[HACK] Microsoft to Offer Patches to U.S. Govt. First
Jesus Cea
jcea at argo.es
Tue Mar 22 17:44:19 CET 2005
Crg wrote:
> el problema yo creo es que
> hay un determinado público que conocerá la vulnerabilidad tiempo antes a que
> tu tengas acceso al parche, e incluso un advisory técnico para deshabilitar tal
> servicio o restringirlo o lo que creas que puedas hacer para contrarrestar el fallo.
Eso ocurre siempre. MS y sus betatester conocerán el problema mucho
antes que yo, y tú lo conocerás también antes que yo, ya que mi
seguimiento de bugtraq y similares es esporádico.
Es decir, ese "diferencial" de tiempo existe siempre.
> Pero tb el researcher tiene
> derecho a publicar sus descubrimientos o no, y hacerlo donde y con quien le plazca...
Por supuesto.
> Lo que me venía
> a referir es que para el researcher y el usuario final no ofrece ventajas
> reportar directamente a
> Microsoft y respetar el timeline "acordado"... (IMHO)
Depende lo que busques. Si buscas tener un sistema más seguro, claro que
te compensa informar a Microsoft y, pasado un tiempo, hacer público el
problema.
Si lo que quieres es ganar dinero, obviamente te "fastidiará" no solo no
ganarlo, sino que sí lo haga MS por tu "trabajo".
Pero el problema no es diferente del que tienen las comunidades "Open
Source" de forma habitual. Y las motivaciones son, básicamente, las
mismas. Se supone que el pago en estos casos es "karma".
--
Jesus Cea Avion _/_/ _/_/_/ _/_/_/
jcea at argo.es http://www.argo.es/~jcea/ _/_/ _/_/ _/_/ _/_/ _/_/
_/_/ _/_/ _/_/_/_/_/
PGP Key Available at KeyServ _/_/ _/_/ _/_/ _/_/ _/_/
"Things are not so easy" _/_/ _/_/ _/_/ _/_/ _/_/ _/_/
"My name is Dump, Core Dump" _/_/_/ _/_/_/ _/_/ _/_/
"El amor es poner tu felicidad en la felicidad de otro" - Leibniz
More information about the hacking
mailing list