nonicksorry schrieb am 10. August 2011 11:45
> Stelle immer wieder fest, dass es gerade bei größeren Unternehmen
> schwer bis unmöglich ist, Bugs zu melden.
Bei meiner Bank hat es acht(!) Jahre gedauert bis sie eine
gigantische Lücke (lediglich anhand der Kontonummer konnte man auf
alle Konten zugreifen) gefixt hatten. Ich hatte es an mehrere Stellen
gemeldet, es hatte aber niemand darum geschert.
Erst als jemand in einem Forum vor dieser Bank warnte und es dort
jemand mitbekam, haben sie es ernst genommen und mit dem Anwalt
gedroht. Nach einer Demonstration haben sie die Drohung kleinlaut
zurückgenommen und die Lücke ein halbes Jahr(!!) später gefixt.
Wenn man mit einem Sicherheitsproblem nicht vordringt, scheint also
der beste Weg zu sein, es zu veröffentlichen. Das Ansehen ist das
wichtigste, Sicherheit ist zweitrangig.
> Stelle immer wieder fest, dass es gerade bei größeren Unternehmen
> schwer bis unmöglich ist, Bugs zu melden.
Bei meiner Bank hat es acht(!) Jahre gedauert bis sie eine
gigantische Lücke (lediglich anhand der Kontonummer konnte man auf
alle Konten zugreifen) gefixt hatten. Ich hatte es an mehrere Stellen
gemeldet, es hatte aber niemand darum geschert.
Erst als jemand in einem Forum vor dieser Bank warnte und es dort
jemand mitbekam, haben sie es ernst genommen und mit dem Anwalt
gedroht. Nach einer Demonstration haben sie die Drohung kleinlaut
zurückgenommen und die Lücke ein halbes Jahr(!!) später gefixt.
Wenn man mit einem Sicherheitsproblem nicht vordringt, scheint also
der beste Weg zu sein, es zu veröffentlichen. Das Ansehen ist das
wichtigste, Sicherheit ist zweitrangig.