Sitat av
hollow
Tror det er lov å vite. Om f eks jeg vet at naboen driter i å låse døra si når han drar på butikken så er det jo lov å vite det så lenge man selvfølgelig ikke går inn. Å dele kunnskapen er ikke greit derimot.
Kvifor er det ikkje greit å dele kunnskapen om sikkerhetshol?
Ein ting er å dele den med nokon du veit eller har grunn til å anta at vil utnytte den - det vil antakeleg kunne straffast som medverking. Men la oss tenkje oss at du jobber for Contosco, og oppdager et sikkerhetshol i Gadgetron 2019, som er i utstrakt bruk i Contosco.
Då vil du ha lov til å dele informasjonen med andre, for å kunne utvikle evt. workarounds eller patcher. Det er neppe ulovleg å publisere informasjonen heller, sjølv om det kan føre til at den vert utnytta.
Viare vil ein del hugse sikkerhet anno 2005. Ræva. Grunnen til at det snudde, var full disclosure. Sikkerhetshol vart publisert, og utnytta. Det førte til at bransjen måtte skjerpe seg - og ta tak i problema. Etterkvart ba softwarebransjen om private tips, før publisering - og har i stor grad fått det fordi dei har opparbeida seg tillit. Men for at det skal fungere må vi alltid ha trusgmålet om full disclosure liggande: vert ikkje problem fiksa, så vert dei offentlege.
For det er billegare å ignorere sikkerhetsproblemer enn å fikse dei, ofte.
Så som samfunn vil vi tape på at slikt vert forbode.