey, rattet og højre baghjul falder af hvis man kører langsomt og mangler features i forhold til gratis biler, det skulle I måske lige tjekke ud."
Så pisser man sgu på sine medmennesker.
#3 - Personligt er jeg glad for, at omverdenen blev informeret først. Sandsynligheden for, at hullet blev udnyttet før MS har et fix klar er for mig at se, temmelig stor.
Der har tidligere været eksempler på, at forskellige sikkerhedsgrupper finder huller i MS produkter, melder det til MS, hvorefter MS ikke får det rettet før 6-9 måneder efter.
Ved at oplyse fejlen til "hele" verdenen, er der større sandsynlighed for, at almindelige brugere er påpasselige med at åbne word dokumenter og dermed mindre risko for at få spredt diverse vira
--
"If you want to save the world, you have to push some old ladies down the stairs"
Der har tidligere været eksempler på, at forskellige sikkerhedsgrupper finder huller i MS produkter, melder det til MS, hvorefter MS ikke får det rettet før 6-9 måneder efter.
Ved at oplyse fejlen til "hele" verdenen, er der større sandsynlighed for, at almindelige brugere er påpasselige med at åbne word dokumenter og dermed mindre risko for at få spredt diverse vira
--
"If you want to save the world, you have to push some old ladies down the stairs"
#8, okay, dårlig analogi, men det er da idiotisk og uansvarlig opførsel stadigvæk!
#9, ja fordi vi ved jo alle, at mindst 90% af alle Word brugere ALDRIG NOGENSINDE kunne finde på at åbne et word dokument fra nettet..ligesom de heller aldrig kunne finde på at åbne noget med .exe extension, dobbel extenstion osv....
#9, ja fordi vi ved jo alle, at mindst 90% af alle Word brugere ALDRIG NOGENSINDE kunne finde på at åbne et word dokument fra nettet..ligesom de heller aldrig kunne finde på at åbne noget med .exe extension, dobbel extenstion osv....
Hvordan kan det overraske nogen at vedkommede har valgt ikke at gå direkte til Microsoft. De er jo ikke ligefrem kendt for at være interesseret. Der går ofte en måned, hvis man er heldig, før et fix kommer. Hvis man vil betale tilbyder Microsoft at give dig besked om nye patch'es et par dage før alle andre, det er heller ikke noget der indgyder stor tillid.
Virksomheder som Microsoft er nød til at reagere hurtigt og vær interesseret når folk kommer til dem med sikkerhedshul, ellers sker det som lige er sket, folk gider ikke bruge tid på at henvende sig direkte til dem.
Virksomheder som Microsoft er nød til at reagere hurtigt og vær interesseret når folk kommer til dem med sikkerhedshul, ellers sker det som lige er sket, folk gider ikke bruge tid på at henvende sig direkte til dem.
Alle jeres meninger er korrekte, og jeg deler dem. Det at Microsoft er ringe til at rette fejl (om det er sandt eller ej), er imidlertid ikke noget argument for at synke til deres plan, ved helt at forbigå dem.
Dermed skal man underrette maintaineren først, og /derefter/ resten af verden. Ikke sagt, at man helt skal lade være med at underrette resten af verden, men at man skal gøre det forskudt.
Dermed skal man underrette maintaineren først, og /derefter/ resten af verden. Ikke sagt, at man helt skal lade være med at underrette resten af verden, men at man skal gøre det forskudt.
Hvordan kan en mening være korrekt?
Anyways. Gu' skal han ej informere producenten først. Det er 100% op til ham selv. Hvis man bryder sig om producenten, så gør man det og får god karma. Men hvis producenten er en ond fætter, så gør man hvad man kan for at bruge informationen til at skade dem. Historisk set har MS ikke spillet fair. Så hvorfor skulle man ikke give igen, når man får chancen?
Det i har gang i svarer lidt til at være i en slåskamp og pive over at modstanderen slår igen.
Anyways. Gu' skal han ej informere producenten først. Det er 100% op til ham selv. Hvis man bryder sig om producenten, så gør man det og får god karma. Men hvis producenten er en ond fætter, så gør man hvad man kan for at bruge informationen til at skade dem. Historisk set har MS ikke spillet fair. Så hvorfor skulle man ikke give igen, når man får chancen?
