Незакрытая уязвимость в KDE

почему?

https://en.wikipedia.org/wiki/Responsible_disclosure

я считаю, что неправильно умалчивать. я сторонник того, чтобы сразу, и в паблик.

я считаю

Да какая разница, что ты считаешь? Есть принятая специалистами практика, для тех кто не понимает зачем она нужна, мотивация описана по ссылке.

Мотивация пеннера же тоже вполне хорошо описана в его твиттере - забив на ответственность, собрать лайков и получить 15 минут славы.

мотивация Пеннера - это то, на что рассчитана вся парадигма свободного (и возможно открытого) ПО.

принятая специалистами практика

это магическая фраза?

Потому что вместо того чтобы напрямую написать разработчикам об обнаруженной уязвимости, он решил на ней попиариться.

А вы уверены, что он о ней не писал?

Мотивация пеннера же тоже вполне хорошо описана в его твиттере - забив на ответственность, собрать лайков и получить 15 минут славы.

я чет упустил. Это ты про то, что автор сабжа, вместо того, чтоб написать КДЕ шникам тихо, раструбил на весь мир?

Да. Об этом он сам сказал.

Потому что вместо того чтобы напрямую написать разработчикам об обнаруженной уязвимости, он решил на ней попиариться.

я уверен, если б он не опубликовал это пока горячее, то так быстро бы не пофиксили. а может бы и вообще висело годами бы.

в этом и суть свободного ПО и это пример того, как оно должно работать. и это, на секундочку, логично. если код открыт, почему багрепорты должны быть под ковром?

не считаю, что он хотел попиариться. считаю, что им движело стремление улучшить код. а для чего иначе человек тратит своё личное время на эту уязвимость. а если и получился в итоге пиар, то почему нет - он достоин этого.

Потому что вместо того чтобы напрямую написать разработчикам об обнаруженной уязвимости, он решил на ней попиариться.

И правильно сделал. Ну не тот уровень проекта, чтобы там на ушко шептать, а то вдруг кто пострадает.

И правильно сделал.

Нет. Правильно это написать в security@kde.org
А он повёл себя как типичная attention whore.

я уверен,

Да-а-а, железобетонный аргумент.

называть этикой необходимость уведомления сркытно разработчика не выпуская в паблик - лицемерие

он как раз поступил этично

Нет, потому что даже, если кдешники оперативно выпустят патч, пока мейнтейнеры дистрибутивов все пересоберут и это попадет в репы, все это время системой считай что пользоваться нельзя. То есть он парализовал работу множества компов, а мог бы подождать немного. Это здравый смысл. Тут правильно сказали, если разрабы кде забьют, то другое дело, это будет на их совести. Ну вот вытащил он эту новость в паблик и что прикажешь делать юзерам, сносит кде? Выключать комп?

и что прикажешь делать юзерам, сносит кде?

Как раз подходящий момент завязать с этой наркоманией.

что прикажешь делать юзерам, сносит кде? Выключать комп?

Снимать штаны и бегать. Что хочешь. Конкретно этот человек твой комп не взламывал, а просто тебя проинформировал: кде - решето. Какие претензии? Наоборот, предупрежден - вооружен.

Теобальд

Нет, потому что даже, если кдешники оперативно выпустят патч, пока мейнтейнеры дистрибутивов все пересоберут и это попадет в репы, все это время системой считай что пользоваться нельзя. То есть он парализовал работу множества компов, а мог бы подождать немного. Это здравый смысл. Тут правильно сказали, если разрабы кде забьют, то другое дело, это будет на их совести. Ну вот вытащил он эту новость в паблик и что прикажешь делать юзерам, сносит кде? Выключать комп?

anonymous или глупец или подлец. Рассказав всему миру KDE пользователи могут перестать пользоваться этой СРС и пользоваться другой, пока не устранят уязвимость. В противном случае уязвимость могли использовать злоумышленники против ничего не подозревающих пользователей.

предупрежден - вооружен. Теобальд

Бездумное применение популярных высказываний.

