[HACK] Microsoft to Offer Patches to U.S. Govt. First

[Jesus Cea]

Crg wrote:
> el problema yo creo es que
> hay un determinado público que conocerá la vulnerabilidad tiempo antes a que
> tu tengas acceso al parche, e incluso un advisory técnico para deshabilitar tal
> servicio o restringirlo o lo que creas que puedas hacer para contrarrestar el fallo.

Eso ocurre siempre. MS y sus betatester conocerán el problema mucho 
antes que yo, y tú lo conocerás también antes que yo, ya que mi 
seguimiento de bugtraq y similares es esporádico.

Es decir, ese "diferencial" de tiempo existe siempre.

 > Pero tb el researcher tiene
> derecho a publicar sus descubrimientos o no, y hacerlo donde y con quien le plazca...

Por supuesto.

> Lo que me venía
> a referir es que para el researcher y el usuario final no ofrece ventajas
> reportar directamente a
> Microsoft y respetar el timeline "acordado"...  (IMHO)

Depende lo que busques. Si buscas tener un sistema más seguro, claro que
te compensa informar a Microsoft y, pasado un tiempo, hacer público el 
problema.

Si lo que quieres es ganar dinero, obviamente te "fastidiará" no solo no 
ganarlo, sino que sí lo haga MS por tu "trabajo".

Pero el problema no es diferente del que tienen las comunidades "Open 
Source" de forma habitual. Y las motivaciones son, básicamente, las 
mismas. Se supone que el pago en estos casos es "karma".

-- 
Jesus Cea Avion                         _/_/      _/_/_/        _/_/_/
jcea at argo.es http://www.argo.es/~jcea/ _/_/    _/_/  _/_/    _/_/  _/_/
                                       _/_/    _/_/          _/_/_/_/_/
PGP Key Available at KeyServ   _/_/  _/_/    _/_/          _/_/  _/_/
"Things are not so easy"      _/_/  _/_/    _/_/  _/_/    _/_/  _/_/
"My name is Dump, Core Dump"   _/_/_/        _/_/_/      _/_/  _/_/
"El amor es poner tu felicidad en la felicidad de otro" - Leibniz