Creo que es solo otra iteración del debate de divulgación completa frente a la divulgación de responsabilidad que está ocurriendo dentro de la industria de seguridad de TI desde hace años. Es solo una cuestión de opinión personal, cada lado tiene sus propios puntos fuertes.
Los pros y contras a menudo citados de cada enfoque son:
Divulgación completa:
Pro:
- Es posible que los sombreros negros ya lo sepan de todos modos (a veces incluso hay una prueba )
- Los usuarios obtienen el parche más rápido debido a la presión del proveedor
Con:
Divulgación responsable:
Pro:
-
A los proveedores les gusta, pueden planificar & asigne sus recursos y pruebe los parches
-
Ningún usuario está en riesgo (si los sombreros negros no lo descubren)
-
Hey, responsable es una palabra tan positiva;)
Con:
-
Los proveedores tienden a ignorar los informes o retrasar los parches
-
La vulnerabilidad está ahí, sin parches
-
No hay información para los usuarios sobre cómo mitigar el riesgo
Volviendo al 'ético ASP.NET, la revelación de Oracle fue ética'. En mi opinión, es éticamente correcto divulgar el problema de todos modos, el investigador decidió, ya sea un día con el exploit, un correo electrónico privado al proveedor o una divulgación pública. Sus decisiones generalmente están bien pensadas incluso si no está de acuerdo con ellas.
Solo hay dos enfoques incorrectos : olvídate del problema descubierto (si parece grave) o véndelo en el mercado negro. Aparte de eso, es el único privilegio del investigador decidir.