Det i har gang i svarer lidt til at være i en slåskamp og pive over at modstanderen slår igen.
Skidt fejl, men man er IMHO lidt selv ude om det hvis man åbner filer man ikke aner hvor kommer fra, men hvis jeg brugte word, ville jeg da nok være lidt mere påpasselig.
Dog skal det nok understreges at fejlen i første omgang kun kan crashe Word med en buffer overflow, mens det endnu ikke er bevist om denne fejl kan bruge til at afvikle ondartet kode..
Dog skal det nok understreges at fejlen i første omgang kun kan crashe Word med en buffer overflow, mens det endnu ikke er bevist om denne fejl kan bruge til at afvikle ondartet kode..
Det er da mindst ligeså klamt at alle skrive "ja jeg ville ihvertfald ikke bruge word" eller "Jeg ville heller aldrig røre word med en ildtang"... Seriøst... Artiklen handler om en eller anden person der istedet for at kontakt MS omkring en fejl har publiceret den på nettet. Personligt mener jeg da også at det er forkert, ikke kun fordi at MS skal have tid til at lave en patch, men fordi at der sidder en masse mennesker derude der kun prøver at udnytte den slags fejl... Derfor... Kontakt firmaet bag softwaren diskret og lad dem klare sagen derfra ;)
Og det var så min mening om dette emne...
Og det var så min mening om dette emne...
#17, "Kontakt firmaet bag softwaren diskret og lad dem klare sagen derfra" - det jo der problemet ligger. Hvis folk rapporterer en sikkerhedsfejl til dem, tager de sig som regel god tid, før de laver en patch. I den mellemliggende tid kan andre og mere ondsindede personer fint nå at finde samme fejl, og udnytte den..
Altid informer udvikleren bag først, og så informere man verden lige bagefter.
ALDRIG FORSKUDT!.
(Man behøver dog ikke ligefrem inkludere detaljerede eksempler på, hvordan det udnyttes i annonceringen... :P)
Har ingen mening om Word, jeg har brug for at komme af med.
Kan blot konstantere at, jeg ikke bruger det.
Noget med de fire friheder der mangler... ;)
ALDRIG FORSKUDT!.
(Man behøver dog ikke ligefrem inkludere detaljerede eksempler på, hvordan det udnyttes i annonceringen... :P)
Har ingen mening om Word, jeg har brug for at komme af med.
Kan blot konstantere at, jeg ikke bruger det.
Noget med de fire friheder der mangler... ;)
Og hvilke detaljer skulle kunne beskytte dig i dette tilfælde hvor programmet er Word? Alm. omtanke som ikke at åbne ukendte dokumenter, e-mails og andet er jo næsten ikke eksisterende...
Havde der været tale om et open source program hvor frivillige kunne gå ind og lave en rettelse kan jeg se meningen i det... ellers ikke...
Havde der været tale om et open source program hvor frivillige kunne gå ind og lave en rettelse kan jeg se meningen i det... ellers ikke...
#15 ->
Problemet er jo bare at det ikke er så meget firma'et man skader.
Det skaber måske dårlig omtale, men de fleste almene brugere vil stadig benytte produktet. Det skader jo forbrugeren hvis et program går ned midt i en vigtig opgave man ikke lige har fået gemt.
- Sophus
Problemet er jo bare at det ikke er så meget firma'et man skader.
Det skaber måske dårlig omtale, men de fleste almene brugere vil stadig benytte produktet. Det skader jo forbrugeren hvis et program går ned midt i en vigtig opgave man ikke lige har fået gemt.
- Sophus
lidt sørgeligt som folk altid skal fremhæve at de ihvertfald ikke bruger microsoft hver eneste gang der er en nyhed relateret til microsoft.
det har overhovedet ingen relevans hvad i bruger for nyheden eller diskussionen om hvorvidt personens fremgangsmåde er korrekt.
men det er typisk *zealot stil, indeed.
det har overhovedet ingen relevans hvad i bruger for nyheden eller diskussionen om hvorvidt personens fremgangsmåde er korrekt.
men det er typisk *zealot stil, indeed.
#26
Folk skal informeres om sikkerhedsrisici ASAP.
