Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Oracle: Verärgerter Forscher…

Ich kenne das -.-

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich kenne das -.-

    Autor: mschop 08.11.18 - 06:58

    Die ganze Situation ist einfach nur traurig. Ja, es gibt Software-Hersteller mit Bug-Bounty programmen, die ihre Software rechtzeitig fixen. Es gibt aber deutlich mehr, die verantwortungslos mit der Sicherheit ihrer Kunden umgehen. Ich habe selbst schon diverse Sicherheitslücken gemeldet und kenne das Spiel. Ich werde regelmäßig als Erpresser bezeichnet, wenn ich die gefundenen Sicherheitslücken nicht kostenlos bereit stelle. Als ob ich keinen Aufwand dafür hätte, solche Sicherheitslücken zu finden.

    Hinzu kommt, dass sich manche Hersteller unglaublich viel Zeit für das beheben von Sicherheitslücken lassen und der Fix dann noch nicht mal was taugt.

    Habe mich darüber letztens noch in meinem Blog ausgelassen: https://mschop.de/blog/black-hat-paradise/ ;-)

  2. Re: Ich kenne das -.-

    Autor: gfa-g 09.11.18 - 09:20

    Nicht jeder Entwickler hat Geld dafür und ist ein Google oder Oracle.
    Sicherheits-"forscher" bekommen unverhältnismäßig viel für ihren Aufwand.

    Es ist tatsächlich ein schmaler Grad zwischen Erpressen durch Androhung von Veröffentlichungen (oder anderweitigen Verkauf) und einfach normalem Hinweis, bei kleinen Sachen.

  3. Re: Ich kenne das -.-

    Autor: mschop 09.11.18 - 09:52

    Das ist kein schmaler Grad. Ich habe noch nie einem Anbieter gedroht, dass ich die Sicherheitslücke veröffentliche, wenn dieser mir kein Geld für die entsprechenden Informationen gibt. Von daher ist es ein einfaches Angebot. Für Betrag X sage ich dir N Schwachstellen in deiner Software.

    Ich würde auch nicht sagen, dass ich unverhältnismäßig viel bekomme. Manchmal findet man 1-2 Tage keine Sicherheitslücke. Wenn man dann eine findet, muss man erstmal Kontakt aufnehmen und einen Preis für die Lücke aushandeln. Anschließend muss ich noch dokumentieren, was die Lücke ist und empfehlungen formulieren.

    Nicht jede Sicherheitslücke ist kritisch. Das heißt, man hat auch manchmal eher geringere Beträge dabei. Zudem sind viele Firmen sehr knauserig und man muss viel Überzeugungsarbeit leisten bzw. erstmal handeln.

    Reich wird man damit sicher nicht. Die Software-Hersteller mit Ihrer Software aber meistens schon. Von daher finde ich es OK, einen hohen Betrag zu fordern. Schließlich macht man deren Arbeit und es läge in der Verantwortung der Firmen, für die Sicherheit der Software zu sorgen.

    Für nicht kommerzielle Open-Source-Produkte nehme ich übrigens kein Geld. Wenn jemand Geld mit einer Software verdient, muss er auch die volle Verantwortung dafür übernehmen. Wenn dort kein Geld oder nur sehr wenig verdient wird, gebe ich Sicherheitslücken auch für eine einfach Nennung / Backlink auf meine Seite raus.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. acarda GmbH, Frankfurt am Main
  2. A. Menarini Research & Business Service GmbH, Berlin
  3. Bundeskriminalamt, Wiesbaden
  4. Scheugenpflug AG, Neustadtan der Donau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Benq 28 Zoll 4K UHD für 219,00€, AOC 27 Zoll Curved für 199,00€, Acer Predator 32 Zoll...
  2. 119,90€ (Bestpreis!)
  3. 89,90€ (Bestpreis!)
  4. 449,90€ (Release am 26. August)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

  1. Telekom: 30 Millionen Haushalte mit Vectoring und FTTH erreicht
    Telekom
    30 Millionen Haushalte mit Vectoring und FTTH erreicht

    30 Millionen Haushalte können von der Telekom schnelles Internet bekommen. 1,1 Millionen davon sind für den Anschluss an das Glasfaser-Netz der Telekom vorbereitet.

  2. Google: Android Q heißt einfach Android 10
    Google
    Android Q heißt einfach Android 10

    Schluss mit den Süßigkeiten: Google bricht mit der zehn Jahre alten Tradition, seine Android-Versionen nach Naschwaren zu benennen. Aus Android Q wird dementsprechend einfach Android 10, dessen finaler Release in den kommenden Wochen erscheinen soll.

  3. Keine Gigafactory: Tesla will offenbar Autos in Niedersachsen bauen
    Keine Gigafactory
    Tesla will offenbar Autos in Niedersachsen bauen

    Der Elektroautohersteller Tesla erwägt den Bau einer Fabrik in Niedersachsen. Eine Giga-Fabrik für Akkuzellen und Batterien ist allerdings nicht geplant.


  1. 17:32

  2. 17:10

  3. 16:32

  4. 15:47

  5. 15:23

  6. 14:39

  7. 14:12

  8. 13:45