https://ns.opennet.dev/openforum/vsluhforumID3/69112.html В официальном блоге компании Google, посвященном вопросам безопасности, опубликована статья (http://googleonlinesecurity.blogspot.com/2010/07/rebooting-responsible-disclosure-focus.html), в которой участники Google Security Team излагают свои соображения по вопросу раскрытия информации об уязвимостях, обнаруженных в программном обеспечении. Основным приоритетом при выборе политики раскрытия подобной информации сотрудники команды безопасности Google полагают защищенность конечного пользователя.<br><br><br>В настоящее время можно выделить два ключевых подхода к раскрытию такой информации:<br><br><br>- &lt;i&gt;Ответственное раскрытие&lt;/i&gt; (responsible disclosure). При таком подходе исследователь, обнаруживший уязвимость, уведомляет о ней только производителя уязвимого программного обеспечения, скрывая информацию от общественности. Очевидным достоинством этого подхода является то, что производителю предоставляется возможность выпустить исправления раньше, чем уязвимость начнет массово использоваться злоумышл...<br><br>URL: http://googleo https://ns.opennet.dev/openforum/vsluhforumID3/69112.html#114 Tue, 27 Jul 2010 06:30:04 GMT &gt;Скажите это крупным корпорациям. <br>&gt;"Юзайте программы типа echo, cat, grep, head, tail через конвейер" =) <br>&gt;В некоторых случаях программы сложны и огромны не от скуки программистов. <br>&gt;Уточняю: не во всех случаях, а в некоторых. <br><br>Да, считающему себя программистом обычно скучать некогда, если других способов борьбы с ошибками он не знает, кроме как вставлять в код "побольше проверок", не задумываясь даже толком, откуда он сам берет условия для этих проверок.<br><br>В результате даже для элементарных вещей у него получается длинный-длинный код, который он уже сам потом с трудом отлаживает.<br><br>Зато такую работу вместо компьютера он считает "трудолюбием". См. в начале темы.<br> https://ns.opennet.dev/openforum/vsluhforumID3/69112.html#106 Mon, 26 Jul 2010 15:03:49 GMT &gt;Ну, блин, мы говорим и про обычных домашних юзеров тоже. <br>&gt;Они ни за чем ни следят, ничего не знают. <br>&gt;Просто их браузер тупо сам обновляется) <br>&gt;<br>&gt;Я не говорю, что мы говорим ТОЛЬКО про них. <br>&gt;Мы говорим И про них. <br><br>Заражение вирусом машин хомячков одного провайдера с образованием ботнета приведет к компрометации провайдера.<br> https://ns.opennet.dev/openforum/vsluhforumID3/69112.html#105 Mon, 26 Jul 2010 15:01:01 GMT &gt;Каким образом? <br>&gt;Если инфу о дырке не раскрывать, то под неё не напишут эксплоит. <br><br>Вы правда думаете, что уязвимость может только кто то один найти?<br><br>&gt;Здесь идет разговор про те случаи, когда кто-то один нашел дыру, а <br>&gt;другие её не нашли. <br><br>1 Система все равно будет скомпрометирована, стало быть всем системам зависящим от нее уже не будет доверия.<br>2 В большинстве случаев уязвимость обнаруживает несколько разных людей, вопрос лишь кто будет первым и кто использует уязвимость в своих целях.<br> https://ns.opennet.dev/openforum/vsluhforumID3/69112.html#104 Mon, 26 Jul 2010 14:59:25 GMT &gt;Каким образом? <br>&gt;Если инфу о дырке не раскрывать, то под неё не напишут эксплоит. <br><br>Вы правда думаете, что уязвимость может только кто то один найти?<br><br>&gt;Здесь идет разговор про те случаи, когда кто-то один нашел дыру, а <br>&gt;другие её не нашли. <br><br>1 Система все равно будет скомпрометирована, стало быть всем системам зависящим от нее уже не будет доверия.<br>2 В большинстве случаев уязвимость обнаруживает несколько разных людей, вопрос лишь кто будет первым и кто использует уязвимость в своих целях.<br> https://ns.opennet.dev/openforum/vsluhforumID3/69112.html#102 Mon, 26 Jul 2010 14:36:20 GMT &gt;Скажите это крупным корпорациям. <br>&gt;"Юзайте программы типа echo, cat, grep, head, tail через конвейер" =) <br><br>Да! %) Даёшь Корпоративный Конвейер: http://www.opennet.ru/openforum/vsluhforumID10/4649.html#1 ! Чем длиннее, тем корпоративнее.<br><br>&gt;В некоторых случаях программы сложны и огромны не от скуки программистов. https://ns.opennet.dev/openforum/vsluhforumID3/69112.html#101 Mon, 26 Jul 2010 13:26:25 GMT &gt;Тем более монструозные платформы не <br>&gt;имеют даже доли устойчивости реальных динозавров <br><br>Скажите это крупным корпорациям.<br>"Юзайте программы типа echo, cat, grep, head, tail через конвейер" =)<br>В некоторых случаях программы сложны и огромны не от скуки программистов.<br>Уточняю: не во всех случаях, а в некоторых.<br> https://ns.opennet.dev/openforum/vsluhforumID3/69112.html#100 Mon, 26 Jul 2010 13:23:24 GMT &gt;&gt;то есть, если уязвимость через два дня откроют, то у юзера меньше <br>&gt;&gt;возможностей попасть на бабки, нежели подробности уязвимости станут известны через 60-ят <br>&gt;&gt;дней? <br>&gt;<br>&gt;Кто следит за используемым софтом сможет или самостоятельно костыли прикрутить, или отказаться <br>&gt;от софта в пользу аналога. В любом случае шерстить логи в <br>&gt;поисках следов использования уязвимости за 2 дня и за 60 таки <br>&gt;большая разница. <br><br>Ну, блин, мы говорим и про обычных домашних юзеров тоже.<br>Они ни за чем ни следят, ничего не знают.<br>Просто их браузер тупо сам обновляется)<br><br>Я не говорю, что мы говорим ТОЛЬКО про них.<br>Мы говорим И про них.<br> https://ns.opennet.dev/openforum/vsluhforumID3/69112.html#99 Mon, 26 Jul 2010 13:22:23 GMT &gt;1 А что делали тестировщики до этого? <br><br>Тестировали другие _известные_ дырки, очевидно же =)<br><br>&gt;2 А то что у пользователь изза этой дыры может за два <br>&gt;месяца "реально попасть на бабки" ничего?<br><br>Каким образом?<br>Если инфу о дырке не раскрывать, то под неё не напишут эксплоит.<br>Здесь идет разговор про те случаи, когда кто-то один нашел дыру, а другие её не нашли.<br> https://ns.opennet.dev/openforum/vsluhforumID3/69112.html#94 Sun, 25 Jul 2010 20:10:16 GMT Допустим, проект крупный, и только полностью пересобирается почти сутки. Допустим, ошибка найдена в ряде веток, которые еще поддерживаются, штук пять, скажем. Их все надо проверить отдельно, проверить, нет ли индивидуальных особенностей в каждой. Пересобрать. Проверить, что дырка закрыта. Выдать тестировщикам, дабы они проверили, что этот патч ничего не поломал другого, если поломал, разобраться, починить, снова пересобрать и снова проверить. Это легко может растянуться в недели. Добавляем сюда форс-мажоры, типа, ответственный за подсистему находится в отпуске или в командировке, или проблема более серьезная архитектурная, прочий резерв времени - так верхняя граница и получится.<br>