gov...

[AdrianPietka]

W sumie pierwsza i ostatnia metoda sa najlepsze ale ktora jest dla kogo? Ja akurat w wiekszosci przypadkow wybralbym #3 - no coz... wiele osob bedzie na mnie wkur***** bo mialem wazna informacje i sie nie podzielilem. Z drugiej strony akurat chcialbym aby .gov przykladaly wiecej uwagi do bezpieczenstwa, wiec dalbym im szanse.

A ja osobiście wybrałbym opcje full disclosure. Zresztą jestem jej strasznym zwolennikiem Myślę, że błędy, które zostają znalezione czy to w aplikacjach webowych, stronach czy też w samym oprogramowaniu powinny być bezpośrednio publikowane i dostępne dla ogółu. Według mnie autor danego oprogramowania powinien dbać o bezpieczeństwo swoich aplikacji. Jeżeli jest w pełni kompetentny to w szybkim czasie wypuści odpowiednie aktualizacje.

Oczywiście to tylko i wyłącznie moje podejście do ogółu sprawy, którego rzecz jasna nikomu nie narzucam

Pozdrawiam!

[TQM]

Tu nie ma co dyskutowac - full disclosure to rozwiazanie wzorcowe i powinno sie do niego dazyc ale ja staram sie byc (niestety) realista i obaj doskonale wiemy, ze najczesciej informacje takie przechodza bez echa, dzira zostaje dziura przez tygodnie jak nie miesiace czesto na zasadzie "a to zalatamy w nastepnej wersji".

Ustalenie z powiedzmy 'autorem' czas o ile odwlekamy publikacje ma sens - pod warunkiem ze ten czas jest nie za dlugi i ze nie bedzie przepychani go dalej... bo jeszcze 3 miesiace, jeszcze 2 tygodnie, itd... jesli pozwolimy aby termin sie 'slizgnal' to cale responsible disclosure moim zdaniem traci zupelnie swoj sens.

Full disclosure ma sens tylko jesli autorzy (firmy/organizacje/ludzie) biora na powaznie to co sie do nich mowi i dbaja o to co robia. W kazdym innym przypadku wracamy do full disclosure (poprzez wyczerpanie ustalonego czasu) i wtedy parcie na takich ludkow jest znacznie wieksze - vide dzisiejszy chyba post na cyberterroryzm.eu (autoreklama lekka ale coz... skoro przynosi efekty to niech i tak bedzie - nie mam nic przeciwko).