Le Sun, 23 May 2004 13:02:34 +0000, newsread a écrit :
juste une question concernant la publication des alertes. Comment cela se passe t-il ?
On fait ça poliment.
1. On vérifie qu'on est capable de reproduire le problème 2. On rassemble toutes les infos sur le problème 3. On écrit une bafouille sur le sujet et on l'envoie à l'éditeur/constructeur pour lui signaler le problème et lui signifier deux trois choses (genre si tu réponds pas, je publie) 4. On échange un peu avec l'éditeur/constructeur 5. On se met d'accord et on publie : toi la faille, et eux le patch
Et voili. Mais c'est ce qui se passe dans le meilleur des mondes, l'étape 4 ayant fortement tendance chez certains à rester en attente...
Une bonne politique de diffusion de failles :
http://www.wiretrip.net/rfp/policy.html
-- BOFH excuse #431:
Borg implants are failing
Le Sun, 23 May 2004 13:02:34 +0000, newsread a écrit :
juste une question concernant la publication des alertes. Comment
cela se passe t-il ?
On fait ça poliment.
1. On vérifie qu'on est capable de reproduire le problème
2. On rassemble toutes les infos sur le problème
3. On écrit une bafouille sur le sujet et on l'envoie à
l'éditeur/constructeur pour lui signaler le problème et lui
signifier deux trois choses (genre si tu réponds pas, je publie)
4. On échange un peu avec l'éditeur/constructeur
5. On se met d'accord et on publie : toi la faille, et eux le patch
Et voili. Mais c'est ce qui se passe dans le meilleur des mondes, l'étape
4 ayant fortement tendance chez certains à rester en attente...
Le Sun, 23 May 2004 13:02:34 +0000, newsread a écrit :
juste une question concernant la publication des alertes. Comment cela se passe t-il ?
On fait ça poliment.
1. On vérifie qu'on est capable de reproduire le problème 2. On rassemble toutes les infos sur le problème 3. On écrit une bafouille sur le sujet et on l'envoie à l'éditeur/constructeur pour lui signaler le problème et lui signifier deux trois choses (genre si tu réponds pas, je publie) 4. On échange un peu avec l'éditeur/constructeur 5. On se met d'accord et on publie : toi la faille, et eux le patch
Et voili. Mais c'est ce qui se passe dans le meilleur des mondes, l'étape 4 ayant fortement tendance chez certains à rester en attente...
Une bonne politique de diffusion de failles :
http://www.wiretrip.net/rfp/policy.html
-- BOFH excuse #431:
Borg implants are failing
j3CubL4H
bonne question... je crois qu'il faut un tant soit peu prouver ce que l'on avance et puis contacter le CERT par exemple et remplir un formulaire... JM.
"newsread" a écrit dans le message de news:
Bonjour,
juste une question concernant la publication des alertes. Comment cela se passe t-il ?
A+ Dan
bonne question...
je crois qu'il faut un tant soit peu prouver ce que l'on avance et puis
contacter le CERT par exemple et remplir un formulaire...
JM.
"newsread" <newsread@free.fr> a écrit dans le message de news:
xn0dim7hm1wcps000@news.free.fr...
Bonjour,
juste une question concernant la publication des alertes. Comment
cela se passe t-il ?
bonne question... je crois qu'il faut un tant soit peu prouver ce que l'on avance et puis contacter le CERT par exemple et remplir un formulaire... JM.
"newsread" a écrit dans le message de news:
Bonjour,
juste une question concernant la publication des alertes. Comment cela se passe t-il ?
A+ Dan
Fabien LE LEZ
On 23 May 2004 18:23:30 GMT, Cedric Blancher wrote:
3. On écrit une bafouille sur le sujet et on l'envoie à l'éditeur/constructeur
Dans le meilleur des mondes, peut-être. En pratique, je conseille fortement de tout mettre en oeuvre pour que l'éditeur n'ait jamais accès à ton nom.
-- ;-) FLL, Epagneul Breton
On 23 May 2004 18:23:30 GMT, Cedric Blancher
<blancher@cartel-securite.fr> wrote:
3. On écrit une bafouille sur le sujet et on l'envoie à
l'éditeur/constructeur
Dans le meilleur des mondes, peut-être. En pratique, je conseille
fortement de tout mettre en oeuvre pour que l'éditeur n'ait jamais
accès à ton nom.
