Also bei mir hinterl��t der Artikel einen seltsamen Eindruck. Der
erkl�rt lang und breit die Hintergr�nde und kommt dann ca in der Mitte
in einer pl�tzlichen 180 Grad Wendung zu dem Schluss
"What we've learned during the past eight or so years is that full
disclosure helps much more than it hurts"
Bloss was fehlt ist die genau die Begr�ndung daf�r - warum hat full
disclosure geholfen? Um den Herstellern in den Allerwertesten zu
treten? Daran �ndert ein strukturiertes Vorgehen der Security Experten
nicht. Im Gegenteil es kann nur den Druck erh�hen, wenn sich Fachleute
zu Wort melden. Die Ver�ffentlichung von Dummschwatz in ComputerBild
oder c't f�hrt - wenn �berhaupt zu was - nur zur publikumstr�chtiger
Schaumschl�gerei. Aber nicht zur effektiven L�sung real existierender
Probleme.
Da genau die Kernfrage nicht beantwortet war, bin ich zur�ckgegangen.
Nach heftigen Schaun, was da alles pr�sentiert wird finde ich als
einziges Argument "And returning to bug secrecy would only bring back
vendor denial and inaction.". Eben, das ist der Kernpunkt der
Diskussion und in dem Artikel nicht beantwortet.
Lese ich weiter finde ich ein sch�nes Argument "This free information
flow, of both description and proof-of-concept code, is also vital for
security research."
Ja, das w�rde ich auch so sehen. Die Initiative ja nicht dazu gedacht
den free information flow FOR SECURITY RESEARCH zu unterbinden. Im
Gegenteil, alle "Security Macher" sollen ja sich ja A) gegenseitig
informieren und B) definierte Informationskan�le aufmachen. Aber das tun
sie bitte unter sich und informieren nicht die Script Kiddies. Free flow
of information gibt es f�r die nicht. Genausowenig wie es
uneingeschr�nkte Bewegungsfreiheit (und div. andere Dinge) f�r
Terroristen gibt. Dass dabei der eine oder andere Unschuldige als
potentieller Terrorist hingestellt wird, ist Teil des System, Teil der
menschlichen Unzul�nglichkeit.
Im �brigen, es interessiert mich ja auch nicht, welche Bugs die SW
meiner Einspritzanlage hat. Wichtig w�re mir dass Bosch und Audi
miteinander reden und die Probleme fixen. Und dass sie den Tuner von
der Ecke in die Diskussion mit einbeziehen. Dass der Tuner sich halt mal
melden muss nach dem Motto "ich schraub auch an dem Teil rum" finde ich
nicht hinderlich. Im Gegenteil es f�rdert nur effektive Kommunikation.
Der Tuner, kann sich wom�glich herrlich �ber die "B�rokratie" erg�tzen.
Aber das legt sich wenn er einmal nach den Spielregeln gespielt hat.
Sp�ter dann geht es um die ungel�sten Probleme der Musikindustrie. Ja
die sollen bittesch�n mal schaun, das sie Ihre Probleme fixen. Darauf,
dass ich ein Lied legal laden, bezahlen und dann uneingeschr�nkt
verwenden kann warte ich schon Jahre. Sehe nicht wo sich die
Diskussionen �berschneiden - au�er vielleicht bei der unrealistischen
Forderung alle Software, alle Musik, alle Kunst muss frei sein und
niemand braucht Geld um sich Semmeln zu kaufen.
Was ich wenig behandelt sehe (au�er in der Beschreibung des Windows of
exposure) ist das Thema wie man die Tr�gheit der Leute �berwinden
k�nnte. Was ja einer der Hauptgr�nde ist, Sicherheitsinformation eine
Zeitlang nicht allgemein zu ver�ffentlichen. Die Leute haben nicht auf
Security Fixes reagiert, die haben sich nicht gro�artig auf Y2K
vorbereitet, die machen jetzt nicht viel zur Euro-Umstellung. Oder
sollten wir mal die Frage in dieser Liste stellen: wer hat ein
Shop-System und wer hat seinen Zeichensatz so umgestellt, so dass der
Euro auch angezeigt werden kann. Simpel, trivial, nix mit Security zu
tun. Aber das ist Realit�t und daran werden wir nichts �ndern k�nnen.
Und dann sind wir wieder beim Anfang: wenn die Welt so ist wie sie ist,
dann bin ich eindeutig daf�r dass die bad guys einen Informationsdefizit
haben.
--
Viele Gr��e
Hubert Daubmeier
-----Original Message-----
From: Christoph Wille [mailto:[EMAIL PROTECTED]]
Sent: Wednesday, November 14, 2001 8:33 AM
To: AspGerman Kaffeehaus
Subject: [aspdecoffeehouse] Full Disclosure Artikel von Bruce Schneier
http://www.zdnet.com/zdnn/stories/comment/0,5859,2824251,00.html
Empfohlene Lekt�re.
Chris
| [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed
| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv Sie
| k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.as
| p
| [aspdecoffeehouse] als [email protected] subscribed
| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
