Tu as raté une des dernières phrases de la dépêche : OpenBSD n'était pas au courant de l'embargo (ils ont demandé à en faire partie et cela leur a été refusé). Ils ont juste deviné la faille indépendamment : si eux l'ont deviné, c'est que d'autres moins bien intentionnés ont probablement pu le faire également, car maintenant que les esprits sont tournés vers ce type de faille, il n'est pas surprenant de les voir surgir plus facilement.
Pour KRACK, c'est bien connu qu'ils ont appliqué leur patch (sans commentaires) avec l'accord de la personne gérant l'embargo, dont ils ont respecté les délais initiaux — cela illustre juste que le secret dans ce genre de choses ne tient qu'à un fil, même si en l'occurrence c'est pas évident que quiconque ai fait un lien entre ce patch sans commentaires et en apparence spécifique et la faille qui a été publiée deux-trois mois plus tard ; en tous cas le web a été silencieux jusqu'à publication, contrairement au cas de Meltdown et Spectre où Linux a clairement révélé les choses avec ses patchs de Décembre — chose que je comprends parfaitement vu la longueur inouï de l'embargo, plus le fait qu'un article de blog plus ou moins décrivait innocemment la faille Meltdown (sans lui donner de nom) plusieurs mois avant : qui sait combien de monde était déjà au courant ?
[^] # Re: Embargo sur les failles de sécurité et OpenBSD
Posté par anaseto . En réponse à la dépêche Faille Lazy FPU state restore. Évalué à 10.
Tu as raté une des dernières phrases de la dépêche : OpenBSD n'était pas au courant de l'embargo (ils ont demandé à en faire partie et cela leur a été refusé). Ils ont juste deviné la faille indépendamment : si eux l'ont deviné, c'est que d'autres moins bien intentionnés ont probablement pu le faire également, car maintenant que les esprits sont tournés vers ce type de faille, il n'est pas surprenant de les voir surgir plus facilement.
Pour KRACK, c'est bien connu qu'ils ont appliqué leur patch (sans commentaires) avec l'accord de la personne gérant l'embargo, dont ils ont respecté les délais initiaux — cela illustre juste que le secret dans ce genre de choses ne tient qu'à un fil, même si en l'occurrence c'est pas évident que quiconque ai fait un lien entre ce patch sans commentaires et en apparence spécifique et la faille qui a été publiée deux-trois mois plus tard ; en tous cas le web a été silencieux jusqu'à publication, contrairement au cas de Meltdown et Spectre où Linux a clairement révélé les choses avec ses patchs de Décembre — chose que je comprends parfaitement vu la longueur inouï de l'embargo, plus le fait qu'un article de blog plus ou moins décrivait innocemment la faille Meltdown (sans lui donner de nom) plusieurs mois avant : qui sait combien de monde était déjà au courant ?