image

Moet een ontwikkelaar wel alle lekken patchen?

zaterdag 12 mei 2007, 10:26 door Redactie, 10 reacties

Als het gaat om beveiligingslekken wordt meestal meteen geroepen dat de software ontwikkelaar ze zo snel mogelijk moet patchen, maar volgens sommige vendors is dit niet het geval en kun je bepaalde lekken beter laten zitten. "Ons bedrijf geeft veel geld uit aan het oplossen van beveiligingsproblemen. We trainen onze progammeurs in veilig programmeren en volgen de hiervoor geldende richtlijnen. Vinden we een ernstig lek, dan wordt die meteen gedicht. Gaat het om een medium of minder ernstige kwetsbaarheid, dan laten we die zitten totdat iemand anders die opmerkt. We zullen deze lekken nog steeds onderzoeken, maar niet patchen," zo laat een anonieme vendor weten. Het bedrijf heeft hiervoor vijf redenen:

1. We richten onze middelen liever op ernstige lekken, bekend of onbekend. Elk minder ernstig lek vertraagt het hele proces. Daarnaast hebben we geen onbeperkt budget.

2. We geven de hoogste prioriteit aan publiek bekende lekken. We worden namelijk alleen beoordeeld op de lekken die bekend zijn en hoe snel we die dichten. Niemand ziet echter de intern opgeloste beveiligingslekken.

3. Aanvullende lekken die externe hackers vinden zijn meestal het resultaat van het onderzoeken van onze patches. Als we de originele exploits ongepatcht hadden gelaten, waren in ons geval drie publieke exploits nooit verschenen.

4. Elk onthuld en gepatcht beveiligingslek zorgt ervoor dat hackers nog beter hun best doen om nieuwe lekken te vinden en die sneller te misbruiken. Het is net een wapenwedloop.

5. Als een lek niet wordt bekendgemaakt, zullen de meeste hackers het niet misbruiken.

Reacties (10)
12-05-2007, 10:42 door Shortway
Een lek is niet iets waar je doorgaans voor betalen wilt.
Als je een onvolkomen produkt levert, zul je dat moeten melden en in de
prijs verwerken.
Voor wat, hoort wat.
Microsoft heeft ontzettend veel geld verdiend aan zijn OS'en.
(En terecht, dat mag ..)
Misschien is het nu eens tijd om de prijs van Windows te verlagen en
gewag te maken bij aankoop dat het produkt niet veilig is/blijft.
12-05-2007, 11:00 door Anoniem
Ik begrijp zeker wat hier wordt bedoelt. En ik kan me
eigenlijk in alle argumenten ook wel vinden. Maar een
bedrijf hoeft toch niet perse een lek te dichten. Vaak komt
de hacker die het lek heeft gevonden al met een oplossing
hoe je het kan voorkomen. Maar ik heb het idee dat daar niet
al te vaak naar geluisterd word.
Dus ik denk dat we meer moeten gaan luisteren naar mensen
buiten het bedrijf.
12-05-2007, 11:23 door Anoniem
Door ShortsightedAls je een onvolkomen produkt
levert, zul je dat moeten melden en in de prijs
verwerken.
Weet jij een product dat 100% veilig is dan? Dus wat je
eigenlijk zegt is dat alle software waarvoor patches en
updates uitkomen goedkoper zouden moeten zijn omdat ze al
onvolkomen waren tijdens de release? Dus je bedoeld
eigenlijk alles in het leven...auto's, keukens, huizen...Als
je ooit president wordt heb je mijn stem! ;)
12-05-2007, 15:03 door Anoniem
Weet jij een product dat 100% veilig is dan? Dus wat je
eigenlijk zegt is dat alle software waarvoor patches en
updates uitkomen goedkoper zouden moeten zijn omdat ze al
onvolkomen waren tijdens de release? Dus je bedoeld
eigenlijk alles in het leven...auto's, keukens, huizen...Als
je ooit president wordt heb je mijn stem! ;)

En als deze man als president niet voldoet ? Moet ie dan ze hele salaris
terugstorten of maar 70% ? ;-)
12-05-2007, 19:53 door Anoniem
Als de leverancier een lek een 'feature' noemt, heeft hij in
elk geval uitstel van executie ;)
12-05-2007, 22:51 door Shortway

Dus je bedoeld
eigenlijk alles in het leven...auto's, keukens, huizen...Als
je ooit president wordt heb je mijn stem! ;)

Jij rijdt niet terug naar de garage indien je motor, na aankoop van je
nieuwe auto, lekt?
Dan heb ik nog wel wat oude wagentjes staan voor je!

Windows is NIET een veilig produkt. De prijs van Windows is de prijs van
een VEILIG produkt. Bij andere produkten wordt dit niet getolereerd.
Microsoft maakt misbruik van haar gebruikers, keer op keer.

Dat er lekken zijn is, gezien de complexiteit, logisch en niet te voorkomen,
echter Microsoft wijst alleen maar en steekt nimmer hand in eigen boezem.
13-05-2007, 13:32 door Anoniem
onbekende minieme lekken hoef je inderdaad niet meteen te
patchen, kost allemaal tijd en geld om meteen een patch uit
te brengen wat ten koste gaat van development. Het zou
echter wel netjes zijn om ze in de volgende versie cq update
WEL opgelost te hebben.
13-05-2007, 14:52 door Anoniem
Door Shortway
Dat er lekken zijn is, gezien de complexiteit, logisch en
niet te voorkomen,
echter Microsoft wijst alleen maar en steekt nimmer hand in
eigen boezem.

Zeur, gebruik dan gewoon een ander OS.

Tegenwoordig is er zoveel smaak, ook voor de newbies, dat je
niet meer kunt zeuren over iemands praktijken.

afz. Happy Debian Etch User.
14-05-2007, 07:40 door cjgroeneveld
En als deze man als president niet voldoet ? Moet ie dan ze hele
salaris terugstorten of maar 70% ? ;-)

Gewoon patchen, krijg je president v1.01
14-05-2007, 12:06 door Anoniem
Wat een Microsoft mentaliteit heeft het bedrijf. Alleen paar patchen als het
lek bekend is aan de buitenwereld en dan met de eer strijken hoe goed ze
zin dat ze een lek gedicht hebben . Ooit gehoord dat een een hele boel
kleine beetjes, één grote hoop maken. Dit bedrjif is zeker een dochterfirma
van Microsoft...?!?!?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.