Full disclosure

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacji, wyszukiwania

Full disclosure (z ang. całkowita jawność) – pogląd, funkcjonujący wśród wielu hakerów zajmujących się zabezpieczeniami, mówiący, że opinia publiczna powinna poznawać wszystkie szczegóły dotyczące nowo odkrytych błędów zabezpieczeń w systemach teleinformatycznych; odwrotność doktryny security through obscurity praktykowanej szczególnie często w Internecie w latach 80. i 90.

Full disclosure to podejście kontrowersyjne. Argumentacja przywoływana przez zwolenników mówi, że dzięki takiemu postępowaniu badaczy, każdy użytkownik może poznać szczegóły dotyczące jakości oprogramowania danego producenta, samodzielnie chronić się przed atakami, a także ustalić, czy jego systemy są prawidłowo chronione przed atakami. Publiczne ujawnianie szczegółów podatności ułatwia też programistom otwartego oprogramowania tworzenie nieodpłatnych systemów wykrywania ataków. Dodatkowo, publiczna rozliczalność dostawców miałaby wywierać na nich silną presję, by tworzyć kod o wyższej jakości, oraz szybko reagować na problemy (wiele firm, w tym Microsoft czy Oracle Corporation, zdaniem ekspertów wielokrotnie próbowało zatajać błędy, nie łatać usterek przez miesiące lub lata, czy wręcz grozić badaczom, którzy planują powiadomić opinię publiczną o niedociągnięciach)[1].

Kontrargumentem przeciw full disclosure jest przede wszystkim fakt, że w ten sposób, wiedzę o błędach otrzymują także crackerzy, i że w związku z dużym prawdopodobieństwem zostanie ona wykorzystana do łamania zabezpieczeń zanim wszyscy użytkownicy będą w stanie zabezpieczyć swoje systemy[2].

Często stosowanym, mniej dyskusyjnym wariantem tego procesu (zwanym responsible disclosure) jest wcześniejsze powiadomienie twórców i danie im określonego czasu (np. tydzień, miesiąc) na usunięcie błędu i opublikowanie poprawek. Po upłynięciu tego terminu, niezależnie od reakcji dostawcy, dochodzi do publikacji informacji o błędzie. Taki sposób postępowania promowany jest w ostatnich latach między innymi przez komercyjnych dostawców oprogramowania[3]. Należy jednak zaznaczyć, że wcześniejsze powiadomienie nie jest warunkiem koniecznym dla procesu full disclosure jako takiego - a zdaniem niektórych, wręcz stoi z nim w sprzeczności, ponieważ jest korzystne dla klienta tylko wtedy, gdy każdorazowo przyjmuje się, że błąd nie został nigdy wcześniej znaleziony i nie jest już wykorzystywany przez osoby o złych intencjach, bez wiedzy opinii publicznej.

Przypisy

Linki zewnętrzne[edytuj | edytuj kod]