On 23 May 2004 18:23:30 GMT, Cedric Blancher wrote:
3. On écrit une bafouille sur le sujet et on l'envoie à l'éditeur/constructeur
Dans le meilleur des mondes, peut-être. En pratique, je conseille fortement de tout mettre en oeuvre pour que l'éditeur n'ait jamais accès à ton nom.
-- ;-) FLL, Epagneul Breton
T0t0
"Cedric Blancher" wrote in message news:
On fait ça poliment.
1. On vérifie qu'on est capable de reproduire le problème 2. On rassemble toutes les infos sur le problème 3. On écrit une bafouille sur le sujet et on l'envoie à l'éditeur/constructeur pour lui signaler le problème et lui signifier deux trois choses (genre si tu réponds pas, je publie) 4. On échange un peu avec l'éditeur/constructeur 5. On se met d'accord et on publie : toi la faille, et eux le patch
Et voili. Mais c'est ce qui se passe dans le meilleur des mondes, l'étape 4 ayant fortement tendance chez certains à rester en attente...
A mon avis, contacter un organisme intermédiaire comme le certa <http://www.certa.ssi.gouv.fr/> est une bonne idée pour éviter d'avoir une confrontation directe avec les éditeurs de mauvais poil :-) De plus, ca permettra à la faille de ne pas être passée à la trappe par l'éditeur incapable d'en comprendre la réelle portée.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Cedric Blancher" <blancher@cartel-securite.fr> wrote in message
news:pan.2004.05.23.18.23.34.204215@cartel-securite.fr
On fait ça poliment.
1. On vérifie qu'on est capable de reproduire le problème
2. On rassemble toutes les infos sur le problème
3. On écrit une bafouille sur le sujet et on l'envoie à
l'éditeur/constructeur pour lui signaler le problème et lui
signifier deux trois choses (genre si tu réponds pas, je publie)
4. On échange un peu avec l'éditeur/constructeur
5. On se met d'accord et on publie : toi la faille, et eux le patch
Et voili. Mais c'est ce qui se passe dans le meilleur des mondes, l'étape
4 ayant fortement tendance chez certains à rester en attente...
A mon avis, contacter un organisme intermédiaire comme le certa
<http://www.certa.ssi.gouv.fr/> est une bonne idée pour éviter d'avoir
une confrontation directe avec les éditeurs de mauvais poil :-)
De plus, ca permettra à la faille de ne pas être passée à la trappe
par l'éditeur incapable d'en comprendre la réelle portée.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
1. On vérifie qu'on est capable de reproduire le problème 2. On rassemble toutes les infos sur le problème 3. On écrit une bafouille sur le sujet et on l'envoie à l'éditeur/constructeur pour lui signaler le problème et lui signifier deux trois choses (genre si tu réponds pas, je publie) 4. On échange un peu avec l'éditeur/constructeur 5. On se met d'accord et on publie : toi la faille, et eux le patch
Et voili. Mais c'est ce qui se passe dans le meilleur des mondes, l'étape 4 ayant fortement tendance chez certains à rester en attente...
A mon avis, contacter un organisme intermédiaire comme le certa <http://www.certa.ssi.gouv.fr/> est une bonne idée pour éviter d'avoir une confrontation directe avec les éditeurs de mauvais poil :-) De plus, ca permettra à la faille de ne pas être passée à la trappe par l'éditeur incapable d'en comprendre la réelle portée.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Cedric Blancher
Le Mon, 24 May 2004 10:15:50 +0000, T0t0 a écrit :
A mon avis, contacter un organisme intermédiaire comme le certa <http://www.certa.ssi.gouv.fr/> est une bonne idée pour éviter d'avoir une confrontation directe avec les éditeurs de mauvais poil :-) De plus, ca permettra à la faille de ne pas être passée à la trappe par l'éditeur incapable d'en comprendre la réelle portée.
Passer par un CERT peut être une bonne solution en effet, à condition de tomber sur le bon CERT, ce qui pour un particulier français peut se révéler difficile...
