nicht angemeldet
Hi,
Vermutlich ging es wohl um wahsagas vorschnelles Posting, welches Tom wohl
besser im datentechnischen Jenseits wissen will: https://forum.selfhtml.org/?t=91350&m=549394
Warum war das vorschnell? Finde ich gar nicht!
So ungefähr. Ich kann mir nicht vorstellen, dass hier alles breitgelatscht werden muss.
Doch, es muß und ich würde sogar einen Artikel dazu vorschlagen. Das ist ein sehr wichtiges Thema, man kann da recht schnell auf die Schnauze fallen.
Der Hauptgrund, das sowas nicht unter den Teppich gekehrt werden darf, ist der, das Unwissenheit ein stark erhöhtes Sicherheitsrisiko darstellt. Darüber herrscht Konsens. Wenn Du mir nicht glaubst: frag' Bruce Schneier. (Es gibt aber - Gott sei Dank - auch noch andere seines Kalibers)
Worüber kein Konsens herrscht ist der Zeitpunkt der Veröffentlichung der Fehlermeldung. Soll man zuerst den Autoren anschreiben und ihm zwecks Fehlerbehebung einen Tag o.ä. Zeit geben oder sofort veröffentlichen? Bei OpenSource Programmen sind es meist nur ein paar Stunden, die zur Fehlerbehebung reichen, die würde ich schon aus reiner Höflichkeit warten. Aber wie sieht es bei großen Firmen aus? Da wird zum Teil auch nach Monaten nichts getan!
Und wie sieht es bei Fehlern aus, die wirklich schlimm sind, Leib und Leben gefährden könnten? Sollte man da nicht sofort veröffentlichen, damit zumindest abgeschaltet werden kann bis zur Veröffentlichung des Patches?
Schwierige Fragen, die man keineswegs pauschal beantworten kann.
Das ist aber nur die Meldung, das überhaupt ein Fehler besteht. Dazu muß man keinen Exploit veröffentlichen. (Es hilft aber dem Autoren, wenn man einen gebastelt hat und ihm schickt. Das vereinfacht das Debugging.)
Aber wann darf man einen Exploit veröffentlichen? Gibt es einen Grund, der der Veröffentlichung sogar einen Nutzen zuweist?
Ich persönlich finde, das man den Exploit erst nach dem Patch veröffentlichen sollte. Zumindest mit etwas Zeit zwischen der Fehlermeldung und der Exploitveröffentlichung. Ein Tag sollte da aber reichen.
Mit der SQL-Injection ist jedoch sogar ein Grund vorhanden, die eine Veröffentlichung des Exploits nötig macht, da es genügend Closed-Source Produkte gibt, die ein direktes Patchen nicht erlauben und deren Hersteller entweder verstorben sind oder bei der Reaktion auf Fehlermeldungen ähnliche eines Toten reagieren. Dort ist dann ein Filter nötig. (Ist er sowieso. Ich würde nie im Leben eine Datenbank ohne Firewall betreiben! Es gibt natürlich Ausnahmen, aber dafür muß man schon recht ... äh ... selbstbewußt sein.)
Aber wie soll der Filter wirken? Muß ich mir das selber rausfummeln? Dabei kann ich aber die Hälfte übersehen. Oder auch nur ein winziges aber leider tödliches Detail. Es ist also ausführliche und vor allem öffentliche Diskussion nötig. Dazu gehört auch die genaue Beschreibung eines oder, falls vorhanden, mehrerer Exploits.
Das ist dem einfachem Mann auf der Straße ... und Frau! Und Frau! ... doch nich' gleich hauen, Stonie! .... nicht unbedingt klar. Schließlich diskutieren da auch Leute noch drüber, denen das _eigentlich_ klar sein sollte.
Nur, weil sich jemand so vehement gegen die Veröffentlichung eines Exploites wehrt gleich Böses zu unterstellen, fände ich also nicht sehr nett.
so short
Christoph Zurnieden