Door Anoniem: Er lopen een paar dingen door elkaar. Ten eerste de vraag of het onverantwoord is om een zeroday te publiceren zonder de leverancier tijd te geven om een patch te maken. In principe vind ik dat inderdaad onverantwoord, omdat je daarmee aanvallers helpt en het verdedigers moeilijker maakt. De enige reden die ik kan zien om een zeroday te publiceren is als er al misbruik in het wild is, omdat je het dan verdedigers ook mogelijk maakt om zich te verdiepen in die exploit. Je moet daar niet uit het oog verliezen hoe die coordinated vulnerability disclosure, of responsible disclosure zoals het eerst genoemd werd, eigenlijk is ontstaan. In de jaren '90, toen het internet grootschalig los ging, waren er nogal wat softwareleveranciers die zich domweg niets van meldingen van lekken aantrokken en deden of hun neus bloedde. Een groep mensen die dergelijke lekken vonden en meldden was daar niet blij mee, redeneerde dat als zij die lekken konden vinden iemand die ze zou misbruiken dat ook kon, en nam het ...