Vil holde feilfiks hemmelig i to uker

[Redaksjonen.]

Vil holde feilfiks hemmelig i to uker

[Gjest Slettet-t8fn5F]

Da er det jo bare for de kriminelle å bli kunder av Magento, så får de også den informasjonen 2 uker før den blir offentlig.

[tommyb]

– Man kan argumentere for at åpen kildekode er mer eller mindre sikker enn tradisjonell programvare. Mitt syn er at open source faktisk er sikrere, fordi koden gjennomgår så mye oversyn fra brukernes side, sier John Stockton.

 

I fare for å starte (og stikke av fra) en rundtdans av ikke-målbare argumenter, så er den påstanden kun gyldig dersom koden faktisk gjennomgår [vennligsinnet] oversyn fra brukernes side. Det gjør den bare i begrenset grad. 

 

Buggen som var grunnlag for Shellshock var sentralt plassert i GNU/Linux, i kildekode som nesten burde være lærebok-relevant for plattformen, svært utbredt og profilert. Feilen ble innført i 1989 og oppdaget i 2014. Den ble haste-patcha og utnytta innen én time etter den ble annonsert, fulgt av flere relaterte bugs, angrep og patches når øynene først var snudd dit. Hadde den første ikke blitt offentliggjort, hadde angrepene ikke skjedd. Hadde denne spesifikke buggen vært skjult lukket kildekode, hadde den rett og slett ikke blitt oppdaget eller fått disse angrepene.

 

Det betyr ikke at i totalsum det hadde vært bedre om all kode var lukket. Men det betyr helt tydelig at påstanden om at åpen kildekode er sikrere fordi den gjennomgår oversyn/gjennomsyn bare er gyldig for prosjekter som har tilstrekkelig gjennomsyn. 

 

Dette er imidlertid bare ett argument og noen få av mange faktorer. Det finnes ikke noe rett svar, men det finnes mange dårlige løsninger. 

 

Da er det jo bare for de kriminelle å bli kunder av Magento, så får de også den informasjonen 2 uker før den blir offentlig.

 

Gitt at de skjønner hva de får og klarer skille det fra de n% av endringer som ikke er relatert til sikkerhetspatcher. 

[Sandormen]

Kan godt forstå de ønsker å holde tilbake patch-beskrivelsen, men om de utgir en sikkerhetsfiks, betyr det jo at det er en feil et eller annet sted.

Det er sikkert noen der ute som kun på det grunnlaget kan finne ut hva som er i ferd med å bli fikset. Det blir litt høna og egget.

Men, selvfølgelig det kan fort bli å lete etter nåla i høystakken uten info om hva som fikses.

Det er jo ikke engang sikkert det er en feil som kan utnyttes som blir fikset. ?

[Konradi]

Da er det jo bare for de kriminelle å bli kunder av Magento, så får de også den informasjonen 2 uker før den blir offentlig.

 

Tror du missforstår her.. de vil bare vente med beskrivelsen og gi kundene sine en 2 uker tid på å oppdatere før de forteller hva som ble rettet.

[Gjest Slettet-t8fn5F]

Tror du missforstår her.. de vil bare vente med beskrivelsen og gi kundene sine en 2 uker tid på å oppdatere før de forteller hva som ble rettet.

Kan dette misforstås, hvis angriperne også er blant kundene:

 

Endret 6. november 2019 av Slettet-t8fn5F

[tommyb]

Kan dette misforstås, hvis angriperne også er blant kundene:

 

 

Poenget ditt er gyldig, men hverken kundene eller de uærlige kundene får informasjon om hva patchen gjør. Da må man observere endringene og ut fra dem forsøke analysere hvor og hvorfor. Dette er mer arbeidskrevende enn dersom de får en beskrivelse og i noen tilfeller offentliggjøres til og med et proof of concept. Da vil enhver med interesse kunne lage et angrep, noen ganger bare for å se om de får det til. 

 

For målrettede, ressurssterke hackere er at patchen i seg selv sendes ut nok til å starte en prosess. Men de fleste er hverken målrettede eller ressurssterke, så man får utsatt store deler av, la oss kalle det oppmerksomheten, til etter mange kunder har fått patchet.