Wait wait wait

Ist das Problem wirklich dass man die Regierung nicht als ERSTES informiert hat, oder weil man sie GAR NICHT informiert hat?
Die Überschrift suggeriert halt wieder dass die chinesische Regierung wieder die Kontrolle über alles haben will, aber aus dem Text lese ich nur heraus, dass man die Regierung nicht innerhalb der vorgegebenen 2 Tage informiert hat.
Auch eine Pflicht die Regierung zuerst zu informieren sehe ich nicht.

bredy89 schrieb:
--------------------------------------------------------------------------------
> Ist das Problem wirklich dass man die Regierung nicht als ERSTES informiert
> hat, oder weil man sie GAR NICHT informiert hat?
> Die Überschrift suggeriert halt wieder dass die chinesische Regierung
> wieder die Kontrolle über alles haben will, aber aus dem Text lese ich nur
> heraus, dass man die Regierung nicht innerhalb der vorgegebenen 2 Tage
> informiert hat.
> Auch eine Pflicht die Regierung zuerst zu informieren sehe ich nicht.

Egentlich steht es sehr deutlich im Text:

"Laut der Zeitung South China Morning Post verpflichtet ein neues Gesetz die Unternehmen, Sicherheitslücken zuerst an die chinesische Regierung zu melden. Dies müsse zudem innerhalb von zwei Tagen geschehen, ergänzt ZDnet."

sre schrieb:
--------------------------------------------------------------------------------
> bredy89 schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ist das Problem wirklich dass man die Regierung nicht als ERSTES
> informiert
> > hat, oder weil man sie GAR NICHT informiert hat?
> > Die Überschrift suggeriert halt wieder dass die chinesische Regierung
> > wieder die Kontrolle über alles haben will, aber aus dem Text lese ich
> nur
> > heraus, dass man die Regierung nicht innerhalb der vorgegebenen 2 Tage
> > informiert hat.
> > Auch eine Pflicht die Regierung zuerst zu informieren sehe ich nicht.
>
> Egentlich steht es sehr deutlich im Text:
>
> "Laut der Zeitung South China Morning Post verpflichtet ein neues Gesetz
> die Unternehmen, Sicherheitslücken zuerst an die chinesische Regierung zu
> melden. Dies müsse zudem innerhalb von zwei Tagen geschehen, ergänzt
> ZDnet."

Ja, aber in der dafür angegebenen Quelle finde zumindest ich davon nichts.
Sollte ich falsch liegen kann man mich gerne korrigieren.

sre schrieb:
--------------------------------------------------------------------------------
> bredy89 schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ist das Problem wirklich dass man die Regierung nicht als ERSTES
> informiert
> > hat, oder weil man sie GAR NICHT informiert hat?
> > Die Überschrift suggeriert halt wieder dass die chinesische Regierung
> > wieder die Kontrolle über alles haben will, aber aus dem Text lese ich
> nur
> > heraus, dass man die Regierung nicht innerhalb der vorgegebenen 2 Tage
> > informiert hat.
> > Auch eine Pflicht die Regierung zuerst zu informieren sehe ich nicht.
>
> Egentlich steht es sehr deutlich im Text:
>
> "Laut der Zeitung South China Morning Post verpflichtet ein neues Gesetz
> die Unternehmen, Sicherheitslücken zuerst an die chinesische Regierung zu
> melden. Dies müsse zudem innerhalb von zwei Tagen geschehen, ergänzt
> ZDnet."

aber viel wichtiger ist doch, ob sie zusätzlich an den Hersteller gemeldet werden darf ( also 5min später )

Das Gesetz hat hier mal jemand durch den Google-Übersetzer gejagt.
https://news.ycombinator.com/item?id=29653352

> 发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

> After discovering or learning about the security vulnerabilities in the provided network products, they should immediately take measures and organize verification of the security vulnerabilities to assess the degree of harm and impact of the security vulnerabilities; for the security vulnerabilities in their upstream products or components, they should immediately notify the relevant Product provider.

> 应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

The relevant vulnerability information should be reported to the network security threat and vulnerability information sharing platform of the Ministry of Industry and Information Technology within 2 days. The content of the submission should include the product name, model, version, and the technical characteristics, harm, and scope of the vulnerability that have security loopholes in network products.

