Il 2018-02-08 13:44 sid ha scritto:
> On 2018-02-08 09:52, mutek@??? wrote:
>> Il 07/02/2018 23:04, sid ha scritto:
>>> On 2018-02-07 21:23, mutek@??? wrote:
>>>
>>>> che ormai sono anni che mi sono impallato con il full disclosure di
>>>> OpenBSD che son diventato sordo e cieco
>>> ahah, dacci dentro
>>>> Poi ogni tanto tra un meltdown ed uno spectre a rinforzo della tesi
>>>> precedente...che ho perso completamente la lucidita
>>>
>>> che poi melte, slowdown per gli amici, e spectre (qualcuno suggerisca dei pusher di qualità che ne hanno bisogno visti i nomi) hanno seguito un embargo che di full-disclosure non ha proprio un cazzo. la dura legge del business...
>>>
>>>>
>>>> quindi a parte le etichette, per me è full disclosure a priori
>>>>
>>>
>>> per me che ognuno faccia ciò con cui si sente più in serenità, non lo giudicherei. nel mio, concordo in >>pieno con te.
>>
>> se non ci fosse stata la resistenza che fine avremmo fatto?
>> ok per me vale a titolo personale il full-disclosure, però lo
>> consiglio e lo spiego perche a fare ognuno come ci pare rifiniamo
>> nella savana dove leone mangia gazella se non corre abbastanza veloce
>> (ed in parte è anche cosi ora, vedi invisibili senzatetto alle
>> stazioni dei treni o sotto i ponti del Tevere a Roma)
>>
>>> prendi bene questa mia provocazione, se tu fossi nella situazione faresti full-disclosure di un RCE per tor?
>>
>> la prendo benissimo perche sono perennemente combattuto in questa
>> fanta dicotomia
>> Pero proprio con esempi tipo ste zozzate sulla CPU della serie prima
>> gli amichetti e poi il resto...
>> ma il resto ad esempio stiamo parlando che OpenBSD e FreeBSD stavano
>> ancora aspettando che qualcuno li notificasse e notizie sui giornali
>> piu che diffuse, campa cavallo!!
>> Un conto è usare Windows su Intel che per definizione è un portatore
>> sano di autolesionismo
>> Un conto è che ti fai la tua banca dati super criptata con OpenBSD
>> sempre su Intel...diciamo che quando ti polverizzano il castello ad
>> hoc ci rimani un po male e ti rimane segnato (ok vai di FreeBSD su
>> RaspberryPi o OpenWRT su MT7620 e te la cavi in lowcost)
>> poi possiamo ragionare anche per questioni piu specifiche
>> Ad esempio nel caso di spectre è talmente totalizzante che l'ultima
>> cosa che mi viene in mente è parzializzare con embarghi
>> quandocinali...li prima sai e prima ripari qualsiasi cosa
>> Nel caso di tor che è praticamente una verticalizzazione allora forse
>> una via di mezzo...del tipo comunichi in privato e ti accordi, trovi
>> una via di mezzo temporale oltre la quale ritieni che il gruppo di
>> riferimento non ha le risorse adeguate per affrontare la riparazione a
>> quel punto con il full-disclosure chiedi aiuto a tutti, cone le ovvie
>> conseguenze anche disastrose (ma su un progetto aperto e libero i fix
>> tendono all'immediato)
>
> ok quindi mi sembra di capire che la full-disclosure non sia proprio
> giusta a priori.
> ci sono differenze in base al software. questo dal mio punto di vista
> non lo approvo, in primis perchè se viene pubblicata una RCE per il
> kernel linux è molto più grave ed impattante di una RCE per tor, la
> prima permette di violare ogni pc vuln su cui gira tor o meno, invece
> la seconda ha solo maggiore impatto mediatico.
>
>> Penso che questo ragionamento possa valere anche per i sistemi chiusi
>> ma li devi pararti il ciulo e quindi comunichi in privato anonimamente
>> aprendo una trattativa temporale ma poi una volta che arriva il
>> timout...amico mio è andata
>
> puoi fare full-disc di sistemi chiusi. dipende se vuoi il bounty o
> meno, nel caso in cui sia previsto.
>
>> Il concetto che mi ha urtato dei fatti di spectre e simili è proprio
>> del tipo "prima i miei amichetti e gli altri...vabbe sticatzi poi si
>> vedra..."
>> Tra l'altro sti amichetti sono sempre quelli che con il 20% di leva
>> spostano l'80% di tutti gli altri, sarà un caso?
>>
>> rileggendo il subject:
>> ma che è l'etica? come si declina?
>> è una cosa del tipo "ar cavajere -bianco- nun je devi cacarcà" o
>> "padre nostro che sei..." comunque sa di clero
>> in questa malafede sono l'unico che vede aureole?
>>
>
> per quel poco che ho studiato di filosofia mi pare che l'etica non sia
> solo morale e sopratutto l'etica non è il diritto.
> quindi segue che se la full-disc è il modo migliore per *tutti* di
> avere una vuln fixata nel piu' breve tempo possibile, allora che sia
> tor o meno frega cazzi.
> Inoltre la full-discl permette anche che si possa scrivere il fix
> senza aspettare quello ufficiale. infine, non puoi *mai* essere certo
> che la vuln appena trovata non sia già nota a qualcun altro e/o
> sfruttata in the wild (quando rilevi che lo era è già troppo tardi) .
>
> nel caso di tor, se fai quella che è chiamata responsible-disclosure
> (termine atroce) passera' magari del tempo X prima che questa venga
> resa nota e fixata ed in questo tempo X se la vuln era già nota ad
> altri questi continuano a sfruttarla. Mentre invece con una full-discl
> tutti ne sono a conoscenza e ognuno puo' prendere la propria decisione
> nel mentre che i devs fixano.
>
> Sicuramente ci sono casi borderline quali appunto spectre e melt dove
> la patch richiede mesi di ricerca/test e quindi la full-discl potrebbe
> non essere il giusto compromesso. però sono appunto casi particolari.
in filosofia si invertirono i valori da morale etica a etica e morale
e il successivo sviluppo moderno, ci mostra che c"è
la legge di linux torvalds, senza analizzare il bordline che andrebbe
troppo
a seguire le galline:
https://www.docsity.com/it/l-etica-hacker-pekka-himanen/723602/
> happy hacking
happy too
p.s.: ma son l unico laureato in filosofia qui dentro?
ciao
