Valentin
Registered User
@ghost1978
Finde ich super, dass du dir vorher nochmal die Meinung von Dritten einholst. Ich persönlich hätte ebenfalls den Hersteller informiert und nach einigen Wochen (wenn keine Reaktion erfolgt ist) die Lücke veröffentlicht. Denn nur so kann man im Notfall Druck ausüben, damit die Hersteller die Lücke schließen.
@michael-08
Leider sind deine Postings in diese Richtung nicht korrekt.
Es ist sogar _vorbildlich_, wenn jemand so wie ghost reagiert.
Es ist üblich, dass der Entdecker einer Sicherheitslücke die Lücke beim Hersteller meldet, auch, wenn es sich um eine ClosedSource-Anwendung handelt.
Der Hersteller hat dann die Möglichkeit, auf diese Nachricht zu reagieren.
Wenn der Hersteller jedoch nicht reagiert oder die Mail nicht ernst nimmt, ist das vor allem ein Risiko für die Leute/Firmen, die diese Applikation einsetzen. Was ist, wenn ein Hersteller die Lücke nicht behebt?
Man handelt dann vollkommen richtig, wenn man nach mehreren Wochen die Lücke veröffentlicht. Dies übt Druck auf den Hersteller aus, da sich auch die Käufer der Applikation beim Hersteller melden. Also erreicht man somit genau das richtige.
Wichtig ist hier vor allem, ob der Hersteller vor allem auf die Benachrichtigungsmail reagiert. Das hat aber dann nix mit den von dir beschriebenen Zeitraum zu tun, den man benötigt, um solch eine Lücke zu schließen. Es geht lediglich erst einmal um eine Reaktion seitens des Herstellers, erst dann um das Bugfixing. Da jedoch keine Reaktion erfolgt ist, ist die Veröffentlichung in meinen Augen genau der richtige Schritt.
Weiterhin weiß man auch gar nicht, ob die Lücke in der "Szene" nicht schon längst bekannt ist. Wenn ja, dann wird die bereits fleißig ausgenutzt, eine Veröffentlichung hilft dann eher, die Sicherheit zu erhöhen, nicht anders herum.
Sorry für die Belehrung, ist eigentlich nicht meine Art.
Finde ich super, dass du dir vorher nochmal die Meinung von Dritten einholst. Ich persönlich hätte ebenfalls den Hersteller informiert und nach einigen Wochen (wenn keine Reaktion erfolgt ist) die Lücke veröffentlicht. Denn nur so kann man im Notfall Druck ausüben, damit die Hersteller die Lücke schließen.
@michael-08
Leider sind deine Postings in diese Richtung nicht korrekt.
Es ist sogar _vorbildlich_, wenn jemand so wie ghost reagiert.
Es ist üblich, dass der Entdecker einer Sicherheitslücke die Lücke beim Hersteller meldet, auch, wenn es sich um eine ClosedSource-Anwendung handelt.
Der Hersteller hat dann die Möglichkeit, auf diese Nachricht zu reagieren.
Wenn der Hersteller jedoch nicht reagiert oder die Mail nicht ernst nimmt, ist das vor allem ein Risiko für die Leute/Firmen, die diese Applikation einsetzen. Was ist, wenn ein Hersteller die Lücke nicht behebt?
Man handelt dann vollkommen richtig, wenn man nach mehreren Wochen die Lücke veröffentlicht. Dies übt Druck auf den Hersteller aus, da sich auch die Käufer der Applikation beim Hersteller melden. Also erreicht man somit genau das richtige.
Wichtig ist hier vor allem, ob der Hersteller vor allem auf die Benachrichtigungsmail reagiert. Das hat aber dann nix mit den von dir beschriebenen Zeitraum zu tun, den man benötigt, um solch eine Lücke zu schließen. Es geht lediglich erst einmal um eine Reaktion seitens des Herstellers, erst dann um das Bugfixing. Da jedoch keine Reaktion erfolgt ist, ist die Veröffentlichung in meinen Augen genau der richtige Schritt.
Weiterhin weiß man auch gar nicht, ob die Lücke in der "Szene" nicht schon längst bekannt ist. Wenn ja, dann wird die bereits fleißig ausgenutzt, eine Veröffentlichung hilft dann eher, die Sicherheit zu erhöhen, nicht anders herum.
Sorry für die Belehrung, ist eigentlich nicht meine Art.