> Wenn der Stanford Checker zB einen potentiellen Buffer overflow meldet bedeutet > dies nicht dass es a) ein wirklicher Bug ist und b) das dies auch eine > Sicherheitslücke ist.
Allein die Möglichkeit, dass sich unter den gefundenen (potentiellen) Bugs eine exploitbare Sicherheitslücke befindet, erfordert, dass man mit den Bugs sinnvoll umgeht.
Und unter dem sinnvollen Umgang verstehe ich (und die Coverty Leute und die meisten Kernelhacker) nicht, dass man die Bugs auf einer Webseite auflistet und einen Wettkampf zwischen Crackern (Exploit basteln) und Kernelentwicklern (Patch basteln) und Usern (Patches einspielen, Kernel updaten) startet!
> Insofern ist es Stuss die potentiellen(!) Bugs, die der Stanford Checker meldet, als > Sicherheitslücken "verkaufen" zu wollen.
Wollen wir Wetten, dass Sicherheitslücken darunter sind?
>Allein die Möglichkeit, dass sich unter den gefundenen (potentiellen) Bugs eine exploitbare Sicherheitslücke befindet, erfordert, dass man mit den Bugs sinnvoll umgeht. Und unter dem sinnvollen Umgang verstehe ich (und die Coverty Leute und die meisten Kernelhacker) nicht, dass man die Bugs auf einer Webseite auflistet und einen Wettkampf zwischen Crackern (Exploit basteln) und Kernelentwicklern (Patch basteln) und Usern (Patches einspielen, Kernel updaten) startet! ---
? Dazu hatte ich mich doch garnicht geäußert. *kopfschüttel*
>Wollen wir Wetten, dass Sicherheitslücken darunter sind? ---
Hatte ich nie bestreitet. Nur ist die Gleichung: »Stanford Checker gemeldete potentielle(!) Bugs = Sicherheitslücken« (die weiter oben impliziert wurde) einfach Stuss.
> dies nicht dass es a) ein wirklicher Bug ist und b) das dies auch eine
> Sicherheitslücke ist.
Allein die Möglichkeit, dass sich unter den gefundenen (potentiellen) Bugs eine exploitbare Sicherheitslücke befindet, erfordert, dass man mit den Bugs sinnvoll umgeht.
Und unter dem sinnvollen Umgang verstehe ich (und die Coverty Leute und die meisten Kernelhacker) nicht, dass man die Bugs auf einer Webseite auflistet und einen Wettkampf zwischen Crackern (Exploit basteln) und Kernelentwicklern (Patch basteln) und Usern (Patches einspielen, Kernel updaten) startet!
> Insofern ist es Stuss die potentiellen(!) Bugs, die der Stanford Checker meldet, als
> Sicherheitslücken "verkaufen" zu wollen.
Wollen wir Wetten, dass Sicherheitslücken darunter sind?
Und unter dem sinnvollen Umgang verstehe ich (und die Coverty Leute und die meisten Kernelhacker) nicht, dass man die Bugs auf einer Webseite auflistet und einen Wettkampf zwischen Crackern (Exploit basteln) und Kernelentwicklern (Patch basteln) und Usern (Patches einspielen, Kernel updaten) startet!
---
? Dazu hatte ich mich doch garnicht geäußert. *kopfschüttel*
>Wollen wir Wetten, dass Sicherheitslücken darunter sind?
---
Hatte ich nie bestreitet. Nur ist die Gleichung: »Stanford Checker gemeldete potentielle(!) Bugs = Sicherheitslücken« (die weiter oben impliziert wurde) einfach Stuss.
Sandra Podie