| dbo:abstract
|
- Full disclosure (úplné odhalení) je v počítačové bezpečnosti označení pro zveřejnění všech známých podrobností o zranitelnosti v software. Jedná se o opačný způsob, než je responsible disclosure, které počítá s využitím security through obscurity. Myšlenka úplného zveřejnění je kontroverzní (vystavuje uživatele okamžitě riziku a zároveň upozorňuje na problém i crackery), ale rozhodně není novinkou, protože se používá v zámečnictví již od 19. století. (cs)
- Finden unabhängige IT-Sicherheitsexperten Schwachstellen in Computerprogrammen, sogenannte Sicherheitslücken, gibt es für sie mehrere Möglichkeiten der Offenlegung. Full Disclosure bezeichnet die Praxis, sämtliche Informationen über die Sicherheitslücke sofort und ohne Absprache mit den verantwortlichen Stellen allgemein zugänglich zu veröffentlichen. Hierdurch werden Benutzer frühzeitig gewarnt; Hacker können allerdings die Schwachstelle potentiell ausnutzen, bevor diese durch den Hersteller geschlossen werden kann. Ein alternativer Ansatz ist die Responsible Disclosure. Hierbei wird die Offenlegung mit dem Hersteller abgestimmt und die breite Öffentlichkeit erst informiert, sobald die Sicherheitslücke behoben wurde. Ein Grund, warum sich der Entdecker der Schwachstelle für eine Full Disclosure entscheidet, könnte beispielsweise sein, dass der Hersteller auf den Hinweis nicht reagierte oder das Problem kleinredete. Indem der Hacker die Sicherheitslücke veröffentlicht, kann so Druck ausgeübt werden. Im Allgemeinen ist der Ansatz der Full Disclosure jedoch sehr umstritten und wird von vielen als unverantwortlich angesehen. Er sollte nur als letzter Ausweg genutzt werden, wenn andere Maßnahmen fehlschlugen oder Schadcode für die Schwachstelle bereits im Umlauf ist. Um eine Full Disclosure zu verhindern, bieten viele Unternehmen sogenannte Bug-Bounty-Programme an. Hierbei werden Prämien für das Finden von Schwachstellen ausgelobt; so zahlte beispielsweise Facebook 1,98 Millionen und Google 6,7 Millionen US-Dollar im Jahr 2020 aus. Teilweise verpflichtet sich der Hacker im Gegenzug dazu, Stillschweigen über seine Funde zu bewahren, in diesem Fall spricht man dann von einer Private Disclosure. (de)
- La estrategia de revelación completa, revelación total o divulgación masiva (en inglés full disclosure) es una política de revelación de vulnerabilidades que consiste en revelar a toda la comunidad (divulgación masiva) toda la información disponible sobre un problema de seguridad en cuanto este es conocido. Por ejemplo se puede dar información de como se encontró el fallo, qué sistemas son vulnerables, como explotar la seguridad o como protegerse frente al fallo. Se revelan todo tipo de detalles sobre el fallo y esta información tan detallada puede ser usada por hackers malintencionados para desarrollar exploits que permitan aprovechar la vulnerabilidad a cualquiera que lo utilice, aunque no entiendan el funcionamiento del mismo (script kiddies). Este tipo de políticas es tradicionalmente defendida por hackers y por proveedores de software de código abierto (es)
- In the field of computer security, independent researchers often discover flaws in software that can be abused to cause unintended behaviour; these flaws are called vulnerabilities. The process by which the analysis of these vulnerabilities is shared with third parties is the subject of much debate, and is referred to as the researcher's disclosure policy. Full disclosure is the practice of publishing analysis of software vulnerabilities as early as possible, making the data accessible to everyone without restriction. The primary purpose of widely disseminating information about vulnerabilities is so that potential victims are as knowledgeable as those who attack them. In his 2007 essay on the topic, Bruce Schneier stated "Full disclosure – the practice of making the details of security vulnerabilities public – is a damned good idea. Public scrutiny is the only reliable way to improve security, while secrecy only makes us less secure". Leonard Rose, co-creator of an electronic mailing list that has superseded bugtraq to become the de facto forum for disseminating advisories, explains "We don't believe in security by obscurity, and as far as we know, full disclosure is the only way to ensure that everyone, not just the insiders, have access to the information we need." (en)