--
It looks as if noone with a 64 bit machine has gotten bitten by this yet Well, in order to get bitten by this you have to have a 2-terabyte IDE
disk, so we don't have to worry about it for another few months.. -+- Linus in Guide du linuxien pervers - J'ai déjà entendu ça quelque part"
Le Mon, 24 May 2004 10:15:50 +0000, T0t0 a écrit :
A mon avis, contacter un organisme intermédiaire comme le certa
<http://www.certa.ssi.gouv.fr/> est une bonne idée pour éviter d'avoir
une confrontation directe avec les éditeurs de mauvais poil :-)
De plus, ca permettra à la faille de ne pas être passée à la trappe
par l'éditeur incapable d'en comprendre la réelle portée.
Passer par un CERT peut être une bonne solution en effet, à condition de
tomber sur le bon CERT, ce qui pour un particulier français peut se
révéler difficile...
--
It looks as if noone with a 64 bit machine has gotten bitten by this yet
Well, in order to get bitten by this you have to have a 2-terabyte IDE
disk, so we don't have to worry about it for another few months..
-+- Linus in Guide du linuxien pervers - J'ai déjà entendu ça quelque part"
Le Mon, 24 May 2004 10:15:50 +0000, T0t0 a écrit :
A mon avis, contacter un organisme intermédiaire comme le certa <http://www.certa.ssi.gouv.fr/> est une bonne idée pour éviter d'avoir une confrontation directe avec les éditeurs de mauvais poil :-) De plus, ca permettra à la faille de ne pas être passée à la trappe par l'éditeur incapable d'en comprendre la réelle portée.
Passer par un CERT peut être une bonne solution en effet, à condition de tomber sur le bon CERT, ce qui pour un particulier français peut se révéler difficile...
--
It looks as if noone with a 64 bit machine has gotten bitten by this yet Well, in order to get bitten by this you have to have a 2-terabyte IDE
disk, so we don't have to worry about it for another few months.. -+- Linus in Guide du linuxien pervers - J'ai déjà entendu ça quelque part"
tchelaviek
Fabien LE LEZ wrote:
Dans le meilleur des mondes, peut-être. En pratique, je conseille fortement de tout mettre en oeuvre pour que l'éditeur n'ait jamais accès à ton nom.
Pourquoi ? Dans `le meilleur des mondes', justement, tout le monde ferme sa g. Ce qui est, en pratique comme tu dis, la position la plus rentable en termes d'investissement et de frein à l'entropie universelle.
'faut bien mettre à plat que c'est l'éditeur qui a commis une boulette à l'origine. Sinon, on ne serait pas là pour en parler.
Cédric a seulement oublié dans sa liste la phase : 0) Vérifier qu'on est en droit d'utiliser le logiciel/service comme un bon père de famille (tm). Ou demander à sa tante Aglae, qui dispose de la licence logicielle, de se faire porte-parole. ;)
Ceci étant réglé, je ne vois vraiment pas pourquoi se cacher. Sinon attirer le discrédit pour 7 générations.
-- SuperTomate
Fabien LE LEZ wrote:
Dans le meilleur des mondes, peut-être. En pratique, je conseille
fortement de tout mettre en oeuvre pour que l'éditeur n'ait jamais
accès à ton nom.
Pourquoi ?
Dans `le meilleur des mondes', justement, tout le monde ferme sa g. Ce
qui est, en pratique comme tu dis, la position la plus rentable en
termes d'investissement et de frein à l'entropie universelle.
'faut bien mettre à plat que c'est l'éditeur qui a commis une boulette à
l'origine. Sinon, on ne serait pas là pour en parler.
Cédric a seulement oublié dans sa liste la phase :
0) Vérifier qu'on est en droit d'utiliser le logiciel/service comme un
bon père de famille (tm). Ou demander à sa tante Aglae, qui dispose de
la licence logicielle, de se faire porte-parole. ;)
Ceci étant réglé, je ne vois vraiment pas pourquoi se cacher. Sinon
attirer le discrédit pour 7 générations.
Dans le meilleur des mondes, peut-être. En pratique, je conseille fortement de tout mettre en oeuvre pour que l'éditeur n'ait jamais accès à ton nom.
Pourquoi ? Dans `le meilleur des mondes', justement, tout le monde ferme sa g. Ce qui est, en pratique comme tu dis, la position la plus rentable en termes d'investissement et de frein à l'entropie universelle.
