Seit der
Veroeffentlichung einer Sicherheitsluecke von Tavis Ormandy und Microsofts Kritik daran, wie unverantwortlich dies ist, scheinen echt alle verrueckt zu spielen. In den ganzen Security Mailinglisten, in denen ich aktiv bin, waren lange Diskussionen darueber. Ich habe mich immer schoen zurueck gehalten und musste mich ueber manche Gehirnakrobaten kaputt lachen, die Full Disclosure als "Cyber Terrorismus" bezeichnen.
Ich weiss, "Terrorist" wird in unserer heutigen Zeit gerne verwendet. Fuer alles, was der breiten Oeffentlichkeit Angst machen soll. Also wenn ich in die Definition des Wortes "Terrors" schaue, sehe ich nicht mal mit verbogenen Denken, was auf Full Disclosure zutreffen koennte.
Nun ja, deshalb freut es mich um so mehr, dass nach
dieser Nachricht bei heise es erst so richtig Rund geht. Eine Gruppe die Microsoft Luecken sofort via Full Disclosure veroeffentlicht. Das finde ich grandios. Und das Sicherheitsfirmen Geld fuer eine von ihnen gefundene Sicherheitsluecke haben wollen, wenn das Produkt fuer das diese Luecke ist, kostenpflichtig ist, finde ich absolut legitim. Warum sollte Microsoft und Co von deren Arbeit gratis profitieren? Solche Firmen kriegen ja auch nicht die Produkte von Microsoft kostenlos.
Also ich kann mich nur fuer Full Disclosure aussprechen, denn oft genug haben Firmen bewiesen, dass sie auch mal eben ein Jahr verstreichen lassen, wenn eine Sicherheitsluecke nicht veroeffentlicht wurde.
[Update]
Diese
Nachricht auf heise bestaetigt mal wieder nur meine dargestellte Meinung. Die Firmen haben es einfach nicht anders verdient!
Ich hatte hier darueber geschrieben, wie ganz viele Menschen auf security-mailinglists meinen, in die schiene Microsofts zu schlagen und es schon als "Cyber-Terrorismus" (Ja, ich schuettel mich immer wieder bei dem Begriff... Denklegastheniker!) zu betrac
Aufgenommen: Jul 22, 15:13