The law suggest bugs should be reported to upstream "immediately", and to the government "within 2 days".

Alibaba reported the bug to Apache first, and to the government 15 days later. So it is disciplined for not reporting to the government within 2 days.

Aber es steht nicht "ausschließlich"! Parallel wäre in Ordnung gewesen, nicht 14 Tage später

franzropen schrieb:
--------------------------------------------------------------------------------
> Das Gesetz hat hier mal jemand durch den Google-Übersetzer gejagt.
> news.ycombinator.com
>
> >
> 发现或者获知所提供&#3
> 2593;络产品存在安全漏&#2793
> 4;后，应当立即采取措&
> #26045;并组织对安全漏洞&#36
> 827;行验证，评估安全&#28431
> ;洞的危害程度和影响&#
> 33539;围；对属于其上游&#201
> 35;品或者组件存在的安
> 全漏洞，应当立即通&#3
> 0693;相关产品提供者。
>
> > After discovering or learning about the security vulnerabilities in the
> provided network products, they should immediately take measures and
> organize verification of the security vulnerabilities to assess the degree
> of harm and impact of the security vulnerabilities; for the security
> vulnerabilities in their upstream products or components, they should
> immediately notify the relevant Product provider.
>
> >
> 应当在2日内向工业和&#
> 20449;息化部网络安全威&#329
> 61;和漏洞信息共享平台
> 报送相关漏洞信息。&#2
> 5253;送内容应当包括存&#2231
> 2;网络产品安全漏洞的&
> #20135;品名称、型号、版&#26
> 412;以及漏洞的技术特&#28857
> ;、危害和影响范围等&#
> 12290;
>
> The relevant vulnerability information should be reported to the network
> security threat and vulnerability information sharing platform of the
> Ministry of Industry and Information Technology within 2 days. The content
> of the submission should include the product name, model, version, and the
> technical characteristics, harm, and scope of the vulnerability that have
> security loopholes in network products.
>
> The law suggest bugs should be reported to upstream "immediately", and to
> the government "within 2 days".
>
> Alibaba reported the bug to Apache first, and to the government 15 days
> later. So it is disciplined for not reporting to the government within 2
> days.


Wenn die Übersetzung auch nur halbwegs stimmt, kann ich China-Sympathisanten durchaus verstehen, wenn sie unseren Medien einseitige und bewusst Stimmungsmachende Ansichten unterstellen. Kann natürlich sein, dass da was in der Übersetzung schief gelaufen ist, aber dann sollte Golem vorsichtiger formulieren oder selbst recherchieren, bevor derart irreführende Darstellungen suggeriert werden.

[Korrektur] Leider stellen viele Medien die Sachlage so gut wie nie richtig, selbst wenn die Lüge entlarvt ist. So verbreiten sich dann unwahre Behauptungen und wenn man etwas dagegen setzt, wird man als China-Fan oder Putin-Freund verunglimpft.



2 mal bearbeitet, zuletzt am 23.12.21 13:41 durch lunarix.

Hallo bredy89,

Danke für den Hinweis. Wir haben den Artikel korrigiert.

Ursache war ein Übersetzungsfehler der folgenden Zeile aus der South China Morning Post:

> Notifying vendors first about security flaws is a cybersecurity industry norm, but a new law encourages Chinese companies to first notify the government

Wir bitten den Fehler zu entschuldigen.

Viele Grüße
Moritz

Potrimpo schrieb:
--------------------------------------------------------------------------------
> Aber es steht nicht "ausschließlich"! Parallel wäre in Ordnung gewesen,
> nicht 14 Tage später

Es gibt halt gute Gründe, die Lücke zuerst dem Hersteller zu melden und nicht priorisiert zu aller erst den StaatsSicherheitsDiensten, wo es dann Spione aus aller Welt erfahren, bevor die Lücke geschlossen wird. Denn das Einzige was hilft, ist Lücke schließen und Kunden informieren, dass sie tätig werden müssen, nicht die NSA zu versorgen. Das hilft nicht, im Gegenteil.
Und wenn es wirklich um Sicherheit der Bürger und der Unternehmen geht, dann darf es eben genau so nicht sein, wie China es vorschreibt.



1 mal bearbeitet, zuletzt am 25.12.21 14:35 durch Vögelchen.