'faut bien mettre à plat que c'est l'éditeur qui a commis une boulette à l'origine. Sinon, on ne serait pas là pour en parler.
Cédric a seulement oublié dans sa liste la phase : 0) Vérifier qu'on est en droit d'utiliser le logiciel/service comme un bon père de famille (tm). Ou demander à sa tante Aglae, qui dispose de la licence logicielle, de se faire porte-parole. ;)
Ceci étant réglé, je ne vois vraiment pas pourquoi se cacher. Sinon attirer le discrédit pour 7 générations.
-- SuperTomate
Fabien LE LEZ
On 26 May 2004 19:52:04 GMT, tchelaviek wrote:
Dans le meilleur des mondes, peut-être. En pratique, je conseille fortement de tout mettre en oeuvre pour que l'éditeur n'ait jamais accès à ton nom.
Pourquoi ?
Supposons que le PDG apprenne qu'il y a une faille dans son système. Il va demander des comptes à son responsable sécurité / administrateur système. Si ce dernier a le choix entre les deux réponses suivantes : 1- Oups, désolé, j'ai laissé un trou dans le système. 2- Y'a un méchant pirate qui fait rien qu'à embêter notre système informatique, voici ses coordonnées, que vous pourrez transmettre au service juridique. Quelle solution crois-tu qu'il va choisir ?
-- ;-) FLL, Epagneul Breton
On 26 May 2004 19:52:04 GMT, tchelaviek <tchelaviek@mamousse.invalid>
wrote:
Dans le meilleur des mondes, peut-être. En pratique, je conseille
fortement de tout mettre en oeuvre pour que l'éditeur n'ait jamais
accès à ton nom.
Pourquoi ?
Supposons que le PDG apprenne qu'il y a une faille dans son système.
Il va demander des comptes à son responsable sécurité / administrateur
système. Si ce dernier a le choix entre les deux réponses suivantes :
1- Oups, désolé, j'ai laissé un trou dans le système.
2- Y'a un méchant pirate qui fait rien qu'à embêter notre
système informatique, voici ses coordonnées, que vous pourrez
transmettre au service juridique.
Quelle solution crois-tu qu'il va choisir ?
Dans le meilleur des mondes, peut-être. En pratique, je conseille fortement de tout mettre en oeuvre pour que l'éditeur n'ait jamais accès à ton nom.
Pourquoi ?
Supposons que le PDG apprenne qu'il y a une faille dans son système. Il va demander des comptes à son responsable sécurité / administrateur système. Si ce dernier a le choix entre les deux réponses suivantes : 1- Oups, désolé, j'ai laissé un trou dans le système. 2- Y'a un méchant pirate qui fait rien qu'à embêter notre système informatique, voici ses coordonnées, que vous pourrez transmettre au service juridique. Quelle solution crois-tu qu'il va choisir ?
-- ;-) FLL, Epagneul Breton
tchelaviek
Fabien LE LEZ wrote:
Supposons que le PDG apprenne qu'il y a une faille dans son système. Il va demander des comptes à son responsable sécurité / administrateur système. Si ce dernier a le choix entre les deux réponses suivantes : 1- Oups, désolé, j'ai laissé un trou dans le système. 2- Y'a un méchant pirate qui fait rien qu'à embêter notre système informatique, voici ses coordonnées, que vous pourrez transmettre au service juridique. Quelle solution crois-tu qu'il va choisir ?
La 1, s'il est vraiment [responsable]. Sachant qu'une dose infinitésimale d'intelligence permet d'assimiler, et de gérer, le fait qu'un logiciel ne peut être parfait. Ce qui est communément admis. Une objection ?
La 2 s'il tente, par subterfuge, de s'exonérer de sa responsabilité. Ce qui ne manquera pas de : 1) saborder son image à laquelle il tient tant, effet de bord. 2) se faire laminer à la première expertise dûment menée, s'il décide d'amener ce genre de débat en place publique, ou ailleurs...
C'est pourquoi le point 0) que j'évoquais est si important. En gros, tu peux leur rentrer dans le lard avec ton vrai nom dès le moment t'es clean. Simple utilisateur de browser. Merci AC.
