Web - Amazon

We provide Linux to the World


We support WINRAR [What is this] - [Download .exe file(s) for Windows]

CLASSICISTRANIERI HOME PAGE - YOUTUBE CHANNEL
SITEMAP
Audiobooks by Valerio Di Stefano: Single Download - Complete Download [TAR] [WIM] [ZIP] [RAR] - Alphabetical Download  [TAR] [WIM] [ZIP] [RAR] - Download Instructions

Make a donation: IBAN: IT36M0708677020000000008016 - BIC/SWIFT:  ICRAITRRU60 - VALERIO DI STEFANO or
Privacy Policy Cookie Policy Terms and Conditions
Full disclosure - Wikipedia, wolna encyklopedia

Full disclosure

Z Wikipedii

Full disclosure (z ang. całkowita jawność) to funkcjonujący wśród wielu hakerów zajmujących się zabezpieczeniami pogląd mówiący, że opinia publiczna powinna poznawać wszystkie szczegóły dotyczące nowo odkrytych błędów zabezpieczeń w systemach teleinformatycznych; odwrotność doktryny security through obscurity praktykowanej szczególnie często w Internecie w latach 80. i 90.

Full disclosure to podejście kontrowersyjne. Argumentacja przywoływana przez zwolenników mówi, że dzięki takiemu postępowaniu badaczy, każdy użytkownik może poznać szczegóły dotyczące jakości oprogramowania danego producenta, samodzielnie chronić się przed atakami, a także ustalić, czy jego systemy są prawidłowo chronione przed atakami. Publiczne ujawnianie szczegółów podatności ułatwia też programistom otwartego oprogramowania tworzenie nieodpłatnych systemów wykrywania ataków. Dodatkowo, publiczna rozliczalność dostawców miałaby wywierać na nich silną presję, by tworzyć kod o wyższej jakości, oraz szybko reagować na problemy (wiele firm, w tym Microsoft czy Oracle, zdaniem ekspertów wielokrotnie próbowało zatajać błędy, nie łatać usterek przez miesiące lub lata, czy wręcz grozić badaczom, którzy planują powiadomić opinię publiczną o niedociągnięciach)[1].

Kontrargumentem przeciw full disclosure jest przede wszystkim fakt, że w ten sposób, wiedzę o błędach otrzymują także crackerzy, i że w związku z dużym prawdopodobieństwem zostanie ona wykorzystana do łamania zabezpieczeń zanim wszyscy użytkownicy będą w stanie zabezpieczyć swoje systemy[2].

Często stosowanym, mniej dyskusyjnym wariantem tego procesu (zwanym responsible disclosure) jest wcześniejsze powiadomienie twórców i danie im określonego czasu (np. tydzień, miesiąc) na usunięcie błędu i opublikowanie poprawek. Po upłynięciu tego terminu, niezależnie od reakcji dostawcy, dochodzi do publikacji informacji o błędzie. Taki sposób postępowania promowany jest w ostatnich latach między innymi przez komercyjnych dostawców oprogramowania[3]. Należy jednak zaznaczyć, że wcześniejsze powiadomienie nie jest warunkiem koniecznym dla procesu full disclosure jako takiego - a zdaniem niektórych, wręcz stoi z nim w sprzeczności, ponieważ jest korzystne dla klienta tylko wtedy, gdy każdorazowo przyjmuje się, że błąd nie został nigdy wcześniej znaleziony i nie jest już wykorzystywany przez osoby o złych intencjach, bez wiedzy opinii publicznej.

Debata dotycząca full disclosure ma obecnie przede wszystkim charakter akademicki - w praktyce tryb upublicznienia informacji o błędzie zabezpieczeń ma relatywnie niewielki wpływ na szanse wykorzystania jej na przykład w robaku sieciowym, ani nie rzutuje istotnie na szkody, które taki robak będzie w stanie wyrządzić w Internecie.

Przypisy

  1. Full Disclosure of Security Vulnerabilities a 'Damned Good Idea' - Bruce Schneier, CSO Magazine
  2. The Vulnerability Disclosure Game: Are We More Secure? - Marcus J. Ranum, CSO Magazine
  3. Responsible Vulnerability Disclosure Protects Users - Mark Miller, CSO Magazine

[edytuj] Linki zewnętrzne

Our "Network":

Project Gutenberg
https://gutenberg.classicistranieri.com

Encyclopaedia Britannica 1911
https://encyclopaediabritannica.classicistranieri.com

Librivox Audiobooks
https://librivox.classicistranieri.com

Linux Distributions
https://old.classicistranieri.com

Magnatune (MP3 Music)
https://magnatune.classicistranieri.com

Static Wikipedia (June 2008)
https://wikipedia.classicistranieri.com

Static Wikipedia (March 2008)
https://wikipedia2007.classicistranieri.com/mar2008/

Static Wikipedia (2007)
https://wikipedia2007.classicistranieri.com

Static Wikipedia (2006)
https://wikipedia2006.classicistranieri.com

Liber Liber
https://liberliber.classicistranieri.com

ZIM Files for Kiwix
https://zim.classicistranieri.com


Other Websites:

Bach - Goldberg Variations
https://www.goldbergvariations.org

Lazarillo de Tormes
https://www.lazarillodetormes.org

Madame Bovary
https://www.madamebovary.org

Il Fu Mattia Pascal
https://www.mattiapascal.it

The Voice in the Desert
https://www.thevoiceinthedesert.org

Confessione d'un amore fascista
https://www.amorefascista.it

Malinverno
https://www.malinverno.org

Debito formativo
https://www.debitoformativo.it

Adina Spire
https://www.adinaspire.com