Poll
image

Wie moet er als eerste voor een beveiligingslek gewaarschuwd worden?

maandag 8 januari 2007, 00:11 door Redactie, 20 reacties
Ontwikkelaar / aanbieder
58.03%
Andere onderzoekers
1.17%
De hoogste bieder
6.8%
Niemand
3.63%
De gebruikers
30.36%
Aantal stemmen: 853
Reacties (20)
08-01-2007, 09:32 door Anoniem
Een beetje foute vraagstelling. De percentages zouden er anders uitzien
als de vraag subtieler was geformuleerd zodat duidelijk is dat het hier gaat
om het vinden van een lek door een onderzoeker, buitenstaander waarbij
de ontwikkelaar niet op de hoogte is van het bestaan.
08-01-2007, 11:27 door Anoniem
Op dit moment kiest 69,7% voor "ontwikkelaar/aabieder" (na 76 stemmen).
Dat is toch goed?
08-01-2007, 13:30 door Anoniem
Door Anoniem
Op dit moment kiest 69,7% voor "ontwikkelaar/aabieder" (na 76
stemmen).
Dat is toch goed?

32,1% kies voor de gebruikers, dat is veel te veel.
08-01-2007, 15:49 door SirDice
Ok.. Persoonlijk ben ik voor Full Disclosure. Ik ben echter
wel van mening dat de fabrikant/ontwikkelaar wel de kans
moet krijgen om z'n fout te herstellen en dat deze de
gebruikers, tijdig, op de hoogte moet brengen. Nadat de fout
hersteld is of als het niet tijdig opgelost wordt dan volgt
het publiek maken van alle details.

Kunnen we altijd nog discussiëren over de tijd die een
fabrikant/ontwikkelaar krijgt om het op te lossen.
08-01-2007, 18:55 door Anoniem
Door SirDice
Ok.. Persoonlijk ben ik voor Full Disclosure. Ik ben echter
wel van mening dat de fabrikant/ontwikkelaar wel de kans
moet krijgen om z'n fout te herstellen en dat deze de
gebruikers, tijdig, op de hoogte moet brengen. Nadat de fout
hersteld is of als het niet tijdig opgelost wordt dan volgt
het publiek maken van alle details.

Kunnen we altijd nog discussiëren over de tijd die een
fabrikant/ontwikkelaar krijgt om het op te lossen.

Als je dit full disclosure noemt dan ben ik daar ook voor mits er niet de
kans bestaat dat hetzelfde probleem in andere software voorkomt van een
andere leverancier.

De tijd die een fabrikant/ontwikkelaar krijgt is in principe zonder limiet.
Immers de mogelijke gevolgschade weegt nooit op tegen het openbaren
van de informatie.

Een fabrikant/ontwikkelaar die ondersteuning levert volgens overeenkomst
zou strafbaar moeten zijn als deze in gebreke blijft bij het niet verhelpen
van een beveiligingslek in redelijke termijn. Het is mi. een vorm van
oplichting.
08-01-2007, 20:52 door Anoniem
Beveiligingslekken zijn m.i. dagelijkse kost en zouden onderdeel moeten
zijn van standaard procedures/processen. De verantwoordelijke partijen
voor een veilige applicatie zijn primair zelf verantwoordelijk en dienen
derhalve zelf de procedures/processen te hebben ingericht om dergelijke
lekken te constateren, dan wel door te krijgen. Paniek over wie het eerst
geïnformeerd zou moeten worden is m.i. zinloos, ofwel ik kies voor:
Niemand (misschien een helpdesk) zou geïnformeerd moeten worden.
08-01-2007, 20:53 door Anoniem
Informeren van gebruikers is ongewenst. Zij nemen een service af en
verwachten een afgesproken kwaliteit, alleen als een lek tot verstoring van
de kwaliteit heeft geleid dienen gebruikers te worden geïnformeerd. ICT is
een commodity aan het worden, beveiligingslekken eigenlijk ook.
09-01-2007, 02:11 door [Account Verwijderd]
[Verwijderd]
09-01-2007, 02:30 door Anoniem
Ik kan je wel vertellen dat ik pislink word wanneer
blijkt dat wij weer kwestbaar zijn geweest. Menigmaal zou
door een simpele ingreep van onze kant (de gebruiker) de
veiligheid zijn vergroot. Jammer genoeg is het nu meestal
lang wachten in onwetendheid op een patch/update terwijl
ondertussen onze deuren wagenwijd open staan.

De theorie achter ``full disclosure´´ is net zo utopisch
als het communisme van Karl Marx. Op papier klinkt het
leuk maar in de praktijk maken veel aanbieders misbruik van
de onwetendheid van hun klanten waardoor aanbieders zelf
kunnen blijven bepalen wanneer patches/updates geleverd
worden. Spelen met tijdsdruk = geld besparen!
``Full disclosure´´ werkt ook om een andere reden niet in
onze maatschappij. Lekken ``lekken uit´´, je kan als
eindgebruiker dan alleen maar hopen dat jij het als
eerste hoort... Er is daarom geen grote onderneming meer op
deze planeet die niet een 3e (en een 4e / 5e) partij
inschakelen om gewaarschuwd te worden voor ``lekken´´ van
aanbieders die door de aanbieders zelf verzwegen werden...

