14.09.2005, 13:40
Zitat:MichaelB posteteGibt es noch einen anderen praktikablen Weg, mit Bugs umzugehen? Den Programmierer gibt es in den seltensten Fällen, Software entsteht heute im Regelfall im Team, und Buglisten sind (zumindest bei Open Source-Software) öffentlich.
Anstatt er dann erst einmal den Programmierer informiert, werden diese
Angriffsstellen mit ausführlicher Schilderung des Weges und Programm-
beispielen ins Netz gestellt (oder im Usenet verbreitet).
Sicherheitslücken auch in Anwenderforen bekanntzumachen, halte ich insofern nur für logisch. Wer destruktive Absichten hat, wird auch durch das aufmerksame Verfolgen der Buglisten potentiell angreifbarer Programme von möglichen neuen Angriffspunkten für sein Treiben erfahren. Der Anwender dagegen bekommt nur dann etwas von der Notwendigkeit von Sicherheitsmaßnahmen mit, wenn auch dort darauf hingewiesen wird, wo er mitliest.
Ganz abgesehen davon gibt es genug Fälle, bei denen zu zaghaft an das Entwicklerteam herangetragene Informationen mit Priorität 25 in der Bug-Datenbank eingetragen und erst bearbeitet wurden, als das Kind in den Brunnen gefallen war. Mir fallen da z.B. das Mailprogramm und der Browser eines großen amerikanischen Softwareunternehmens ein...