Full disclosure

Full disclosure (z ang. całkowita jawność) – pogląd, funkcjonujący wśród wielu hakerów zajmujących się zabezpieczeniami, mówiący, że opinia publiczna powinna poznawać wszystkie szczegóły dotyczące nowo odkrytych błędów zabezpieczeń w systemach teleinformatycznych; odwrotność doktryny security through obscurity praktykowanej szczególnie często w Internecie w latach 80. i 90.

Full disclosure to podejście kontrowersyjne. Argumentacja przywoływana przez zwolenników mówi, że dzięki takiemu postępowaniu badaczy każdy użytkownik może poznać szczegóły dotyczące jakości oprogramowania danego producenta, samodzielnie chronić się przed atakami, a także ustalić, czy jego systemy są prawidłowo chronione przed atakami. Publiczne ujawnianie szczegółów podatności ułatwia też programistom otwartego oprogramowania tworzenie nieodpłatnych systemów wykrywania ataków. Dodatkowo, publiczna rozliczalność dostawców miałaby wywierać na nich silną presję, by tworzyć kod o wyższej jakości oraz szybko reagować na problemy (wiele firm, w tym Microsoft czy Oracle Corporation, zdaniem ekspertów, wielokrotnie próbowało zatajać błędy, nie łatać usterek przez miesiące lub lata, czy wręcz grozić badaczom, którzy planują powiadomić opinię publiczną o niedociągnięciach)^[1].

Kontrargumentem przeciw full disclosure jest przede wszystkim fakt, że w ten sposób wiedzę o błędach otrzymują także crackerzy i że w związku z tym z dużym prawdopodobieństwem zostanie ona wykorzystana do łamania zabezpieczeń, zanim wszyscy użytkownicy będą w stanie zabezpieczyć swoje systemy^[2].

Często stosowanym, mniej dyskusyjnym wariantem tego procesu (zwanym responsible disclosure) jest wcześniejsze powiadomienie twórców i danie im określonego czasu (np. tydzień, miesiąc) na usunięcie błędu i opublikowanie poprawek. Po upłynięciu tego terminu, niezależnie od reakcji dostawcy, dochodzi do publikacji informacji o błędzie. Taki sposób postępowania promowany jest w ostatnich latach między innymi przez komercyjnych dostawców oprogramowania^[3]. Należy jednak zaznaczyć, że wcześniejsze powiadomienie nie jest warunkiem koniecznym dla procesu full disclosure jako takiego – a zdaniem niektórych, wręcz stoi z nim w sprzeczności, ponieważ jest korzystne dla klienta tylko wtedy, gdy każdorazowo przyjmuje się, że błąd nie został nigdy wcześniej znaleziony i nie jest już wykorzystywany przez osoby o złych intencjach, bez wiedzy opinii publicznej.

Przypisy edytuj

↑ Full Disclosure of Security Vulnerabilities a 'Damned Good Idea' [online], www2.csoonline.com [zarchiwizowane z adresu 2008-03-24] . – Bruce Schneier, CSO Magazine.
↑ The Vulnerability Disclosure Game: Are We More Secure? [online], www2.csoonline.com [zarchiwizowane z adresu 2007-02-03] . – Marcus J. Ranum, CSO Magazine.
↑ Responsible Vulnerability Disclosure Protects Users [online], www2.csoonline.com [zarchiwizowane z adresu 2007-02-03] . – Mark Miller, CSO Magazine.

Linki zewnętrzne edytuj

Full Disclosure Debate Bibliography [online], wildernesscoast.org [zarchiwizowane z adresu 2010-05-03] (ang.).

[1] Full Disclosure of Security Vulnerabilities a 'Damned Good Idea' [online], www2.csoonline.com [zarchiwizowane z adresu 2008-03-24] . – Bruce Schneier, CSO Magazine.

[2] The Vulnerability Disclosure Game: Are We More Secure? [online], www2.csoonline.com [zarchiwizowane z adresu 2007-02-03] . – Marcus J. Ranum, CSO Magazine.

[3] Responsible Vulnerability Disclosure Protects Users [online], www2.csoonline.com [zarchiwizowane z adresu 2007-02-03] . – Mark Miller, CSO Magazine.

[1]

[2]

[3]