[c] [meta] [fefe]

/fefe/ – Fefes Kommentarfunktion

[l] Compliance-Theater hat immer negative Auswirkungen, ... Effe ## Mod Mon, 11 Mar 2024 22:32:00 GMT Nr. 114067
fefe49.jpg
JPG 793×457 75.9k
Compliance-Theater hat immer negative Auswirkungen, auch wenn sie vielleicht nicht auf den ersten Blick offenbar sind.

Dieses CVE-Sammeln und dann (am besten automatisierte) Suchen nach CVEs in Versionen hat dazu geführt, dass CVEs eine Währung geworden sind. Mit CVEs gegen Produkte kann man Hersteller erpressen.

Das hat zu Dutzenden von "ethical hacking"-Bullshit-Sites geführt, und einer veritablen Armee von Schlammfischern, die auf irgendwelchen Webseiten herumklicken und dann "Sicherheitslücken" melden.

Das Geschäftsmodell ist, die Webseitenbetreiber anzubetteln, dass sie doch mal eine Bug Bounty raustun sollen, sonst sagt man ihnen nicht, was die Lücke sein soll. Hier kann man sich das mal in der Praxis angucken [0]. Ganz großes Elend, sowas.

[0] https://chaos.social/@aheimbuch/112078591995133872

https://blog.fefe.de/?ts=9b1146bc

[l] Felix Tue, 12 Mar 2024 00:40:08 GMT Nr. 114069
>dies das
>Buuh
>Bug Bounty
>Erpressung

Das Geschäftsmodell ist, die eigene Arbeit der Qualitätskontrolle an einige wenige dumme Hobbysten unbezahlt auszulagern.

[l] Felix Tue, 12 Mar 2024 05:59:38 GMT Nr. 114077
>>114069
Jenes.

[l] Felix Tue, 12 Mar 2024 12:39:56 GMT Nr. 114108
>>114069
>>114077
Hier stimmt Felix mal nicht zu und ist ausnahmsweise bei Fefe.
* Der Typ, der den CVE gegen das Wortpresse-Steckein gemeldet hat, hat nicht kapiert, dass die API keine Authentifizierung können soll
* Der Typ, der den CVE gegen curl gemeldet hat, hat anscheinend einfach die Commit-Logs auf "off-by-one" etc. gegreppt, und nicht kapiert, dass das nur den Debug-Build betraf und somit nie das Licht der Welt in Binärform erblickt hat und zum Zeitpunkt der CVE-Meldung bereits gefixt war [0]

Man muss sich mal klarmachen, dass ein CVE gegen jemanden aufzumachen noch weniger Arbeit mit sich bringt, als auf einem Bilderbrett zu pfostieren: Auf einem Bilderbrett muss man seine Behauptungen wenigstens belegen, das CVE kann man einfach so mit seinen Behauptungen aufmachen. Da wäre das Mitliefern eines Proof-of-Concepts als zwingende Voraussetzung zum Eröffnen des CVEs das Mindeste.

Das ist vielmehr Narzissmus auf Seiten des CVE-Reporters ("schaut mal, wie viele CVEs ich auf dem Kerbholz habe!") und ungefähr auf dem Niveau "ich habe ein paar Variablen im Linux-Kernel-Quellkot const gemacht, nun darf ich mich Kernel-Hacker nennen!". Vergleiche auch die ganzen Inder, die Offene-Soße-Projekte auf Github mit Trivialänderungen (nicht vom Kot, vom Readme!) überfluten, damit sie dann als Contributor dastehen. Solche Leute braucht niemand.

[0] https://curl.se/docs/CVE-2023-52071.html

[l] Felix Tue, 12 Mar 2024 13:21:26 GMT Nr. 114117
>>114069
>Das Geschäftsmodell ist, die eigene Arbeit der Qualitätskontrolle an einige wenige dumme Hobbysten unbezahlt auszulagern.
Wieso die eigene Arbeit? Dafür gibt es doch kompetente Dienstleister: inhabergeführt, mit langjähriger Erfahrung und eigenem Medienkompetenz-Blog.

[l] Felix Tue, 12 Mar 2024 13:28:13 GMT Nr. 114122
>>114108
Felix hat natürlich nur Fefes Überschrift gelesen und nicht den Link geöffnet. Keine Ahnung, worum es da speziell ging, aber generell findet Felix, dass es absolut berechtigt ist, für seine Arbeit entlohnt werden zu wollen, und dass man nicht aus "Altruismus" seine gefundenen Sicherheitslücken melden muss. Ein Unternehmen tut gut daran, ein Bug-Bounty-Programm zu haben Finder angemessen zu entlohnen.

[l] Felix Tue, 12 Mar 2024 17:57:33 GMT Nr. 114156
>>114122
>Ein Unternehmen
Was ist bei curl das "Unternehmen"?
Die meisten Offenen-Soße-Projekte sind Liebesprodukte eines einsamen Entwicklers, der am Abend freiwillig noch Arbeit reinsteckt.

Da mit halb-automatisierten Falschmeldungen draufzupissen ist hart asozial, und dann von denen noch Geld zu verlangen noch asozialer. Wenn der Entwickler damit nichts verdient, warum sollte der Sicherheitslückenfinder, der noch um mehrere Größenordnungen weniger Arbeit reinsteckt, Geld bekommen?

[l] Felix Tue, 12 Mar 2024 18:11:35 GMT Nr. 114157
>>114156
Nochmal: Ich habe den Link nicht geöffnet. Bei Offene-Soße-Projekten ist das natürlich was anderes. Habe auch noch nie gehört, dass jemand von einem Offene-Soße-Projekt ein Bug Bounty gefordert hat. Wobei ich mir da Grenzfälle vorstellen könnte, wenn das Projekt hauptsächlich von einem großen Unternehmen entwickelt und genutzt wird, wo es gerechtfertigt sein könnte.

[l] Felix Wed, 13 Mar 2024 10:07:08 GMT Nr. 114195
>>114157
>Habe auch noch nie gehört, dass jemand von einem Offene-Soße-Projekt ein Bug Bounty gefordert hat.
Dann betreiben diese Open-Source-Projekte solche Programme vermutlich nur aus Spaß an der Freude.
Siehe bspw.:
https://www.mozilla.org/en-US/security/bug-bounty/

[l] Felix Wed, 13 Mar 2024 10:43:32 GMT Nr. 114196
mozilla-ceo-verguetung.png
PNG 600×535 130.2k
>>114195
Ja, wie gesagt, sowas wie Firefox zählt für mich nicht, weil es kein altruistisches Projekt ist. Es ist kommerziell. Mozilla ist eine Firma und bezahlt auch ihre Entwickler (bis auf die paar Dullis, die umsonst mitarbeiten) und hat einen CEO mit einem Millionengehalt. Dass das Produkt Open Source ist, ändert daran nichts. Das sind keine armen kleinen Krauter, die sich das nicht leisten können.

[l] Felix Wed, 13 Mar 2024 11:23:09 GMT Nr. 114200
>>114196
https://curl.se/docs/bugbounty.html

[l] Felix Wed, 13 Mar 2024 11:48:47 GMT Nr. 114201
kann man nix mache[…].jpg
JPG 538×404 40.4k
>>114200
Solange es jemanden gibt, der das freiwillig finanziert, soll es Felix nur recht sein. Wer will was dagegen machen? Wäre allerdings schön, wenn auch mal jemand das gleiche für die Entwickler täte und nicht immer nur für diejenigen, die die Schwachstellen finden.

Passwort:

[c] [meta] [fefe]