29.07.2019, 17:32
(29.07.2019, 13:25)wredniak napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
(26.07.2019, 12:06)M\cin napisał(a):Publikowanie dziur może i ma szansę zmobilizowania producenta do ich załatania jednak działa również na niekorzyść samych użytkowników - im więcej osób wie o podatnościach (przed publikacją wie o nich wąskie grono bądź jedynie grupa, która robiła testy i wykryła podatności) tym większe prawdopodobieństwo na powstanie exploitów o szerokim zasięgu działania.[Aby zobaczyć linki, zarejestruj się tutaj]
W przypadku Comodo mieli już większe wpadki - przypominam o używaniu OCR do sprawdzania podpisów przy wydawaniu certyfikatów sprzed trzech lat B) niepokoi fakt, że tutaj nawet nie raczyli autorom odpisać - w tak dużym korpo to się może zdarzyć, aaale jednak. Publikacja zwiększa szansę, że ktoś się tym zajmie w firmie.
Zaryzykowałbym stwierdzenie, że taka działalność niestety szkodzi bardziej użytkownikom końcowym niż pomaga.
Pomyśl, co by było, gdyby ich nie można publikować. Takich exploitów znanych w "wąskim" gronie byłoby coraz więcej i więcej. Zresztą wąskie grono znając kilka podatności i umiejąc napisać exploity mogłoby zainfekować w pewnych przypadkach w ciągu godzin miliony komputerów. A producenci nie mając powodu nie utrzymywaliby oddzielnych zespołów bezpieczników i w takiej sytuacji łatanie lub chociaż mitigation (nie wiem jakie polskie słowo temu odpowiada - sugestie mile widziane) nie zajęłoby godzin, tylko pewnie by na początku próbowano standardowych procedur łatania bugów i trwałoby rząd wielkości dłużej.