Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting] Freitag, 08 Februar 2019 | Blog: 7 | No: 42458
"Sicherheitsforscher" will Lücke nicht an Apple melden, weil die keine Bug Bounty haben. Aber er will auch nicht für sich behalten, dass er sie gefunden hat, weil er ein Egozentriker ist, der gerne Aufmerksamkeit haben will.
Ich habe von Anfang an vor Bug-Bounty-Programmen gewarnt und auch nie an welchen teilgenommen. Das hat mehrere Gründe:
Mein Ratschlag ist daher: Der Gesetzgeber sollte sofort den Handel mit Sicherheitslücken unter Strafe stellen, und zwar unter empfindliche Strafe, und ebenso das Ausliefern von Produkten mit Sicherheitslücken oder das Einstellen von Support nach dem Verkauf von unsicheren Produkten. Wer unsichere Produkte verkauft, der sollte dafür haften, und zwar lebenslang. Da darf man sich nicht mit "ist end of life" rausmogeln dürfen. Dann hättet ihr es halt nicht verkaufen dürfen, wenn es so Kacke ist, dass es ohne euren Support nicht sicher betrieben werden kann!
[zurück]
[ältere Posting][neuere Posting]
[zurück][ältere Posting][neuere Posting] Freitag, 08 Februar 2019 | Blog: 7 | No: 42458
wenn es so Kacke ist, dass es ohne euren Support nicht sicher betrieben werden kann!
"Sicherheitsforscher" will Lücke nicht an Apple melden, weil die keine Bug Bounty haben
Ich habe von Anfang an vor Bug-Bounty-Programmen gewarnt und auch nie an welchen teilgenommen. Das hat mehrere Gründe:
- Das schiebt das Risiko auf mich, den Forscher. Wenn ich nichts finde, werde ich für meinen Aufwand nicht bezahlt. Sehe ich nicht ein. Go fuck yourselves.
- Das schafft einen Markt für 0-days. Das führt dazu, das 0-days zurückgehalten werden, was uns allen schadet. Es ist schlimm genug, dass die Geheimdienste für 0-days zahlen, und da hätte der Gesetzgeber dringend etwas gegen unternehmen müssen. Es ist noch schlimmer, wenn die Hersteller mitmachen.
- Es führt zu Szenarien wie diesem, die für mich als Außenstehenden wie Erpressung aussehen. Es würde mich nicht wundern, wenn Apple dem Typ jetzt ein paar anwaltliche Briefe und eine Bewährungsstrafe zukommen lässt.
- Es führt dazu, dass es für Unternehmen billiger ist, ihre Bugs per Bug Bounty zu crowdsourcen, als sich mal um eine funktionierende Qualitätssicherung zu bemühen.
Mein Ratschlag ist daher: Der Gesetzgeber sollte sofort den Handel mit Sicherheitslücken unter Strafe stellen, und zwar unter empfindliche Strafe, und ebenso das Ausliefern von Produkten mit Sicherheitslücken oder das Einstellen von Support nach dem Verkauf von unsicheren Produkten. Wer unsichere Produkte verkauft, der sollte dafür haften, und zwar lebenslang. Da darf man sich nicht mit "ist end of life" rausmogeln dürfen. Dann hättet ihr es halt nicht verkaufen dürfen, wenn es so Kacke ist, dass es ohne euren Support nicht sicher betrieben werden kann!
Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