Geef mij daarom maar volledige openheid van zaken, op die
manier kan ik het beste mijn belangen behartigen.
09-01-2007, 07:34 door Anoniem
Ik ben van mening dat de ontwikkelaar/aanbieder als eerst
ingelicht moet worden. Deze moet de tijd krijgen om de fout
de fixen (bijvoorbeeld een maandje). Na die maand lijkt full
disclosure mij het best om anderen in te lichten en
eventueel de aanbieder/ontwikkelaar tot een oplossing te
dwingen als hij die niet al leverd heeft.
10-01-2007, 09:28 door splinter
De ontwikkelaar / aanbieder is altijd gewaarschuwd. Ze moeten gewoon
zorgen dat het niet voorkomt. De praktijk wijst uit dat dit net zo utopia is
als "full disclosure" een oplossing zou zijn voor het probleem. Dus mijn
mening gaat naar "de hoogste bieder". Laat de concurrentie het maar
oplossen.
10-01-2007, 11:12 door Anoniem
De praktijk wijst uit dat vooral de grotere jongens
meldingen lekker links laten liggen totdat het publiek
wordt. Als vinder heb je mijns insziens wel de plicht om het
eerst aan de ontwikkelaar te vertellen. Maar je hebt ook de
plicht om de daadwerkelijke mensen die in gevaar zijn in te
lichten. Daarom moet je een strakke deadline aanhouden voor
full disclosure. Hooguit een week of twee.
10-01-2007, 13:18 door Anoniem
Door Anoniem
De praktijk wijst uit dat vooral de grotere jongens
meldingen lekker links laten liggen totdat het publiek
wordt. Als vinder heb je mijns insziens wel de plicht om het
eerst aan de ontwikkelaar te vertellen. Maar je hebt ook de
plicht om de daadwerkelijke mensen die in gevaar zijn in te
lichten. Daarom moet je een strakke deadline aanhouden voor
full disclosure. Hooguit een week of twee.

Dat is helemaal niet de praktijk. Juist de grote jongens zijn gevoelig voor
imagoschade.

Full disclosure van iets waar geen patch voor is, is levensgevaarlijk.

En zoals eerder gezegd moet een leverancier aan te spreken zijn op het
uitblijven van een patch.
10-01-2007, 16:26 door Anoniem
Ik zou eerste een ander laten verifieren of het gevondene
ook daadwerkelijk reproduceerbaar is.
11-01-2007, 10:52 door Anoniem
60,7% Ontwikkelaar / aanbieder

Nou je ziet al gelijk wat voor volk hier zit, zijn jullie
nou echt allemaal van die achterlijke white hats die alleen
maar in de security bizz zitten voor de $$$ ?
11-01-2007, 13:04 door Anoniem
Gebruikers moeten op de hoogte gebracht worden. Ik haat analogieen te
gebruiken, maar als je autoremmen het niet doen, wil je toch ook niet 2
maanden wachten met weten dat je remmen het niet doen totdat de
fabrikant nieuwe remleidingen gefabriceerd heeft. Leveranciers maken
een BRAS product, en dienen de gebruikers hiervan DIRECT op de hoogte
te brengen. Liability zoals die Amerikanen dat noemen. Ondanks dat
EULA's en andere meuk al jouw rechten wegnemen, als jij als
Nederlander een product koopt, heb je consumenten rechten nog steeds.
11-01-2007, 15:17 door Anoniem
Als gebruikers het weten, weten hackers het ook meteen en
wordt het mogelijk binnen 24 uur misbruikt. Dat is het grote
nadeel aan bekend maken aan het 'publiek'. Een vergelijking
met autoremmen is een klein beetje anders omdat hier je
leven vanaf kan hangen, van software is dat enigzins anders,
moeilijk om te vergelijken.

Als gebruikers het weten kan het een chaos worden.
11-01-2007, 17:40 door [Account Verwijderd]
[Verwijderd]
11-01-2007, 18:39 door Anoniem
Door Anoniem
Gebruikers moeten op de hoogte gebracht worden. Ik haat
analogieen te
gebruiken, maar als je autoremmen het niet doen (....)
Volgens mij gaat dat ook op een dergelijke manier:
1) Iemand constateerd het probleem
2) Probleem wordt gemeld bij de fabrikant
3) fabrikant test of het een reproduceerbaar probleem is, en
bepaald hoe het op te lossen
4) Eigenaren krijgen een brief met het probleem en de vraag
om bij de garage langs te komen om te voorkomen dat dit bij
hun voor kan komen
14-01-2007, 09:44 door Anoniem
Door Anoniem
Gebruikers moeten op de hoogte gebracht worden. Ik haat analogieen te
gebruiken, maar als je autoremmen het niet doen, wil je toch ook niet 2
maanden wachten met weten dat je remmen het niet doen totdat de
fabrikant nieuwe remleidingen gefabriceerd heeft. Leveranciers maken
een BRAS product, en dienen de gebruikers hiervan DIRECT op de hoogte
te brengen. Liability zoals die Amerikanen dat noemen. Ondanks dat
EULA's en andere meuk al jouw rechten wegnemen, als jij als
Nederlander een product koopt, heb je consumenten rechten nog steeds.

Het ligt iets anders. In dit geval gaan je remmen stuk als iemand
bijvoorbeeld een sticker op de linker buitenspiegel plakt of het wilhemus
achter je toetert.

Waar het om gaat is dat het gvolg van het defect zich pas zal openbaren
bewust ingerijpt / misbruik maakt van een bestaande fout.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search