- En sécurité informatique, la divulgation complète (en anglais, full disclosure) est la pratique consistant à publier les vulnérabilités des logiciels jusqu'alors inconnues à tous le plus tôt possible, ce qui rend les données accessibles à tous sans restrictions. Des chercheurs bien intentionnés et des pirates informatiques découvrent souvent des défauts dans des logiciels. Ces défauts peuvent être exploités par les pirates informatiques pour provoquer des comportements anormaux des logiciels et ainsi nuire aux utilisateurs des logiciels. Ces défauts sont appelés des vulnérabilités informatiques. Le processus par lequel l'information sur ces vulnérabilités est partagée avec des tiers fait l'objet de nombreux débats et est désigné comme la politique de divulgation des vulnérabilités. Le but principal de la divulgation complète des vulnérabilités est de permettre que les victimes potentielles des vulnérabilités sont aussi informées que les pirates qui les attaquent. Dans son essai sur le sujet, Bruce Schneier a déclaré que « La divulgation complète - la pratique consistant à rendre publiques les vulnérabilités de sécurité - est une très bonne chose. L'examen public est le seul moyen fiable d'améliorer la sécurité, alors que le secret ne nous rend que plus vulnérables. Leonard Rose, cocréateur d'une liste de diffusion électronique qui a remplacé bugtraq pour devenir le forum de facto pour la diffusion d'avis de sécurité, mentionne que « nous ne croyons pas à la sécurité par l'obscurité et, de notre point de vue, la divulgation complète est la seule façon de s'assurer que tout le monde, et pas seulement les initiés, ont accès à l'information dont ils ont besoin. ». (fr)
- La divulgazione totale è la pratica di pubblicare analisi sulle vulnerabilità di un software il prima possibile, permettendo l’accesso a informazioni e dati da parte di chiunque senza nessuna restrizione. Lo scopo principale di questa ampia diffusione di informazioni sulle vulnerabilità è che le potenziali vittime di attacchi informatici siano a conoscenza quanto lo sono i malintenzionati. Nel campo della sicurezza informatica, spesso può accadere che ricercatori scoprano imperfezioni nel software che possono essere sfruttate per causare un comportamento non atteso, queste imperfezioni vengono definite vulnerabilità.Il processo con il quale queste analisi di vulnerabilità vengono condivise con le terze parti è soggetto di un acceso dibattito, e fa riferimento alle policy di divulgazione'dei ricercatori. Bruce Schneier, in un suo articolo scritto a riguardo di questo argomento, disse “La piena divulgazione, ossia la pratica di rendere pubblici i dettagli sulle vulnerabilità di sicurezza, è un’ottima idea. Le ricerche pubbliche è l’unica via affidabile per migliorare la sicurezza, mentre la segretezza ci rende solo meno sicuri”. (it)
- フルディスクロージャ(英:full disclosure)とは、「脆弱性情報は、全ての情報が詳細に渡って(=full)一般に公表(=disclosure)されていなければならない」とする、セキュリティ哲学の一つである。 (ja)
- Full disclosure (z ang. całkowita jawność) – pogląd, funkcjonujący wśród wielu hakerów zajmujących się zabezpieczeniami, mówiący, że opinia publiczna powinna poznawać wszystkie szczegóły dotyczące nowo odkrytych błędów zabezpieczeń w systemach teleinformatycznych; odwrotność doktryny security through obscurity praktykowanej szczególnie często w Internecie w latach 80. i 90. Full disclosure to podejście kontrowersyjne. Argumentacja przywoływana przez zwolenników mówi, że dzięki takiemu postępowaniu badaczy, każdy użytkownik może poznać szczegóły dotyczące jakości oprogramowania danego producenta, samodzielnie chronić się przed atakami, a także ustalić, czy