Door Anoniem: Waar het om gaat is dat de beveiliging van een systeem wordt getest, en dat is alleen maar toe te juichen.
De uiteindelijke inhoud, ja. Maar als de berichtgeving het belangrijker vindt allerlei boemannen aan te halen dan weet je eigenlijk al dat de berichtgever meer heeft met sensatie dan met informeren. Kortgezegd: Diepgaande analyses haal je niet uit de privé.
Daar ging het vrij letterlijk over, en je hebt nog steeds moeite dat op te pikken.
Vergelijk: De koning komt op de tv, en houdt een vier meitoespraak: "Heey jongus, de oorlog was helemaal kut maar dat gaaneme noohooit meer zo doene, hee. Gesnope?" Lekker volks, je weet tog.
Denk je dat 'm dat in dank zal worden afgenomen? Waarom wel of niet?
Waarom vind jij het acceptabel om als een halfdronken 16-jarige stoer te doen over wat je allemaal wel met kompjoeturs uit weet te vreten, alsof dat een nuttige bijdrage aan computerbeveiliging zou opleveren?
Niet door criminelen (los van hoe "een Amerikaanse wetsgeleerde" dit interpreteert... welke van de honderdduizenden bedoel je precies?),
De relevante wetten verbieden "computer hacking" zonder te vertellen wat dat dan precies mag zijn. Dus welke rechtsgeleerde zal de wet zo interpreteren? Nou, diegene voor wie het handig is de wet zo te interpreteren. Zo werkt dat binnen de rechtspraak. En de relevante wet is vaag genoeg om dat toe te laten. Dus alleen daarom al is het niet handig om met dat label te smijten.
maar door mensen die hun werk hebben gemaakt van secure software design/ programming. Dat daar mensen tussen zitten die zich laten betalen door schimmige figuren, dat zal best,
Nou, het probleem is dat ook de zelfverklaard-rechtschapen kant graag met termen gooit en zichzelf ermee tooit zodat de leek nauwlijks nog doorheeft waar het over gaat maar wel het gevoel krijgt dat hij voor zijn eigen veiligheid maar het beste deze mannekes kan inhuren want anders komen de boemannen van de niet-zo-rechtschapen kant hem uitkleden.
maar doet niets af aan de moeite die Microsoft in dit geval onderneemt om zo veilig mogelijk op de markt te brengen.
Nou, *kuch* haha, dat je dat gelooft. Ze tooien zich met de schone schijn, maar of het ook werkelijk helpt? De wiskunde zegt dat het maar heel beperkt zal helpen.
Dat is een stukje kansberekening en gaat heel in het kort zo: Stel er zitten een miljoen ongevonden bugs in je software. Een bugzoeker vindt er, zeg, honderd in een jaar. Jij zet er een team op van honderd man, dus vind je zeg tienduizend bugs. Wat is de kans dat de "lone adversary" die er honderd vindt, alleen maar reeds gevonden (en naar we voor het gemak maar even aannemen, opgeloste) bugs tegen zal komen?
Spoiler: Het antwoord is "vrij klein".
Dus om dat voor te zijn proberen grootbedrijven er maar een hoop geld tegenaan te smijten, in de hoop dat de "lone adversary" de gevonden bugs maar gewoon aan het bedrijf zal verkopen en niet op de zwarte markt, of er zelf gebruik van te maken.
Dat is alleen maar lovenswaardig en voorkomt mogelijk een hoop ellende wanneer de software eenmaal in productie staat, zoals bij b.v. de nodige IoT devices die we gezien hebben. Plak er een term op die je wilt, maar het achterliggende idee vind ik goed.
De kritiek ging primair over de keuze van berichtbrenger. Maar nu je microsoft erbij sleept, die hebben jarenlang met de pet naar security gegooid ("it wasn't a priority") en "hebben nu geleerd", ja ja. Nou, ze doen wat alle andere grootbedrijven met geld teveel ook doen, ze loven "bug bounties" uit. Dat is niet hetzelfde als er echt goed over nadenken.
De essentie is en blijft een zwaktebod. Maar daar ging het commentaar waar jij op afgeeft niet eens over.