• [^] # Re: et ça repart !

    Posté par . En réponse à la dépêche Full disclosure, c'est fini. Évalué à 4.

    il semblera à "certains" comme opportun de recadrer le sujet.

    Tout d'abord, le full disclosure n'est pas contraire au coordinated disclosure, c'est plutôt, selon wiki que tu te plais à citer, une "philosophie de la gestion de la sécurité complètement opposée à l'idée de sécurité par l'obscurité".

    J'ai volontairement utilisé la locution coordinated disclosure plutôt que la tienne, responsible disclosure, car toujours selon tes sources:
    Advocates for coordinated disclosure often prefer the weighted but less-descriptive term "responsible disclosure" coined by Microsoft Security Manager Scott Culp in his essay "It's Time to End Information Anarchy" (referring to full disclosure). Microsoft later asked for the term to be phased out in favour of "coordinated disclosure".

    Quoi qu'il en soit, et pour aller dans ton sens, j'espère aussi que cette approche d'anarchiste nihiliste n'a aucun avenir. Notre différence, c'est que je préfèrerais voir le no disclosure disparaître avant, parce que ce dernier est pour moi le pire risque en matière de sécurité.
    Sans vouloir tu faire de leçons, je reviens sur ta dernière réponse :

    Au cas où tu n'aurais pas compris : le full disclosure ne peux pas avoir, par définition, d'épée de Damoclès [...] et quand l'épée de Damocles est utilisée, car ça arrive, personne n'en veut à celui qui diffuse la faille car il a prévenu avant l'éditeur qui n'a pas bougé.

    Un peu gros non ? et relis un peu le sujet du post auquel tu réponds :

    Some have argued that we no longer need a Full Disclosure list, or even that mailing lists as a concept are obsolete. They say researchers should just Tweet out links to advisories that can be hosted on Pastebin or company sites. I disagree. Mailing lists create a much more permanent record and their decentralized nature makes them harder to censor or quietly alter in the future.

    Pour finir, je pense au contraire de toi qu'il faut être sacrément responsable pour maintenir cette liste, voire avoir des pxxxxxs de corones pour supporter les

    numerous trolls, DoS attacks, spammers, and legal threats from angry vendors and researchers alike

    comme l'a fait John Cartwright pendant douze ans.

    Bref, adieu John... Salut Gordon !!!
    Le roi est mort, vive le roi ! (tu vois que je ne suis pas anarchiste, et aussi que j'aime bien finir mes posts par une bonne blague bien pourrie !)