从搜狗泄密事件看安全漏洞的披露原则作者：mj0011

显示全部楼层 · 发表于 2013-11-12 17:02:54

心跳回忆发表于 2013-11-12 16:33
这么长居然看完了~

我还没看完

显示全部楼层 · 发表于 2013-11-12 17:05:52

0dayKiller 发表于 2013-11-12 16:30
这里是科普一些漏洞披露的原则，让大家知道漏洞披露里面的一些安全行业的规则，不要被某些厂商或某些道德 ...

新马甲

显示全部楼层 · 发表于 2013-11-12 17:07:56

一个笨鸟发表于 2013-11-12 17:05
新马甲

老的了……很久了……

显示全部楼层 · 发表于 2013-11-12 17:47:40

好像在哪里看过

显示全部楼层 · 发表于 2013-11-12 17:52:23

厮守发表于 2013-11-12 17:47
好像在哪里看过

哪里

显示全部楼层 · 发表于 2013-11-12 17:54:12

米途发表于 2013-11-12 17:52
哪里

不清楚，忘记了

显示全部楼层 · 发表于 2013-11-12 17:56:40

好长，居然看完了，总之支持360，sougou自重

显示全部楼层 · 发表于 2013-11-12 18:24:58

不清楚情况，不过由头到尾都没看到给漏洞厂商一些时间，不承认或修复后再公布。

显示全部楼层 · 发表于 2013-11-12 18:26:59

本帖最后由 0dayKiller 于 2013-11-12 18:28 编辑

yjwfdc 发表于 2013-11-12 18:24
不清楚情况，不过由头到尾都没看到给漏洞厂商一些时间，不承认或修复后再公布。

公布漏洞存在和基本信息，本身是不需要给厂商太多时间的，在通报给厂商后就可以公布漏洞基本的情况，尤其是对于已经被第三方发现和使用的危急漏洞。

公布漏洞细节（一开始仅仅针对媒体）是在搜狗否认漏洞后公布的，这都符合业界规则。

显示全部楼层 · 发表于 2013-11-12 18:33:51

好，360是在搜狗做完技术处理后才公布的，这ok，没问题。只是发帖、新闻和弹窗感觉是在逼宫啊，不是发一条资讯的尺度。这才是引起反弹的原因。

[分享] 从搜狗泄密事件看安全漏洞的披露原则作者：mj0011