Og det kan aldeles ikke vente.
Her nogle eksempler:
Hvis K-Salat fik leveret en sending salater til butikkerne med bakterier i, så SKAL forbrugerne advares hurtigst muligt.
Fabrikken underrettese dog samtidigt underrettes, hvis ikke de er klar over bristen, så de kan trække dem tilbage.
Et andet eksempel er hvis en Dell, levere nogle bærbare computere, med batterier der overopheder med eksplossionsfare til følge.
Her skal er det jo heller ikke nok at advare Dell, men i høj grad også de kunder der allerede ejer disse produkter... ;)
Folk skal informeres om sikkerhedsrisici ASAP.
Og det kan aldeles ikke vente.
Her nogle eksempler:
Hvis K-Salat fik leveret en sending salater til butikkerne med bakterier i, så SKAL forbrugerne advares hurtigst muligt.
Fabrikken underrettese dog samtidigt underrettes, hvis ikke de er klar over bristen, så de kan trække dem tilbage.
Et andet eksempel er hvis en Dell, levere nogle bærbare computere, med batterier der overopheder med eksplossionsfare til følge.
Her skal er det jo heller ikke nok at advare Dell, men i høj grad også de kunder der allerede ejer disse produkter... ;)
#27:
Forskellen består i at k-salaterne eller batterierne ikke bliver farligere af at forbrugerne og resten af verden kender til problemet.
I forbindelse med exploits er det vel indiskutabelt at offentligt kendskab til et sikkerhedshul medfører betydeligt større risiko for at nogen vil forsøge at udnytte det.
Af den grund er det IMHO i alles interesse at give producenten en hvis grace periode. Om det skal være en time, en dag eller en måned kan man så diskutere.
Forskellen består i at k-salaterne eller batterierne ikke bliver farligere af at forbrugerne og resten af verden kender til problemet.
I forbindelse med exploits er det vel indiskutabelt at offentligt kendskab til et sikkerhedshul medfører betydeligt større risiko for at nogen vil forsøge at udnytte det.
Af den grund er det IMHO i alles interesse at give producenten en hvis grace periode. Om det skal være en time, en dag eller en måned kan man så diskutere.
#28 - korrekt.
#27 - Lad mig stille et modeksempel:
En entusiatisk låsesmed finder ved en tilfældighed en alvorlig fejl ved Ruko's hængelåse, som går igen over hele Ruko's produktlinje.
Vil det i dette eksempel være mere korrekt at underrette den brede befolkning ved - eksempelvis - at skrive artikler om det på diverse Internetsider, eller skulle det holdes diskret til Ruko finder frem til en strategi? (Dog med det forbehold at det blæses op i medierne, hvis Ruko fejlagtigt tager diskretionen som et tegn på at have tid nok)?
Desuden er det typisk virksomheden som står med beslutningen om en tilbagetrækning, hvis der er en marginal fejl i serien. (Sikkerhedshuller antages beklageligvis som marginale fejl, i hvert fald når man vurderer hyppigheden af fejlrettelser fra softwarehusene).
En tilbagetrækning er dyr, og det kan være, at virksomheden beslutter kun at trække dele af (eller intet af) serien tilbage. Det kan også være, at de vælger at tilbyde kunder som de kan se at er udsat, at få ombyttet deres vare, til en ufarlig udgave. Kun hvis der er tale om noget som direkte overskrider sikkerhedsregulativer griber ordensmagten ind.
#27 - Lad mig stille et modeksempel:
En entusiatisk låsesmed finder ved en tilfældighed en alvorlig fejl ved Ruko's hængelåse, som går igen over hele Ruko's produktlinje.
Vil det i dette eksempel være mere korrekt at underrette den brede befolkning ved - eksempelvis - at skrive artikler om det på diverse Internetsider, eller skulle det holdes diskret til Ruko finder frem til en strategi? (Dog med det forbehold at det blæses op i medierne, hvis Ruko fejlagtigt tager diskretionen som et tegn på at have tid nok)?
Desuden er det typisk virksomheden som står med beslutningen om en tilbagetrækning, hvis der er en marginal fejl i serien. (Sikkerhedshuller antages beklageligvis som marginale fejl, i hvert fald når man vurderer hyppigheden af fejlrettelser fra softwarehusene).