-- ^ ^ 0 0 le mamousse
T <
Fabien LE LEZ wrote:
Supposons que le PDG apprenne qu'il y a une faille dans son système.
Il va demander des comptes à son responsable sécurité / administrateur
système. Si ce dernier a le choix entre les deux réponses suivantes :
1- Oups, désolé, j'ai laissé un trou dans le système.
2- Y'a un méchant pirate qui fait rien qu'à embêter notre
système informatique, voici ses coordonnées, que vous pourrez
transmettre au service juridique.
Quelle solution crois-tu qu'il va choisir ?
La 1, s'il est vraiment [responsable]. Sachant qu'une dose
infinitésimale d'intelligence permet d'assimiler, et de gérer, le fait
qu'un logiciel ne peut être parfait. Ce qui est communément admis. Une
objection ?
La 2 s'il tente, par subterfuge, de s'exonérer de sa responsabilité. Ce
qui ne manquera pas de :
1) saborder son image à laquelle il tient tant, effet de bord.
2) se faire laminer à la première expertise dûment menée, s'il décide
d'amener ce genre de débat en place publique, ou ailleurs...
C'est pourquoi le point 0) que j'évoquais est si important. En gros, tu
peux leur rentrer dans le lard avec ton vrai nom dès le moment t'es
clean. Simple utilisateur de browser. Merci AC.
Supposons que le PDG apprenne qu'il y a une faille dans son système. Il va demander des comptes à son responsable sécurité / administrateur système. Si ce dernier a le choix entre les deux réponses suivantes : 1- Oups, désolé, j'ai laissé un trou dans le système. 2- Y'a un méchant pirate qui fait rien qu'à embêter notre système informatique, voici ses coordonnées, que vous pourrez transmettre au service juridique. Quelle solution crois-tu qu'il va choisir ?
La 1, s'il est vraiment [responsable]. Sachant qu'une dose infinitésimale d'intelligence permet d'assimiler, et de gérer, le fait qu'un logiciel ne peut être parfait. Ce qui est communément admis. Une objection ?
La 2 s'il tente, par subterfuge, de s'exonérer de sa responsabilité. Ce qui ne manquera pas de : 1) saborder son image à laquelle il tient tant, effet de bord. 2) se faire laminer à la première expertise dûment menée, s'il décide d'amener ce genre de débat en place publique, ou ailleurs...
C'est pourquoi le point 0) que j'évoquais est si important. En gros, tu peux leur rentrer dans le lard avec ton vrai nom dès le moment t'es clean. Simple utilisateur de browser. Merci AC.
-- ^ ^ 0 0 le mamousse
T <
Fabien LE LEZ
On 27 May 2004 00:35:42 GMT, tchelaviek wrote:
C'est pourquoi le point 0) que j'évoquais est si important. En gros, tu peux leur rentrer dans le lard avec ton vrai nom dès le moment t'es clean.
Mouais... AMHA, s'ils se sentent agressés et te collent un procès, les arguments techniques (que le juge ne comprendra pas de toutes façons) ne feront pas le poids face au budget de leur service juridique.
Peut-être vois-je les choses un peu en noir, mais s'il y a ne serait-ce que 0,1 % de chances pour que ça se passe comme je le décris, ça justifie amplement de s'arranger pour garder l'anonymat.
-- ;-) FLL, Epagneul Breton
On 27 May 2004 00:35:42 GMT, tchelaviek <tchelaviek@mamousse.invalid>
wrote:
C'est pourquoi le point 0) que j'évoquais est si important. En gros, tu
peux leur rentrer dans le lard avec ton vrai nom dès le moment t'es
clean.
Mouais... AMHA, s'ils se sentent agressés et te collent un procès, les
arguments techniques (que le juge ne comprendra pas de toutes façons)
ne feront pas le poids face au budget de leur service juridique.
Peut-être vois-je les choses un peu en noir, mais s'il y a ne
serait-ce que 0,1 % de chances pour que ça se passe comme je le
décris, ça justifie amplement de s'arranger pour garder l'anonymat.
C'est pourquoi le point 0) que j'évoquais est si important. En gros, tu peux leur rentrer dans le lard avec ton vrai nom dès le moment t'es clean.
