Z Wikipedii

Full disclosure to funkcjonujący wśród wielu hakerów zajmujących się zabezpieczeniami pogląd mówiący, że opinia publiczna powinna poznawać wszystkie szczegóły dotyczące nowo odkrytych błędów zabezpieczeń w systemach teleinformatycznych; odwrotność doktryny security through obscurity praktykowanej szczególnie często w Internecie w latach 80. i 90.

Full disclosure to podejście kontrowersyjne. Argumentacja przywoływana przez zwolenników mówi, że dzięki takiemu postępowaniu badaczy, każdy użytkownik może poznać szczegóły dotyczące jakości oprogramowania danego producenta, samodzielnie chronić się przed atakami, a także ustalić, czy jego systemy są prawidłowo chronione przed atakami. Publiczne ujawnianie szczegółów podatności ułatwia też programistom otwartego oprogramowania tworzenie nieodpłatnych systemów wykrywania ataków. Dodatkowo, publiczna rozliczalność dostawców miałaby wywierać na nich silną presję, by tworzyć kod o wyższej jakości, oraz szybko reagować na problemy (wiele firm, w tym Microsoft czy Oracle, zdaniem ekspertów wielokrotnie próbowało zatajać błędy, nie łatać usterek przez miesiące lub lata, czy wręcz grozić badaczom, którzy planują powiadomić opinię publiczną o niedociągnięciach)^[1].

Kontrargumentem przeciw full disclosure jest przede wszystkim fakt, że w ten sposób, wiedzę o błędach otrzymują także crackerzy, i że w związku z dużym prawdopodobieństem zostanie ona wykorzystana do łamania zabezpieczeń zanim wszyscy użytkownicy będą w stanie zabezpieczyć swoje systemy^[2].

Często stosowanym, mniej dyskusyjnym wariantem tego procesu (zwanym responsible disclosure) jest wcześniejsze powiadomienie twórców i danie im określonego czasu (np. tydzień, miesiąc) na usunięcie błędu i opublikowanie poprawek. Po upłynięciu tego terminu, niezależnie od reakcji dostawcy, dochodzi do publikacji informacji o błędzie. Taki sposób postępowania promowany jest w ostatnich latach między innymi przez komercyjnych dostawców oprogramowania^[3]. Należy jednak zaznaczyć, że wcześniejsze powiadomienie nie jest warunkiem koniecznym dla procesu full disclosure jako takiego - a zdaniem niektórych, wręcz stoi z nim w sprzeczności, ponieważ jest korzystne dla klienta tylko wtedy, gdy każdorazowo przyjmuje się, że błąd nie został nigdy wcześniej znaleziony i nie jest już wykorzystywany przez osoby o złych intencjach, bez wiedzy opinii publicznej.

Debata dotycząca full disclosure ma obecnie przede wszystkim charakter akademicki - w praktyce tryb upublicznienia informacji o błędzie zabezpieczeń ma relatywnie niewielki wpływ na szanse wykorzystania jej na przykład w robaku sieciowym, ani nie rzutuje istotnie na szkody, które taki robak będzie w stanie wyrządzić w Internecie.

Przypisy

[edytuj] Linki zewnętrzne

• (en) Full Disclosure Debate Bibliography

Facebook blokuje Friend Connect

Serwis społecznościowy Facebook zablokował zaprezentowaną niedawno przez Google usługę Friend Connect. Jak informuje serwis InfoWorld, naruszała ona postanowienia regulaminu.

Miliarder doprowadzi do sprzedaży Yahoo?

Jeden z udziałowców Yahoo!, miliarder Carl Icahn, przygotowuje się to walki z zarządem internetowego giganta na spotkaniu akcjonariuszy, które odbędzie się trzeciego lipca. Poinformował on, że będzie prowadził swoje działania dopóki firma nie rozpocznie nowych negocjacji z Microsoftem.

Samsung i LG pracują nad standardem mobilnej DTV

Firmy Samsung i LG rozpoczynają współpracę nad nowym standardem mobilnej telewizji cyfrowej, planując połączenie ze sobą technologii MPH oraz A-VSB.

Odtwarzacz MP3 do kąpieli

Firma Ubanana zaprezentowała odtwarzacz MP3 uCan, wykonany z nieprzemakalnych materiałów, dzięki któremu można cieszyć się ulubioną muzyką podczas pływania, lub nurkowania.

Kolorowy cooler dla precesora

Firma Thermaltake wprowadzi na rynek chłodzenie procesora, będące częścią serii Orb. System składa się z aluminiowego radiatora z 140-ma żebrami oraz 112-milimetrowego wentylatora.

Linki: Strona g��wna