[Berlin-wireless] Transparenter Umgang mit Sicherheitslücken

[Sebastian Krohn]

Hallo zusammen!

On Friday 16 November 2007 16:27:48 Gero wrote:
> Um... wer entscheidet wer heute die Details erfährt und wer nicht?
> Und wenn alles quelloffen ist, dann liegt der Fix doch eh rum.
> Also -> security by obscurity. (die Information ist irgendwo da, wird
> aber nicht tranparent für alle sichtbar gemacht)

Das Security by obscurity nicht funktioniert, haben eigentlich alle 
schon festgestellt. Gleichzeitig muss aber dann bei Veroeffentlichung 
der Sicherheitsluecke auch ein Fix vorhanden sein.

Bei Distributionen sieht das dann meistens so aus, dass erstmal 
beschrieben wird, WO der Fehler ist, WAS da passieren kann und unter 
welchen Voraussetzungen da was passieren kann und dann unten drunter 
der Fix als Packet, diff, etc (links) haengt.

--- schnipp ---
Experience has shown that ?security through obscurity? does not work. 
Public disclosure allows for more rapid and better solutions to 
security problems. 
--- schnapp ---
(http://www.debian.org/security/)

Die Erfahrung zeigt, das die Leute nur dann genug Druck haben, dass 
schnell zu beseitigen, wenn wirklich bekannt ist, WAS kaputt ist...


Just my 2 Cents ...

Gruss
   Seb
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20071117/24bb607b/attachment.pgp>