Mouais... AMHA, s'ils se sentent agressés et te collent un procès, les arguments techniques (que le juge ne comprendra pas de toutes façons) ne feront pas le poids face au budget de leur service juridique.
Peut-être vois-je les choses un peu en noir, mais s'il y a ne serait-ce que 0,1 % de chances pour que ça se passe comme je le décris, ça justifie amplement de s'arranger pour garder l'anonymat.
-- ;-) FLL, Epagneul Breton
Nicob
On Thu, 27 May 2004 00:35:42 +0000, tchelaviek wrote:
2) se faire laminer à la première expertise dûment menée, s'il décide d'amener ce genre de débat en place publique, ou ailleurs...
Il faut garder à l'esprit que remonter des failles aux éditeurs prend du temps, et que les gens qui font ce travail n'ont que rarement la motivation d'aller devant un tribunal, avec un risque de condamnation toujours présent, simplement pour prouver qu'ils ne sont pas des "terroristes informatiques" et qu'ils ont raison techniquement.
Tous les gens que je connais et qui ont eu des problèmes en dévoilant des failles (procès, menace de procès, rupture d'accords commerciaux, mise à mal de la réputation, ...) auraient préféré fermer leur gueule et consacrer leurs $$ à partir en vacances plutôt qu'à payer avocats et experts.
J'attends avec impatience l'avénement d'une structure (de type CERT, mais peut-être en moins formel) où les gens découvrant des failles mais ne souhaitant ni faire le travail de remontée à l'éditeur ni prendre les risques associés pourraient "déposer" leurs trouvailles. Ainsi le découvreur n'est pas connu de l'éditeur et l'organisme contactant l'éditeur pourrait bénéficier, à force, d'une certaine auréole de respectabilité.
Nicob
On Thu, 27 May 2004 00:35:42 +0000, tchelaviek wrote:
2) se faire laminer à la première expertise dûment menée, s'il décide
d'amener ce genre de débat en place publique, ou ailleurs...
Il faut garder à l'esprit que remonter des failles aux éditeurs prend du
temps, et que les gens qui font ce travail n'ont que rarement la
motivation d'aller devant un tribunal, avec un risque de condamnation
toujours présent, simplement pour prouver qu'ils ne sont pas des
"terroristes informatiques" et qu'ils ont raison techniquement.
Tous les gens que je connais et qui ont eu des problèmes en dévoilant
des failles (procès, menace de procès, rupture d'accords commerciaux,
mise à mal de la réputation, ...) auraient préféré fermer leur gueule
et consacrer leurs $$ à partir en vacances plutôt qu'à payer avocats et
experts.
J'attends avec impatience l'avénement d'une structure (de type CERT, mais
peut-être en moins formel) où les gens découvrant des failles mais ne
souhaitant ni faire le travail de remontée à l'éditeur ni prendre les
risques associés pourraient "déposer" leurs trouvailles. Ainsi le
découvreur n'est pas connu de l'éditeur et l'organisme contactant
l'éditeur pourrait bénéficier, à force, d'une certaine auréole de
respectabilité.
On Thu, 27 May 2004 00:35:42 +0000, tchelaviek wrote:
2) se faire laminer à la première expertise dûment menée, s'il décide d'amener ce genre de débat en place publique, ou ailleurs...
Il faut garder à l'esprit que remonter des failles aux éditeurs prend du temps, et que les gens qui font ce travail n'ont que rarement la motivation d'aller devant un tribunal, avec un risque de condamnation toujours présent, simplement pour prouver qu'ils ne sont pas des "terroristes informatiques" et qu'ils ont raison techniquement.
Tous les gens que je connais et qui ont eu des problèmes en dévoilant des failles (procès, menace de procès, rupture d'accords commerciaux, mise à mal de la réputation, ...) auraient préféré fermer leur gueule et consacrer leurs $$ à partir en vacances plutôt qu'à payer avocats et experts.
J'attends avec impatience l'avénement d'une structure (de type CERT, mais peut-être en moins formel) où les gens découvrant des failles mais ne souhaitant ni faire le travail de remontée à l'éditeur ni prendre les risques associés pourraient "déposer" leurs trouvailles. Ainsi le découvreur n'est pas connu de l'éditeur et l'organisme contactant l'éditeur pourrait bénéficier, à force, d'une certaine auréole de respectabilité.
