Этично /легально ли выкладывать на Хабре описания непропатченных уязвимостей?

Question

[Владислав Раструснй]

Ситуация такова: я нашел одну малоприятную особенность в одном популярном веб-продукте. Ее эксплуатация позволяет достаточно легко вызывать отказ в обслуживании при некоторых обстоятельствах.

Я сообщил о найденной проблеме разработчику и получил следующий ответ:

After developers' review, we believe this not to be applicable in most real use cases (and have seen none so far); however, we do believe security measures to prevent this could be improved, so we're keeping this open for future consideration.

И теперь я в замешательстве. Что делать? Выкладывать описание в паблик с тем, чтобы привлечь внимание к проблеме и вместе найти хотя бы временное решение? Несмотря на то, что это может вызвать множественные атаки скрипткидди на различные ресурсы? Или оставить все как есть и ждать, пока это сделает кто-то другой или пока почешется разработчик?

Answer 1

[sledopit]

После того как сообщили разработчику и выждали достаточное время, чтобы они успели залатать пробоину, можно без каких-либо угрызений совести.
Если они за несколько дней не удосужились закрыть дыру, значит им это и не особо надо.

Comments

[Владислав Раструснй]

Сообщил им 02.12.2011. Процитированный ответ получен 05.12.2011

Answer 2

[Григорий]

При условии что ответ получен только вчера, подождите недельки две, потом спросите у разработчиков залатали или нет. Если нет, то предупредите, что через неделю опубликуете данные о дыре (эдакий пинок им отвесить). А если залатали, то молодцы и можно публиковать без зазрения совести.
Я думаю это наиболее рациональный вариант действия.

Comments

[Владислав Раструснй]

Логично. Правда, у них сейчас тикет висит в состоянии «Product Backlog». Т.е. фикс не планируется ни в одной из следующих версий пока.

[Optik]

Можете им сразу написать что такого то числа опубликую данные о дыре в паблик. Если они не почешутся, и даже не попросят больше времени, то кто им виноват кроме них самих. А если и залатают, то и проблем нет.

[Владислав Раструснй]

@Optik — сколько времени, вы думаете, стоит им дать? Две недели?

[Optik]

Даже не представляю. Все зависит от сложности задачи. Оценить реально могут только сами разрабы и ПМ. Можно к примеру указать те же две недели, но дать им понять что готовы к диалогу и можете передвинуть сроки. Ну а дальше судить по их отношению к проблеме. Ведь, если я правильно понял, ваша цель помочь, то на мой взгляд путь оптимальный. Сначала по-хорошему, потом по-плохому. Ну и еще момент, разрабы никогда не могут объективно судить о качестве собственного продукта (это нормально, но надо помнить об этом). Поэтому если они не понимают серьезности дыры, то надо попробовать объяснить еще более подробно (в комиксах :) ).

[Владислав Раструснй]

@Optik Ок, попробую их попинать немного.

[Evengard]

Только не угрожайте. Обойдитесь формулировками типа «ради решения данной проблемы силами сообщества я вынужден буду опубликовать данную информацию» или как то так

[Владислав Раструснй]

@Evengard Написал пока так

I would like to publish my findings. When can I do that without endangering XXX security?

Посмотрим, что они ответят.

Answer 3

[Eternalko]

Этично при соблюдении условий описанных difiso