Sicherheitslücken: veröffentlichen oder nicht veröffentlichen?

Diskutiere Sicherheitslücken: veröffentlichen oder nicht veröffentlichen? im IT-News Forum im Bereich News; Der angesehene Kryptographie-Experte Bruce Schneier vertritt die Ansicht, ohne die Offenlegung von Sicherheitslücken fehle der nötige Druck auf die Hersteller die Schwachstelle zu beseitigen. Die ...


+ Antworten + Neues Thema erstellen

(Um antworten zu können, bitte registrieren oder einloggen)

Seite 1 von 2 1 2 LetzteLetzte
Ergebnis 1 bis 10 von 19
  1. Sicherheitslücken: veröffentlichen oder nicht veröffentlichen? #1
    Moderator Avatar von Eric-Cartman

    Sicherheitslücken: veröffentlichen oder nicht veröffentlichen?





    Der angesehene Kryptographie-Experte Bruce Schneier vertritt die Ansicht, ohne die Offenlegung von Sicherheitslücken fehle der nötige Druck auf die Hersteller die Schwachstelle zu beseitigen.

    Die Diskussion um die Veröffentlichung entdeckter Sicherheitslücken ist und war schon immer kontrovers. Naturgemäß sind die Hersteller betroffener Produkte wenig erfreut, wenn sie quasi aus der Zeitung erfahren, dass ihr Produkt eine Schwachstelle aufweist. Wer das jeweilige Produkt einsetzt, muss mit Angriffen rechnen, bevor er eine Chance hat ein vom Hersteller bereit gestelltes Update zu installieren.

    Eine Reihe von Herstellern, allen voran Microsoft, vertreten das Konzept der "verantwortungsvollen Offenlegung". Wer eine Sicherheitslücke entdeckt, soll sie dem Hersteller melden und sein Wissen nicht veröffentlichen. Er soll damit zumindest so lange warten, bis der Hersteller seinen Kunden ein Update oder anderweitige Abhilfe zur Verfügung stellen kann.

    Der gerne als "Krypto-Papst" titulierte Sicherheitsforscher Bruce Schneier ist jedoch der Meinung, ohne den Druck einer öffentlich bekannten Angriffsmöglichkeit würden viele Hersteller nicht oder nicht schnell genug reagieren. Die Geheimhaltung einer bestehenden Sicherheitslücke nutze vor allen potenziellen Angreifern, die eine Schwachstelle bereits entdeckt haben könnten.

    Nach Schneiers Ansicht ist die verantwortungsvolle Offenlegung ("responsible disclosure") nur so lange eine gute Idee, wie die Androhung einer vollständigen Offenlegung ("full disclosure") existiert. Die von etlichen Sicherheitsforschern praktizierte Veröffentlichung neu entdeckter Sicherheitslücken habe erst die Voraussetzung geschaffen, damit die Hersteller durch verantwortungsvolle Offenlegung zum Handeln gezwungen werden könnten.

    Er selbst, beschließt Schneier seine Ausführung, bevorzuge es in einer Welt zu leben, in der er alle Informationen zur Verfügung habe, um seine Sicherheit selbst einschätzen und schützen zu können.

    Bruce Schneiers Ausführungen können Sie im einem Themenschwerpunkt von CSOonline nachlesen: The Chilling Effect .

    Quelle: IDG Magazine Media GmbH/PC-WELT Online

  2. Hi,

    schau dir mal diesen Ratgeber an. Dort findet man viele Hilfestellungen.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. Sicherheitslücken: veröffentlichen oder nicht veröffentlichen? #2
    Ja klar veröffentlichen, dann kann man sich im Zweifel darauf einstellen.

  4. Sicherheitslücken: veröffentlichen oder nicht veröffentlichen? #3
    Ich würde sagen erstmal eine angemessene Vorlaufzeit den Herstellern geben und vor allen ihnen als erstes bescheid geben. Allerdings sollte diese Zeit nicht zu lange sein. Ich sag mal 1-2 Wochen reichen voll und ganz, vor allem wenn es sich um große Konzerne handelt. Danach dann direkt die Lücke so bekannt wie möglich machen, damit auch der letzte Hersteller gezwungen ist ein Patch rauszubringen.

    Nicht so wie bei M$`s letzten Coup mit dem Mauszeigerexploid der schon seit Dezember bekannt ist, seit letzter Woche nochmal durch alle Medien ging und dann innerhalb von 2 Tagen durch nen schnellen Patch behoben werden sollte, der einige Systeme nach dem installieren unbrauchbar macht. Das ist ein gutes Beispiel, wie es nicht laufen sollte!

    mfg
    Med2k

  5. Sicherheitslücken: veröffentlichen oder nicht veröffentlichen? #4
    Lenny
    Gast Standardavatar
    Nicht veröffentlichen, das beunruhigt mich nur

  6. Sicherheitslücken: veröffentlichen oder nicht veröffentlichen? #5
    Was bringt es dem User, wenn sie veröffentlicht werden und nichts passiert?
    http://secunia.com/product/22/
    http://secunia.com/product/11/
    Fehler sind eigentlich dazu da um behoben zu werden.

    Die ANI Lücke wurde vermutlich aus werbestategischen Gründen nicht vorher veröffentlich.
    War es doch so evtl. möglich, eine gefakte Statistik zu veröffentlichen (90 Tage) und eigene Erkenntnisse einfach aus dem Zeitraum zu schieben. Wieviel Lücken fehlen denn in dieser noch?
    Zu der Werbestrategie darf man wohl auch den ausgefallenen März-Patchday zählen.
    a. Die Signatur des Ani-Patch soll aus März sein
    b. User = oh mein System ist sicher weil nix Patch bzw. nur unerheblich

    Eine bis zwei Wochen halte ich aber für einen zu kurzen Zeitraum. Diese Zeit sollte Closed Source schon haben, um den Fehler zu analysieren. Die gleiche Zeit dann auch für eine Fehlerbereinigung. Nach einem Monat sollte sie aber veröffentlicht werden.