jego systemy są prawidłowo chronione przed atakami. Publiczne ujawnianie szczegółów podatności ułatwia też programistom otwartego oprogramowania tworzenie nieodpłatnych systemów wykrywania ataków. Dodatkowo, publiczna rozliczalność dostawców miałaby wywierać na nich silną presję, by tworzyć kod o wyższej jakości, oraz szybko reagować na problemy (wiele firm, w tym Microsoft czy Oracle Corporation, zdaniem ekspertów wielokrotnie próbowało zatajać błędy, nie łatać usterek przez miesiące lub lata, czy wręcz grozić badaczom, którzy planują powiadomić opinię publiczną o niedociągnięciach). Kontrargumentem przeciw full disclosure jest przede wszystkim fakt, że w ten sposób, wiedzę o błędach otrzymują także crackerzy, i że w związku z tym z dużym prawdopodobieństwem zostanie ona wykorzystana do łamania zabezpieczeń, zanim wszyscy użytkownicy będą w stanie zabezpieczyć swoje systemy. Często stosowanym, mniej dyskusyjnym wariantem tego procesu (zwanym responsible disclosure) jest wcześniejsze powiadomienie twórców i danie im określonego czasu (np. tydzień, miesiąc) na usunięcie błędu i opublikowanie poprawek. Po upłynięciu tego terminu, niezależnie od reakcji dostawcy, dochodzi do publikacji informacji o błędzie. Taki sposób postępowania promowany jest w ostatnich latach między innymi przez komercyjnych dostawców oprogramowania. Należy jednak zaznaczyć, że wcześniejsze powiadomienie nie jest warunkiem koniecznym dla procesu full disclosure jako takiego – a zdaniem niektórych, wręcz stoi z nim w sprzeczności, ponieważ jest korzystne dla klienta tylko wtedy, gdy każdorazowo przyjmuje się, że błąd nie został nigdy wcześniej znaleziony i nie jest już wykorzystywany przez osoby o złych intencjach, bez wiedzy opinii publicznej. (pl)
- В области компьютерной безопасности, независимые исследователи часто находят недостатки в программном обеспечении, которые могут быть использованы для вызова непредвиденного поведения программы. Эти недостатки называются уязвимостями. Процесс, посредством которого результаты исследований становятся доступны третьим лицам, является объектом жарких споров и называется политикой раскрытия исследователя. Полное раскрытие — это практика публикации результатов исследования уязвимостей программного обеспечения так быстро, как только это возможно, делая данные доступными для всех без ограничений. Основным аргументом «за» столь широкое распространение информации является то, что потенциальные жертвы также осведомлены об уязвимостях, как и те, кто нападают на них. В своём эссе по теме Брюс Шнайер утверждает: «Полное раскрытие — открытие публичного доступа к деталям уязвимостей — чертовски хорошая идея. Общественный контроль является единственным надёжным способом увеличения безопасности, тогда как тайны только уменьшают нашу безопасность». Леонард Роуз, один из создателей электронного листа рассылки, который вытеснил bugtraq, фактически став форумом для распространения рекомендаций по защите, поясняет: «Мы не верим в достижение безопасности через неясность, насколько мы знаем, полное раскрытие — единственный способ удостовериться, что все, а не только инсайдеры имеют доступ к необходимой информации». (ru)
|
| rdfs:comment
|
- Full disclosure (úplné odhalení) je v počítačové bezpečnosti označení pro zveřejnění všech známých podrobností o zranitelnosti v software. Jedná se o opačný způsob, než je responsible disclosure, které počítá s využitím security through obscurity. Myšlenka úplného zveřejnění je kontroverzní (vystavuje uživatele okamžitě riziku a zároveň upozorňuje na problém i crackery), ale rozhodně není novinkou, protože se používá v zámečnictví již od 19. století. (cs)
- フルディスクロージャ(英:full disclosure)とは、「脆弱性情報は、全ての情報が詳細に渡って(=full)一般に公表(=disclosure)されていなければならない」とする、セキュリティ哲学の一つである。 (ja)
