/i/2004261916.png?f=meta)
Het is altijd een afweging tussen hoe snel je de “bad guys” op de hoogte wilt stellen en hoe snel je je patches getest en operationeel wilt hebben.
Ik kan mij niet herinneren dat er ooit eerder een dergelijke aankondiging geweest is van een aankomende patch die een week van tevoren werd aangekondigd.
Oftewel dit klinkt als een potentieel relatief makkelijk te exploiten bug en dan moet je dus ervoor zorgen dat je de boel ASAP kunt patchen voordat het voor de bad guys duidelijk is hoe dit te exploiten is.
Daarnaast slaat je opmerking op nog wel meer fronten de plank behoorlijk mis.
Als voorbeeld; Ik schrijf ook OpenSource software en ben extreem open in wat ik doe, waarom ik het doe, etc.
Maar zo heb ik ook code op mijn PC staan die uiteindelijk zeker wel in de openbaarheid zal komen alleen nu nog even niet.
Dit om de simpele reden dat ik het gewoon zelf eerst wel wil testen, omdat als mensen het zomaar zouden gaan testen zonder achtergrondinfo, dat ze erg veel schade kunnen aanrichten op hun eigen systemen.
Je zou kunnen aanvoeren dat “anderen mee kunnen testen” en op die manier alles zo snel mogelijk gedeeld gaat worden. Maar soms is het gewoonweg beter om er nog even mee te wachten alvorens het openbaar te maken.
In mijn geval (zeer concreet voorbeeld) gaat het om code waarbij ikzelf al een ESP boardje vrijwel onbruikbaar heb gemaakt en wat erg lastig weer werkende te krijgen is. Als ik een willekeurig iemand vraag ook die code te testen, gaat er dus serieus wat mis.
In het geval van de OpenSSL bug van dit artikel speelt er dus veel meer mee.
Daarbij wil je jezelf tijd geven om patches te testen en uit te rollen zodat wanneer de bug openbaar gemaakt zal worden, je tijd hebt om de boel te patchen voordat de aanvallen beginnen.
Recent Comments