mboost-dp1

Google targets Microsoft with "aggressive" zero-day deadline


Gå til bund
Gravatar #1 - Magten
30. maj 2013 13:13
http://www.pcpro.co.uk/news/security/382159/google...
Gravatar #2 - Nåkja
30. maj 2013 13:34
En uge er ikke meget. Det kan jo være ret problematisk at lukke sikkerhedshuller ordentligt, og det kan betyde at vi får quick-fixes, der giver andre sikkerhedshuller eller problemer.

Jeg synes ikke Google griber det rigtigt an.
Gravatar #3 - Chewy
30. maj 2013 14:33
@ #2
Burde parolen ikke være.

1. Få er overblik over problemet.
2. Så hurtigt som muligt udgiv et hot fix + info omkring problemet (hotfix kan være noget så simpelt som at slå en given funktion fra midlertidigt).
3. Undersøg problemet til bunds.
4. Udgiv et fungerende patch...

Hvis firmaet bare holder kæft indtil de har fået lavet/nosset sig sammen til at udgive et patch, så har slutbrugeren ingen mulighed for at gardere sig mod problemet.
Det kan igen være noget så simpelt som at ændre sit brugsmønster indtil et patch er udkommet..
Gravatar #4 - csstener(^,^)
30. maj 2013 20:01
en uge er for kort syndes jeg..og de burde heller ikke udgive full detalje på hvordan man misbruger sikkerheds hullet, de burde istedet kræve det lavet i løbet af 3 uger(stadig kortere end 60 dage) også udgive at der er et sikkerheds hul og hvordan man bedst muligt undgår det
Gravatar #5 - Magten
30. maj 2013 20:05
#3
Jeg vil nu foretrække at det bliver løst ordenligt til at starte med.

1. Brugere er elendige til at opdatere i forvejen, flere patches vil ikke gøre det bedre.
2. Det er langt fra alle firmaer hvor man bare lige får et servicevindue til at patche.

Hvis hullet kan lukkes ved midlertidigt at stoppe en funktion, så synes jeg de fleste firmaer er gode til at skrive det.
Gravatar #6 - Hubert
30. maj 2013 20:31
#5

Nu står der jo også i artiklen at det kun gælder sårbarheder der bliver udnyttet og hvor firmaet bag ikke publiserer en patch eller work around.
Gravatar #7 - Hekatombe
30. maj 2013 20:32
csstener (4) skrev:
en uge er for kort syndes jeg..og de burde heller ikke udgive full detalje på hvordan man misbruger sikkerheds hullet, de burde istedet kræve det lavet i løbet af 3 uger(stadig kortere end 60 dage) også udgive at der er et sikkerheds hul og hvordan man bedst muligt undgår det


Synes du virkelig at 7 dage er forkort tid til at advare brugerne at der findes et sikkerhedshul i et program, som allerede bliver udnyttet af en eller flere angriber (zero-day)?!
Gravatar #8 - Magten
30. maj 2013 20:37
Hubert (6) skrev:
#5

Nu står der jo også i artiklen at det kun gælder sårbarheder der bliver udnyttet og hvor firmaet bag ikke publiserer en patch eller work around.
Men tæller "Sluk det" som en workaround? For så er det jo meget nemt..
Gravatar #9 - Hubert
30. maj 2013 20:55
Magten (8) skrev:
Hubert (6) skrev:
#5

Nu står der jo også i artiklen at det kun gælder sårbarheder der bliver udnyttet og hvor firmaet bag ikke publiserer en patch eller work around.
Men tæller "Sluk det" som en workaround? For så er det jo meget nemt..