- Finden unabhängige IT-Sicherheitsexperten Schwachstellen in Computerprogrammen, sogenannte Sicherheitslücken, gibt es für sie mehrere Möglichkeiten der Offenlegung. Full Disclosure bezeichnet die Praxis, sämtliche Informationen über die Sicherheitslücke sofort und ohne Absprache mit den verantwortlichen Stellen allgemein zugänglich zu veröffentlichen. Hierdurch werden Benutzer frühzeitig gewarnt; Hacker können allerdings die Schwachstelle potentiell ausnutzen, bevor diese durch den Hersteller geschlossen werden kann. (de)
- La estrategia de revelación completa, revelación total o divulgación masiva (en inglés full disclosure) es una política de revelación de vulnerabilidades que consiste en revelar a toda la comunidad (divulgación masiva) toda la información disponible sobre un problema de seguridad en cuanto este es conocido. Por ejemplo se puede dar información de como se encontró el fallo, qué sistemas son vulnerables, como explotar la seguridad o como protegerse frente al fallo. Se revelan todo tipo de detalles sobre el fallo y esta información tan detallada puede ser usada por hackers malintencionados para desarrollar exploits que permitan aprovechar la vulnerabilidad a cualquiera que lo utilice, aunque no entiendan el funcionamiento del mismo (script kiddies). (es)
- In the field of computer security, independent researchers often discover flaws in software that can be abused to cause unintended behaviour; these flaws are called vulnerabilities. The process by which the analysis of these vulnerabilities is shared with third parties is the subject of much debate, and is referred to as the researcher's disclosure policy. Full disclosure is the practice of publishing analysis of software vulnerabilities as early as possible, making the data accessible to everyone without restriction. The primary purpose of widely disseminating information about vulnerabilities is so that potential victims are as knowledgeable as those who attack them. (en)
- En sécurité informatique, la divulgation complète (en anglais, full disclosure) est la pratique consistant à publier les vulnérabilités des logiciels jusqu'alors inconnues à tous le plus tôt possible, ce qui rend les données accessibles à tous sans restrictions. Le but principal de la divulgation complète des vulnérabilités est de permettre que les victimes potentielles des vulnérabilités sont aussi informées que les pirates qui les attaquent. (fr)
- La divulgazione totale è la pratica di pubblicare analisi sulle vulnerabilità di un software il prima possibile, permettendo l’accesso a informazioni e dati da parte di chiunque senza nessuna restrizione. Lo scopo principale di questa ampia diffusione di informazioni sulle vulnerabilità è che le potenziali vittime di attacchi informatici siano a conoscenza quanto lo sono i malintenzionati. Nel campo della sicurezza informatica, spesso può accadere che ricercatori scoprano imperfezioni nel software che possono essere sfruttate per causare un comportamento non atteso, queste imperfezioni vengono definite vulnerabilità.Il processo con il quale queste analisi di vulnerabilità vengono condivise con le terze parti è soggetto di un acceso dibattito, e fa riferimento alle policy di divulgazione'de (it)
- Full disclosure (z ang. całkowita jawność) – pogląd, funkcjonujący wśród wielu hakerów zajmujących się zabezpieczeniami, mówiący, że opinia publiczna powinna poznawać wszystkie szczegóły dotyczące nowo odkrytych błędów zabezpieczeń w systemach teleinformatycznych; odwrotność doktryny security through obscurity praktykowanej szczególnie często w Internecie w latach 80. i 90. (pl)
- В области компьютерной безопасности, независимые исследователи часто находят недостатки в программном обеспечении, которые могут быть использованы для вызова непредвиденного поведения программы. Эти недостатки называются уязвимостями. Процесс, посредством которого результаты исследований становятся доступны третьим лицам, является объектом жарких споров и называется политикой раскрытия исследователя. Полное раскрытие — это практика публикации результатов исследования уязвимостей программного обеспечения так быстро, как только это возможно, делая данные доступными для всех без ограничений. (ru)
|
