Fortørnet udvikler offentliggør for syvende gang på få dage farlige oplysninger for at generere Microsoft
4d 20h ago by feddit.dk/u/SorteKanin in teknologi@feddit.dk from www.computerworld.dk
Typo i artiklens titel. Vidste ikke man bare kunne "generere" sin egen Microsoft? Følger de milliarder af dollars med, samt alle ansatte og diverse aktiver?
Han er sikkert en dygtig hacker/security researcher, men han lyder godt nok som en forsmået taber
Det er offentlig krig mod Microsoft - det er da sejt. Vedkommende kunne have solgt - det havde været træls. Men jeg er all for sikkerhedssabotage mod sådan et kæmpe idiotfirma som Microsoft.
Jeg ved det ikke … Microsoft lyder også til at have ikke bare ignoreret hans rapporter men ligefrem at have lukket hans GitHub konto. Synes at ingen af parterne håndterer dette godt.
Ja, det har du nok ret i
Jeg tror bare at jeg er typen der ikke gider at bruge tid på at bære nag, og det virker som han aktivt går efter at genere Microsoft så meget som muligt
Hele idéen med de her bounty programmer er nu også at skabe en god stabil indtægtskilde for white-hat hackere, så de ikke er fristet til at sælge deres exploits til highest bidder (som oftest er meget mere lukrativt). Den måde MS har håndteret det på er at tage pis på det tillidssystem som bounty programmerne bygger på. Denne researcher valgte så at gå i krig mod MS, men han kunne lige så godt have solgt sit exploit for en høj pris på dark web.
Hvad MS ikke indser er at de eroderer tilliden til bounty programmer og i fremtiden vil white-hat hackers være mindre tilbøjelige til at disclose deres fund. Vi går dermed tilbage til den vilde vesten hvor virksomheder først finder ud af at de har en sårbarhed når den bliver udnyttet.
Og ja, researcheren er heller ikke den bedste til at håndtere konflikter, men man skal også være en spøjs type for at gøre dette til sin levevej. Det betyder så også at man skal være ekstra varsom før man vælger bevidst at træde dem over tæerne.
I bedste r/AITA stil stemmer jeg "everyone sucks"
Mjah, mjoh..
Den sårbarhed de har offentliggjort som YellowKey spekulerede Eclipse i hvert fald selv på kunne være en bevidst bagdør, hvis jeg husker rigtigt. Det er ikke overraskende hvis det er en bagdør, men jeg synes det er fedt at Microsoft har været nødt til at patche den.