Zoals het hoort.

Ik gebruik zelf KMail, en heb meerdere problemen met "later versturen" geconstateerd.
Daarom gebruik ik de optie gelukkig nooit.
Anders was ik blijkbaar wel in de problemen geweest.

Dat hoort misschien bij een lek dat, als er meer over naar buiten komt, misbruikt kan worden door derden. Hier lijkt me niet dat derden er direct misbruik van kunnen maken. Bij zo'n fout, lijkt het me juist belangrijk dat dit direct in de openheid komt, zodat gebruikers hun mailgedrag kunnen aanpassen.

Met recht K..Mail dus.

Don't shoot the messenger


Kwestie van afwegen

Want als we even het update beleid van de meeste gebruikers bekijken, wat zien we dan?
Juist, gebruikers die heel traag zijn met updaten.
Traag zijn met reageren op een dreiging, als het nieuws ze al bereikt.

Wie zijn er traditioneel snel met reageren?
Juist, de misbruikers, soms al binnen 24 uur.

Omdat er mensenlevens van af kunnen hangen, leven en dood of je gat voor de rest van je leven in een werkkamp geparkeerd, had de enige juiste optie moeten zijn (als dat technisch haalbaar was geweest) per direct de service tijdelijk uit de lucht of op een of andere manier geblokkeerd (van mijn part door een blokkerende push update) in combinatie met actief het nieuws zoeken.

Alles in het werk stellen om te voorkomen dat er slachtoffers vallen.
Want het nieuws lijkt de fout te zijn, bij mij schiet er direct binnen 'hoeveel slachtoffers heeft dat gekost?'.

Fouten worden helaas gemaakt en kan je soms niet voorkomen, maar procedures klaar hebben liggen om te reageren op fouten kan je voorbereiden, zodat als het fout gaat je er snel op kan reageren.
Dat is pas responsible gedrag, want responsible gedrag en afwegingen zijn in de allereerste plaats verantwoordelijkheden die bij de makers liggen en niet bij de melders.

Al te graag leggen sommige makers vanuit een soort slachtofferrol (lees menig disclosure policy) de eindverantwoordelijkheid graag bij de melders door impliciet/expliciet (al dan niet alvast) kritiek te hebben op de beslissingen van de melder (en juridisch te dreigen natuurlijk).
De melder heeft niet de eindverantwoordelijkheid, maar de maker.

En sommige makers maken er best een potje van (algemene opmerking), en hebben een veel te grote mond (juridisch dreigende disclosure spierballenpolicies).

Voor zover ik tot nu toe heb gezien wordt nergens verklaard waarom die CVE vertraagd is ingediend, en dus ook niet of responsible disclosure er iets mee te maken had. Het is ook mogelijk dat iemand een steekje heeft laten vallen. Briolet heeft gelijk dat responsible disclosure hier niets toevoegt.

Je gedachtengang gaat in dit geval niet op, want hoe precies moet een aanvaller forceren dat een e-mail pas later wordt verzonden? Het beveiligingsprobleem hier is niet dat een aanvaller de fout kan forceren maar een specifieke combinatie van handelingen door een legitieme gebruiker een beveiliging uitschakelt.

Jawel, die gaat heel goed op.
De illustratie heeft betrekking op deze opmerking
Ergo, met de illustratie wilde ik duidelijk maken dat het openbaar maken niet automatisch inhoudt dat het nieuws die gebruiker direct bereikt laat staan dat de gebruiker er direct actie op onderneemt.
Ook een op zich bewuste gebruiker kan even iets niet ten volle doorhebben of snel genoeg doorhebben en dus definitief zwaar benadeeld worden omdat de inhoud van correspondentie op straat komt te liggen (onderschept en gelezen wordt).

Met zo'n service ligt er dus een extra zware verantwoordelijkheid op de schouders van de aanbieder.
Deze had wat mij betreft, als dat technisch mogelijk was geweest, op de een of andere manier ervoor moeten zorgen dat er een updatende, waarschuwende of technische verstorende hik was opgetreden opdat die eindgebruiker even geen mail had kunnen versturen met niet werkende versleuteling.
Dat was het punt, dus niet de bal bij de gebruiker leggen als oplossing omdat de realiteit bewijst dat dat (vaak en nogal eens) helemaal geen goed werkende oplossing is.
Het grenst zelfs aan naïviteit.