En tilbagetrækning er dyr, og det kan være, at virksomheden beslutter kun at trække dele af (eller intet af) serien tilbage. Det kan også være, at de vælger at tilbyde kunder som de kan se at er udsat, at få ombyttet deres vare, til en ufarlig udgave. Kun hvis der er tale om noget som direkte overskrider sikkerhedsregulativer griber ordensmagten ind.
#28: Tjeah man kan vel godt forestille sig en som vil forgive en person straks spæne ned efter K-salat.
Når det så er sagt så bør kotyme med at notificere firmaet om en sikkerhedsbrist følges, der bør dog højst ventes 1 uge fra firmaet har fået oplysningen til den videregives til offentligheden. Der kan selvfølgelig være undtagelser som må være op til personen der har fundet bristen at vurdere.
Når det så er sagt så bør kotyme med at notificere firmaet om en sikkerhedsbrist følges, der bør dog højst ventes 1 uge fra firmaet har fået oplysningen til den videregives til offentligheden. Der kan selvfølgelig være undtagelser som må være op til personen der har fundet bristen at vurdere.
#28 Mukke
[Forskellen består i at k-salaterne eller batterierne ikke bliver farligere af at forbrugerne og resten af verden kender til problemet.]
Folk har altid krav på information, der kan sikre dem mod risikoen.
[I forbindelse med exploits er det vel indiskutabelt at offentligt kendskab til et sikkerhedshul medfører betydeligt større risiko for at nogen vil forsøge at udnytte det.]
Nej.
Hvis blot det var nok, at tysse det ned for at sikre os alle mod crackere.
At holde os alle uvidende, er MEGET uansvarligt.
[Af den grund er det IMHO i alles interesse at give producenten en hvis grace periode. Om det skal være en time, en dag eller en måned kan man så diskutere.]
Det skal være meget kort, hvis det skal være.
Langt under en uge.
#29 SCREWZ
[Lad mig stille et modeksempel:
En entusiatisk låsesmed finder ved en tilfældighed en alvorlig fejl ved Ruko's hængelåse, som går igen over hele Ruko's produktlinje.
Vil det i dette eksempel være mere korrekt at underrette den brede befolkning ved - eksempelvis - at skrive artikler om det på diverse Internetsider, eller skulle det holdes diskret til Ruko finder frem til en strategi? (Dog med det forbehold at det blæses op i medierne, hvis Ruko fejlagtigt tager diskretionen som et tegn på at have tid nok)?]
Ruko skal så informeres så de kan trække de ramte produkter tilbage, og så skal folk advares på tv eller andre medier, så de hurtigst muligt kontakter forhandleren for en ombytning.
[Forskellen består i at k-salaterne eller batterierne ikke bliver farligere af at forbrugerne og resten af verden kender til problemet.]
Folk har altid krav på information, der kan sikre dem mod risikoen.
[I forbindelse med exploits er det vel indiskutabelt at offentligt kendskab til et sikkerhedshul medfører betydeligt større risiko for at nogen vil forsøge at udnytte det.]
Nej.
Hvis blot det var nok, at tysse det ned for at sikre os alle mod crackere.
At holde os alle uvidende, er MEGET uansvarligt.
[Af den grund er det IMHO i alles interesse at give producenten en hvis grace periode. Om det skal være en time, en dag eller en måned kan man så diskutere.]
Det skal være meget kort, hvis det skal være.
Langt under en uge.
#29 SCREWZ
[Lad mig stille et modeksempel:
En entusiatisk låsesmed finder ved en tilfældighed en alvorlig fejl ved Ruko's hængelåse, som går igen over hele Ruko's produktlinje.
Vil det i dette eksempel være mere korrekt at underrette den brede befolkning ved - eksempelvis - at skrive artikler om det på diverse Internetsider, eller skulle det holdes diskret til Ruko finder frem til en strategi? (Dog med det forbehold at det blæses op i medierne, hvis Ruko fejlagtigt tager diskretionen som et tegn på at have tid nok)?]
Ruko skal så informeres så de kan trække de ramte produkter tilbage, og så skal folk advares på tv eller andre medier, så de hurtigst muligt kontakter forhandleren for en ombytning.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund