Henrik Bøgh <henrik@lagengymnastik.dk> wrote:
> Det danske sikkerhedsfirma (sådan præsenterer de i hverttilfælde sig
> selv :)) Secunia (
www.secunia.dk ) er netop blevet omtalt på Bugtraq for
> deres advisory omkring URL-forfalskning i IE:
>
http://www.secunia.dk/advisories/10395/
Oeh. Det var jo ikke engang Secunia der fandt den, men det lader de ikke
til at have travlt med at fortaelle folk. Jeg blev lidt forundret over
formuleringen i CW (men det kunne jo vaere CW's skyld) da Microsoft
kritiserede afsloeringen:
"Men tekniker i Secunia, Thomas Kristensen, tager ikke kritikken paa
sig.
- Det er slet ikke en relevant kritik. Vi har offentliggjort seks
saarbarheder i det sidste aar, og altid paa en ansvarlig maade, siger
han."
Jeg ved ikke helt hvorfor de mener de ikke blot samler paa advisories.
I oevrigt fandt jeg Microsoft's kritik af afsloeringen lettere
underholdende: "Det er uansvarligt at afsloere sikkerhedsfejl paa den
maade, men vi har ikke taenkt os at udgive en patch."
Der er faktisk visse dele af Microsoft's sikkerhedstiltag der giver
rigtig god mening, og saa er der hjernebloedninger som denne der giver
indtryk af, at de er mere interesseret i at have et godt
sikkerhedsrygte, ikke noedvendigvis have god sikkerhed.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.mongers.org