1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Oracle: Verärgerter Forscher…

Ich kenne das -.-

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Ich kenne das -.-

    Autor: mschop 08.11.18 - 06:58

    Die ganze Situation ist einfach nur traurig. Ja, es gibt Software-Hersteller mit Bug-Bounty programmen, die ihre Software rechtzeitig fixen. Es gibt aber deutlich mehr, die verantwortungslos mit der Sicherheit ihrer Kunden umgehen. Ich habe selbst schon diverse Sicherheitslücken gemeldet und kenne das Spiel. Ich werde regelmäßig als Erpresser bezeichnet, wenn ich die gefundenen Sicherheitslücken nicht kostenlos bereit stelle. Als ob ich keinen Aufwand dafür hätte, solche Sicherheitslücken zu finden.

    Hinzu kommt, dass sich manche Hersteller unglaublich viel Zeit für das beheben von Sicherheitslücken lassen und der Fix dann noch nicht mal was taugt.

    Habe mich darüber letztens noch in meinem Blog ausgelassen: https://mschop.de/blog/black-hat-paradise/ ;-)

  2. Re: Ich kenne das -.-

    Autor: gfa-g 09.11.18 - 09:20

    Nicht jeder Entwickler hat Geld dafür und ist ein Google oder Oracle.
    Sicherheits-"forscher" bekommen unverhältnismäßig viel für ihren Aufwand.

    Es ist tatsächlich ein schmaler Grad zwischen Erpressen durch Androhung von Veröffentlichungen (oder anderweitigen Verkauf) und einfach normalem Hinweis, bei kleinen Sachen.

  3. Re: Ich kenne das -.-

    Autor: mschop 09.11.18 - 09:52

    Das ist kein schmaler Grad. Ich habe noch nie einem Anbieter gedroht, dass ich die Sicherheitslücke veröffentliche, wenn dieser mir kein Geld für die entsprechenden Informationen gibt. Von daher ist es ein einfaches Angebot. Für Betrag X sage ich dir N Schwachstellen in deiner Software.

    Ich würde auch nicht sagen, dass ich unverhältnismäßig viel bekomme. Manchmal findet man 1-2 Tage keine Sicherheitslücke. Wenn man dann eine findet, muss man erstmal Kontakt aufnehmen und einen Preis für die Lücke aushandeln. Anschließend muss ich noch dokumentieren, was die Lücke ist und empfehlungen formulieren.

    Nicht jede Sicherheitslücke ist kritisch. Das heißt, man hat auch manchmal eher geringere Beträge dabei. Zudem sind viele Firmen sehr knauserig und man muss viel Überzeugungsarbeit leisten bzw. erstmal handeln.

    Reich wird man damit sicher nicht. Die Software-Hersteller mit Ihrer Software aber meistens schon. Von daher finde ich es OK, einen hohen Betrag zu fordern. Schließlich macht man deren Arbeit und es läge in der Verantwortung der Firmen, für die Sicherheit der Software zu sorgen.

    Für nicht kommerzielle Open-Source-Produkte nehme ich übrigens kein Geld. Wenn jemand Geld mit einer Software verdient, muss er auch die volle Verantwortung dafür übernehmen. Wenn dort kein Geld oder nur sehr wenig verdient wird, gebe ich Sicherheitslücken auch für eine einfach Nennung / Backlink auf meine Seite raus.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Projektmanager Digitalisierungsprojekte (m/w/d)
    Helios IT Service GmbH, Berlin, deutschlandweit
  2. Software Ingenieur*in (d/m/w) Equipment Integration
    OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
  3. IT-Leiter m/w/d
    über KISSLING Personalberatung GmbH, Großraum Balingen/Oberndorf a.N./Schömberg/Rosenfeld
  4. Bilanzkreismanager (m/w/d)
    VSE Aktiengesellschaft, Saarbrücken

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499€
  2. 399,99€
  3. (u. a. Ryzen 5 5600X 358,03€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Geforce Now (RTX 3080) im Test: 1440p120 mit Raytracing aus der Cloud
Geforce Now (RTX 3080) im Test
1440p120 mit Raytracing aus der Cloud

Höhere Auflösung, mehr Bilder pro Sekunde, kürzere Latenzen: Geforce Now mit virtueller Geforce RTX 3080 ist Cloud-Gaming par excellence.
Ein Test von Marc Sauter

  1. Nvidia Geforce Now drosselt manche Spiele auf 45 fps
  2. Nvidia Geforce Now bekommt RTX 3080 und Threadripper Pro

Ada & Zangemann: Das IT-Märchen, das wir brauchen
Ada & Zangemann
Das IT-Märchen, das wir brauchen

Das frisch erschienene Märchenbuch Ada & Zangemann erklärt, was Software-Freiheit ist. Eine schöne Grundlage, um Kinder - aber auch Erwachsene - an IT-Probleme und das Basteln heranzuführen.
Eine Rezension von Sebastian Grüner

  1. Koalitionsvertrag Ampelkoalition will Open Source in Verwaltung bevorzugen
  2. Open Source OBS erzürnt über Markenverletzung durch Logitech-Tochter
  3. Jailbreak Weitgehende DMCA-Ausnahmen für Open Source

Discovery Staffel 4: Star Trek mit viel zu viel Pathos
Discovery Staffel 4
Star Trek mit viel zu viel Pathos

Die ersten beiden Folgen der neuen Staffel von Star Trek Discovery bieten zwar interessante Story-Ansätze, gehen aber in teils unerträglichen Gefühlsduseleien unter. Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Pluto TV Star Trek Discovery kommt doch schon nach Deutschland
  2. Star Trek Discovery kommt nicht mehr auf Netflix