    Grundsätzlich halte ich einen Fehler in Software und die nicht Behebung inerhalb des zugesicherten Supportzeitraum für einen Mangel. Bei kritischen Fehlern sogar für einen erheblichen Mangel.
    Sollte der Fehler schon beim Kauf bestehen und der Hersteller hat davon Kenntnis und veröffentlicht nicht, dann ist es ein versteckter Mangel bzw. man könnte sorgar schon von arglistiger Täuschung sprechen.

  7. Sicherheitslücken: veröffentlichen oder nicht veröffentlichen? #6
    Zitat Zitat von longi Beitrag anzeigen
    Grundsätzlich halte ich einen Fehler in Software und die nicht Behebung inerhalb des zugesicherten Supportzeitraum für einen Mangel. Bei kritischen Fehlern sogar für einen erheblichen Mangel.
    Sollte der Fehler schon beim Kauf bestehen und der Hersteller hat davon Kenntnis und veröffentlicht nicht, dann ist es ein versteckter Mangel bzw. man könnte sorgar schon von arglistiger Täuschung sprechen.
    Wenn das so ist, hat man auch ein grundsätzliches Recht auf Nachbesserung innerhalb eines angemessenen Zeitraumes.
    Sollte ein Mangel nicht vollständig oder nur Teilweise behoben werden können ergibt sich das Recht auf Wandlung bzw. man könnte versuchen vom Hersteller etwas Geld wieder zu bekommen. Besonders M$ dürfte dies richtig schmerzen...

  8. Sicherheitslücken: veröffentlichen oder nicht veröffentlichen? #7
    Lenny
    Gast Standardavatar
    Zitat Zitat von MvSt1234 Beitrag anzeigen
    Besonders M$ dürfte dies richtig schmerzen...
    Stimmt, nur bevor Du an die Kohle kommst, musst Du schon einen seeehr langen Atem und selbst, seeeehr viel Geld haben.

  9. Sicherheitslücken: veröffentlichen oder nicht veröffentlichen? #8
    Naja man wird ja auch sehr bekannt, wenn man Sicherheitslücken in Microsoft-Produkten findet und diese meldet, weil sich die Presse ja nur so drauf stürzt. Das Veröffentlichen von Sicherheitslücken kann also auch ne gute Werbung sein.

    Einerseits sollte man den Hersteller insofern unter Druck setzen, dass er ein Update veröffentlicht. Aber auch nicht dermaßen unter Druck setzen, dass er ein Update überstürzt veröffentlichen muss und es nicht richtig implementieren kann und sofgfältig testen kann.

    Wenn es halt im Internet 20 Websites gibt, die eine Lücke in den animierten Cursors ausnutzen muss man ja nicht gleich so einen Hype machen ... Von animierten Cursors hatte ich noch nie was gehört und hab es glaub auch noch nie benutzt. Sind die eigentlich standardmäßig aktiviert ?!?

    Gruß

    Tikonteroga

  10. Hallo,
    schau mal hier: Windows Wartungs Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  11. Sicherheitslücken: veröffentlichen oder nicht veröffentlichen? #9
    Zitat Zitat von MvSt1234 Beitrag anzeigen
    Wenn das so ist, hat man auch ein grundsätzliches Recht auf Nachbesserung innerhalb eines angemessenen Zeitraumes.
    Bisher leider noch nicht. Software schließt meist Haftung aus.
    http://www.heise.de/newsticker/meldung/86839
    Aber evtl. arbeitet man ja schon dran.

  12. Sicherheitslücken: veröffentlichen oder nicht veröffentlichen? #10
    Ich bin dafür, das es kurzfristig veröffentlicht wird. Denn wenn ich weiss das z.B. der Messenger eine Lücke hat über die ich angreifbar bin, kann ich solange ein anderes Produkt nehmen oder die Funktion nicht nutzen.
    Wenn ich aber aus falschverstandener Rücksicht auf die Softwarefirma erst später davon erfahre und meine Platte formatieren darf, Herzlichen Dank.....

    Jedem Benutzer soll die Möglichkeit gegeben sein, sein System sauber zu halten. Und das geht nur wenn die Informationen über Lücken da sind.

Ähnliche Themen zu Sicherheitslücken: veröffentlichen oder nicht veröffentlichen?


  1. Power Point Präsi veröffentlichen klappt nicht!: Morgen zusammen, also ich hab folgendes Problem! Meine Mutter wird diese Woche 50 & ich hab Ihr eine Power Point Präsi erstellt, mit viel Musik,...



  2. Bilder im Internet veröffentlichen: Hallo zusammen, ich suche ein Stück Software, mit der ich Bilder im Internet veröffentlichen kann. Ich habe da natürlich einige Ansprüche :D das...



  3. Microsoft will Datenschutzrichtlinien veröffentlichen: "Wir glauben, dass Partner und andere davon profitieren könnten" Microsoft will im August seine Datenschutzrichtlinien veröffentlichen, an denen...



  4. Was darf ich auf eigener HP veröffentlichen?: :sleepy Hallo, liebe Mituser! Mein Kumpel und ich haben seit einigen Wochen eine gemeinsame HP, die im Entstehen ist und sich mit den Themen...