1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Responsible Disclosure: Vom…

Responsible Disclosure nicht Responsible

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Responsible Disclosure nicht Responsible

    Autor: dom0 25.01.22 - 17:04

    - Erhebliches rechtliches Risiko für den Reporter
    - Vendor hat keinerlei Druck sich um Behebung zu bemühen
    - In Summe: Probleme werden oft negiert, ignoriert oder viel zu spät gepatcht

    Es ergibt im Sinne der Verbesserung der tatsächlichen Sicherheit idR wenig Sinn auf "responsible Disclosure" zu setzen. "Responsible Disclosure" ist einfach nur ein euphemistischer Marketingbegriff, den sich Leute ausgedacht haben um Full-Disclosure als unverantwortlich, quasi illegal, darzustellen.

  2. Re: Responsible Disclosure nicht Responsible

    Autor: wo.ist.der.käsetoast 26.01.22 - 08:46

    Schreib mal,was du glaubst, was responsible disclosure bedeutet und wie das in der Praxis aussieht.

  3. Re: Responsible Disclosure nicht Responsible

    Autor: Jeson 02.02.22 - 14:02

    dom0 schrieb:
    --------------------------------------------------------------------------------
    > - Erhebliches rechtliches Risiko für den Reporter
    > - Vendor hat keinerlei Druck sich um Behebung zu bemühen
    > - In Summe: Probleme werden oft negiert, ignoriert oder viel zu spät
    > gepatcht
    >
    > Es ergibt im Sinne der Verbesserung der tatsächlichen Sicherheit idR wenig
    > Sinn auf "responsible Disclosure" zu setzen. "Responsible Disclosure" ist
    > einfach nur ein euphemistischer Marketingbegriff, den sich Leute ausgedacht
    > haben um Full-Disclosure als unverantwortlich, quasi illegal, darzustellen.

    Responsible Disclosure bedeutet ja vor allem, dass man den Hersteller vorab informiert und ihm die Möglichkeit gibt einen Patch zu produzieren. Als Vorbild hat sich hier eigentlich Google Project Zero etabliert, die 90 Tage geben um eine Schwachstelle zu beheben, danach erfolgt ein Full Disclosure (7 Tage bei Schwachstellen, die bereits "in the wild" ausgenutzt werden).

    Klar setzt ein Full Disclosure den Hersteller mehr unter Druck, aber das wahrscheinliche Ergebnis ist, dass der Hersteller einen Patch unter enormen Zeitdruck herstellen muss, was das Testing verschlechtert und viele Kunden kompromittiert werden, weil der Exploit schneller ist als der Patch.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Mitarbeiter Service und Support (w/m/d)
    Siedlungswerk GmbH, Stuttgart
  2. Auditorin / Auditor (w/m/d) für Informationssicherheit
    Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  3. Softwareentwickler Android TK App (m/w/d)
    Techniker Krankenkasse, Hamburg
  4. Senior Softwareingenieur - Test für Hubschraubersysteme (gn)
    ESG Elektroniksystem- und Logistik-GmbH, Donauwörth

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Dune, Godzilla vs. Kong, The Suicide Squad, The Boss Baby)
  2. 87,39€ (Bestpreis mit MediaMarkt. Vergleichspreis 98,47€)
  3. 150,42€ (Bestpreis mit MediaMarkt. Vergleichspreis 179€)
  4. 344€ (Vergleichspreis 383€)


Haben wir etwas übersehen?

E-Mail an news@golem.de