Det gælder ikke når vores kunder spørger. Hvordan det er i et ms hus skal jeg ikke kloge i... :)
Gravatar #10 - csstener(^,^)
30. maj 2013 21:22
Hekatombe (7) skrev:
csstener (4) skrev:
en uge er for kort syndes jeg..og de burde heller ikke udgive full detalje på hvordan man misbruger sikkerheds hullet, de burde istedet kræve det lavet i løbet af 3 uger(stadig kortere end 60 dage) også udgive at der er et sikkerheds hul og hvordan man bedst muligt undgår det


Synes du virkelig at 7 dage er forkort tid til at advare brugerne at der findes et sikkerhedshul i et program, som allerede bliver udnyttet af en eller flere angriber (zero-day)?!

ikke til at advare brugerne men til at lave en patch.....de burde enlig advare brugerne fra dag 1...også har google jo heller ikke noget at true med....
Gravatar #11 - Hekatombe
30. maj 2013 22:05
#10,
http://googleonlinesecurity.blogspot.co.uk/2013/05/disclosure-timeline-for-vulnerabilities.html skrev:
[...]
As a result, after 7 days have elapsed without a patch or advisory, we will support researchers making details available so that users can take steps to protect themselves
[...]


7 dage til at patche eller udsende en advisory.
Gravatar #12 - Chewy
30. maj 2013 23:01
Kort sagt, 7 dage til at reagere...
Gravatar #13 - csstener(^,^)
30. maj 2013 23:03
Joo...men det jeg skrev var et forslag til hvad de burde gøre, ikke hvad de gør nu
Gravatar #14 - Magten
31. maj 2013 05:54
Hubert (9) skrev:
Det gælder ikke når vores kunder spørger. Hvordan det er i et ms hus skal jeg ikke kloge i... :)
Jeg har ikke oplevet nogen kunder acceptere at de skulle lukke ned for visse ting pga et sikkerhedshul :)
Gravatar #15 - Hubert
31. maj 2013 06:46
Magten (14) skrev:
Jeg har ikke oplevet nogen kunder acceptere at de skulle lukke ned for visse ting pga et sikkerhedshul :)


Så er det nok ien kende fjollet at spørge om det kan være en work around... ;)
Gravatar #16 - Cloud02
31. maj 2013 06:49
Chewy (12) skrev:
Kort sagt, 7 dage til at reagere...

reagere offentligt vel at mærke.
Gravatar #17 - Hubert
31. maj 2013 07:20
Cloud02 (16) skrev:
reagere offentligt vel at mærke.


7 dage burde vel også være nok til at komme med en workaround. Eller i det mindste fortællle at hullet findes og at det bliver brugt aktivt til kompromittere folk.
Gravatar #18 - Magten
31. maj 2013 07:24
Hubert (15) skrev:
Så er det nok ien kende fjollet at spørge om det kan være en work around... ;)
Det var ikke helt tydeligt men det var i forlængelse af #3's indlæg :)

Chewy (3) skrev:
(hotfix kan være noget så simpelt som at slå en given funktion fra midlertidigt).


Chewy (12) skrev:
Kort sagt, 7 dage til at reagere...
Som jeg læser det så er det 7 dage til at komme med en patch eller en workaround - og at reagere ved at fortælle om hullet ikke er nok.
Gravatar #19 - Hubert
31. maj 2013 07:40
Magten (18) skrev:
Det var ikke helt tydeligt men det var i forlængelse af #3's indlæg :)


Den kan jeg ikke helt følge. Ikke at jeg er uenig med #3 men jeg kan ikke lige se hvordan mit indlæg kan ses som en 'efterfølger' til #3. :)
Gravatar #20 - Magten
31. maj 2013 07:44
Hubert (19) skrev:
Den kan jeg ikke helt følge. Ikke at jeg er uenig med #3 men jeg kan ikke lige se hvordan mit indlæg kan ses som en 'efterfølger' til #3. :)
Mit spørgsmål var :D
Gravatar #21 - Hubert
31. maj 2013 08:01
Magten (20) skrev:
Mit spørgsmål var :D


Jeg kan ikke svare for #3. Og det er han nok også glad for. :p
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login