1 июля 2009 Никакой Комментарий 1 July 2009 No Comment

хорошо сегодня первый день июля, и это означает, что это - также первый день месяца ошибок щебета. как прошлый ‘месяц X ошибок, каждый день уязвимость безопасности, касающаяся подчиненного продукта/обслуживания (в этом случае щебет), будет раскрыта общественности. well today is the first day of july and that means it’s also the first day of the month of twitter bugs. like past ‘month of X bugs’, each day a security vulnerability relating to the subject product/service (in this case twitter) will be disclosed to the public.

почему они раскрывают эту уязвимость для общественности? как с любым осуществлением в полном раскрытии идея состоит в том, чтобы вынудить компанию (и), вовлеченную, чтобы взяться за ум и установить раскрытую уязвимость. полное раскрытие помещает информацию в общественную сферу так, чтобы много людей знали об этом и что-то столь же захватывающее внимание как ‘месяц X ошибок’ захваты даже больше доли завоеванного внимания, и получает это что намного ближе к господствующей тенденции.why are they disclosing these vulnerabilities to the public? as with any exercise in full disclosure the idea is to force the company(ies) involved to clean up their act and fix the disclosed vulnerability. full disclosure puts the information into the public sphere so that many people are aware of it and something as attention-grabbing as a ‘month of X bugs’ captures even more mind-share and gets it that much closer to the mainstream.

в теории это хорошо для общественности. в теории исследователи, делающие раскрытие, делают благодеяние, потому что они заботятся о безопасности и компании (ях), они - pantsing, ленивые, высокомерные хамы, которые не заботятся о безопасности или общественности и кто должен быть вынужден в выполнение правильной вещи. и предположительно исправляя отдельные ошибки исследователи уязвимости идентифицируют, правильная вещь сделать.in theory this is good for the public. in theory the researchers doing the disclosure are doing a good deed because they care about security and the company(ies) they’re pantsing are lazy, arrogant boors who don’t care about security or the public and who need to be forced into doing the right thing. and supposedly fixing the individual bugs the vulnerability researchers identify is the right thing to do.

но что, если теория является неправильной? не все компании созданы равные (ни все исследователи уязвимости в этом отношении). никто не знает то, что продолжается в компании кроме людей в той компании. возможно, что данная компания может фактически работать над всесторонней модернизацией их положения безопасности, которое устранило бы ряды ошибок включая тех, которые идентифицированы внешними исследователями. но это должно было бы быть отсрочено, и время компании потрачено впустую так, чтобы они могли упорно искать эти отдельные ошибки по одному, чтобы, казаться, делать что-то. таково последствие движущегося уведомления об уязвимости общественной сфере.but what if the theory is wrong? not all companies are created equal (nor are all vulnerability researchers for that matter). nobody knows what goes on inside a company except the people inside that company. it’s possible that a given company may actually be working on a comprehensive upgrade to their security posture that would obviate swaths of bugs including the ones that get identified by outside researchers. but that would have to be delayed and the company’s time wasted so that they can chase down these individual bugs one at a time in order to appear to be doing something. such is the consequence of shifting vulnerability notification to the public sphere.

теперь, я не собираюсь быть лицемерным и предположить, что это - то, что происходит все время или даже большую часть времени, но находиться в разработке программного обеспечения, я уверен, что это происходит часть времени. now, i’m not going to be disingenuous and suggest this is what happens all the time or even most of the time, but being in software development i feel confident that it is happening some of the time.

у внешних практиков полного раскрытия нет никакого способа знать, что, однако, и при этом я не видел признака, что они заботятся. несмотря на теплую и нечеткую идеологию позади практики, полное раскрытие - применение силы. это - осуществление в принуждении, примере использования связей с общественностью, чтобы согнуть компанию к собственному желанию исследователя уязвимости, потому что, предположительно, исследователь знает лучше чем компания, что является лучшим для пользователей компании.external full disclosure practitioners have no way to know that, however, nor have i seen any indication that they care. despite the warm and fuzzy ideology behind the practice, full disclosure is an application of force. it is an exercise in coercion, an example of using public relations to bend a company to the vulnerability researcher’s own will because supposedly the researcher knows better than the company what is best for the company’s users.

я больше не поклонник ленивых, высокомерных, невоспитанных компаний, чем следующий парень, но воинственные 3-ьи стороны оставляет дурной тон в моем рту также. i’m no more a fan of lazy, arrogant, boorish companies than the next guy, but belligerent 3rd parties leave a bad taste in my mouth too.