从搜狗泄密事件看安全漏洞的披露原则作者：mj0011

显示全部楼层 · 发表于 2013-11-12 20:27:05

都是应该先通知厂商，最少过几天才公布的。
第一时间公布会让大家更不安全，黑客收到公布，会第一时间试盗的，还没有被盗账号的，会被盗账号了。
那公布后被盗账号的，就要向公布者索赔了.

显示全部楼层 · 发表于 2013-11-12 20:53:56

yjwfdc 发表于 2013-11-12 20:27
都是应该先通知厂商，最少过几天才公布的。
第一时间公布会让大家更不安全，黑客收到公布，会第一时间试盗 ...

搜狗搜狗论坛10月就反馈了搜狗还不修复怨谁

显示全部楼层 · 发表于 2013-11-12 20:57:21

看完了，挺长的

显示全部楼层 · 发表于 2013-11-12 21:17:47

建议编辑一下，标题加黑段落空行，不过按照footman的风格估计一会就会把这个移到论道区了

显示全部楼层 · 发表于 2013-11-12 21:38:54

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2013-11-12 21:39:49

搜狗紧急修复了漏洞之后才否认漏洞存在，这种行为太可耻了来自: Android客户端

显示全部楼层 · 发表于 2013-11-12 21:59:41

心跳回忆发表于 2013-11-12 16:33
这么长居然看完了~

我看不下去。。

显示全部楼层 · 发表于 2013-11-12 23:58:39

仔细看了下，很认同“披露原则”，但对于360这次的行为尺度是否真的很符合这个原则，存疑。

显示全部楼层 · 发表于 2013-11-12 23:59:39

samtogo 发表于 2013-11-12 21:59
我看不下去。。

仔细看看，可以深入的了解360~

显示全部楼层 · 发表于 2013-11-12 23:59:52

本帖最后由 z13667152750 于 2013-11-13 00:03 编辑

yjwfdc 发表于 2013-11-12 20:27
都是应该先通知厂商，最少过几天才公布的。
第一时间公布会让大家更不安全，黑客收到公布，会第一时间试盗 ...

未公布利用细节如何盗号？

按照你的逻辑乌云不是全部躺枪了？在漏洞上交后，厂商修复前漏洞的基本信息就会被公布

微软自己是如何公布IE0day漏洞的？同样是在补丁发布前

更不用说各种第三方的安全机构公布漏洞了，现在的共识就是：可以公布漏洞的基本信息，漏洞的详情单独提供给厂商，如果厂商长时间不修复那么可以公布细节。

适当的漏洞公布有助于督促厂商修复漏洞

kfd35 头像被屏蔽	发表于 2013-11-12 21:38:54 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
kfd35 头像被屏蔽
	回复举报

[分享] 从搜狗泄密事件看安全漏洞的披露原则 作者：mj0011

[分享] 从搜狗泄密事件看安全漏洞的披露原则作者：mj0011