ouh là, tu fais un raccourci un peu rapide entre mes deux citations. Si tu étais mon chef, tu saurais que je suis parfois bien embêté de lire qu'un prestataire nous demande de ne pas faire de mise à jour de JRE, parce qu'un correctif d'Oracle rend leur appli incompatible, ou que je rechigne à ouvrir un port web qui pointe sur une version antédiluvienne d'apache qu'un autre prestataire ne mettra pas à jour...
Mon post se voulait solidaire avec vsin, parce que c'est notre quotidien, et ma boutade sur la pertinence du responsible disclosure n'aurait pas du te faire tiquer, en tous cas ce n'était pas le but.
Je contine à penser que le full disclosure est une épée de Damoclès pour un éditeur qui ne veut rien entendre, aussi grand qu'il soit.
Du coup, amha, je vois une régression : "For years security by obscurity was the prevalent approach even among large software vendors – pressure from forums such as Full Disclosure helped changed that approach"
Je continue à affirmer ma sympathie pour vsin, parce que demain matin je vais encore passer 4 ou 5 heures à nettoyer des postes pourris de virii/trojans/adwares qui auront profité d'une faille dont je suis le dernier à être informé.
Nous sommes sur linuxfr, et vraiment je suis content d'avoir été moinsé comme jamais, parce que ça a permit cet échange, mais je n'arrive pas à être positif quand je lis le post de John Cartwright.
Et si j'étais ton chef je te demanderais, après concertation bien-sûr, de reconsidérer le poids de la porte avant de la prendre.
[^] # Re: Transparence = Sécurité
Posté par bobble bubble . En réponse à la dépêche Full disclosure, c'est fini. Évalué à 1.
ouh là, tu fais un raccourci un peu rapide entre mes deux citations. Si tu étais mon chef, tu saurais que je suis parfois bien embêté de lire qu'un prestataire nous demande de ne pas faire de mise à jour de JRE, parce qu'un correctif d'Oracle rend leur appli incompatible, ou que je rechigne à ouvrir un port web qui pointe sur une version antédiluvienne d'apache qu'un autre prestataire ne mettra pas à jour...
Mon post se voulait solidaire avec vsin, parce que c'est notre quotidien, et ma boutade sur la pertinence du responsible disclosure n'aurait pas du te faire tiquer, en tous cas ce n'était pas le but.
Je contine à penser que le full disclosure est une épée de Damoclès pour un éditeur qui ne veut rien entendre, aussi grand qu'il soit.
Du coup, amha, je vois une régression : "For years security by obscurity was the prevalent approach even among large software vendors – pressure from forums such as Full Disclosure helped changed that approach"
Je continue à affirmer ma sympathie pour vsin, parce que demain matin je vais encore passer 4 ou 5 heures à nettoyer des postes pourris de virii/trojans/adwares qui auront profité d'une faille dont je suis le dernier à être informé.
Nous sommes sur linuxfr, et vraiment je suis content d'avoir été moinsé comme jamais, parce que ça a permit cet échange, mais je n'arrive pas à être positif quand je lis le post de John Cartwright.
Et si j'étais ton chef je te demanderais, après concertation bien-sûr, de reconsidérer le poids de la porte avant de la prendre.