Вариант 1, постим в твиттере хайпа ради:

• исследователь_в_паблик: «Замок марки XXX можно вскрыть скрепкой, просто надавив сюда»
• тот_кто_будет_вооружён_данным_знанием1: так, быстро покупаю личинку, откручиваю болт, ставлю, закручиваю, профит!
• тот_кто_будет_вооружён_данным_знанием2: лол! гыгыгы! пацаны! я пол подъезда открыл!!!
• тот_кто_НЕ_будет_вооружён_данным_знанием: мамочки! что делать-то!

Вариарт 2, сообщаем разработчикам замка

• исследователь_производителю: «Замок марки XXX можно вскрыть скрепкой, просто надавив сюда»
• Производитель_замка_в_паблик: «Замок марки ХХХ содержит серьёзную уязвимость, рекомендуем срочно заменить личинку, самостоятельно или обратиться по телефону YYYYYYYYY, пока личинка не заменена используйте второй замок, задвижку или, хотя бы, цепочку».
• тот_кто_будет_вооружён_данным_знанием1 (без изменений): так, быстро покупаю личинку, откручиваю болт, ставлю, закручиваю, профит!
• тот_кто_будет_вооружён_данным_знанием2: пацаны, тыкал тыкал такой замок, чото туфта всё это, не открывается.
• тот_кто_НЕ_был_вооружён_прошлым_знанием: так, задвижку задвинул, второй замок закрыл, цепочку повесил, по телефону позвонил, завтра придут менять

Видишь? Кого-то знание может вооружить и подготовить к преодолению опасности. Но далеко не всех. Или не так. До кого-то информация может просто не дойти — не специалист он и всё тут.

Я хз, живу в деревне, двери не запираю, уважительно отношусь к посетителям лора, искренне верю, что поставить замок и снести кеды анонимус с руками из плеч сможет.

А твоя позиция держать людей за сволочей или лохов.

Теобальдус

двери не запираю, уважительно отношусь

Что-то тут не сходится, не похож ты на деревенского. Не знаю как у вас, а у нас по деревням шароёбятся асоциальные (наркота, синька) ещё не сдохшие до конца элементы. Мак там ищут и прочее, хер их знает. Хотя новые тоже плодятся. Ну и просто добрососедские отношения когда обязательно нужно что-нибудь украсть пока никто не видит.

называть этикой необходимость уведомления сркытно разработчика не выпуская в паблик - лицемерие

У тебя в голове каша.
Это не лицемерие, а нормальная устоявшаяся практика используемая вменяемыми людьми.

Это хуже, чем лицемерие. От кулхацкеров шептание на ушко не спасет, они раньше всех узнают об опасностях. Публика в первую очередь должна знать о конце света.

Это всё здорово, но есть ещё
Вариант 3, сообщаем разработчикам замка

• исследователь_производителю: «Замок марки XXX можно вскрыть скрепкой, просто надавив сюда»
• производитель_замка_исследователю: «Благодарим Вас за ценную информацию. Наши специалисты блаблабла. Мы непрерывно трудимся и неустанно заботимся блаблабла...»
• всё.

Очень трудно было переварить этот кусок текста.

даже в описании фикса сделали пометку «в след раз неплохо бы сначала сообщить разработчикам о багах».

вообще ?как понять мышление разработчиков:

занимаются открытым кодом, свободным ПО, но баг репорты почему-то требуют закрывать.

зачем заниматься открытым ПО, если вы не готовы быть открытыми и прозрачными.

P.S.: рассуждения типа это может привести к катастрофе не логичны. ведь разве само наличие уязвимости не является катастрофой? кто сказал, что она не эксплуатировалась всё это время отдельными группами? тогда какая разница кем, если твоя машина при необходимости будет атакована со 100% успешностью. потом кто сказал, что при оглашении уязвимости все массово кинуться ломать сервера? те, кому это надо наверняка уже знают как это сделать (и возможно знали об этой конкретной уязвимости в том числе). где гарантия, что скрытие уязвимости, не приведёт к её эксплуатации втихую доверенными лицами разработчика?

вся информация должна быть только публичной, как и сам код.

вообще ?как понять мышление разработчиков:

Всё-таки тебе даже медицина не поможет.

Да, но пока ничего лучше KDE не изобрели.

Естественно, у тебя же только подлецы перед глазами, отвлекают :) или это другой анон?

Я про это писал выше в контексте проблемы описанной в треде: нет реакции... ну что ж, тогда публикуемся, что бы хоть какой-то резонанс был.