20070904

Full-Disclosure Paper Edition?

Link

While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cats over at sla.ckers (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs) do a great job of finding real vulnerabilities in real applications, we don't actually spend much time calling out book authors for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same.

A couple of guys had a presentation at a recent conference (I won't mention names because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y certainly weren't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to call out a book for telling people to do stuff in a silly way) where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y followed design patterns from books on web application coding and ended up with a really horrible (in terms of security) application. They were gutsy enough to name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y used for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 design patterns. But this is really rare.

It seems that while we want for developers to be trained as real engineers who apply real engineering and computer science principals to problems, many developers writing real-world, high-visibility applications were mostly trained from bad tutorials on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet and books at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local bookstore.

I churned on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of setting up a full-disclosure paper edition website, modeled after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r full-disclosure sites, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are issues with copyright violation and such - whereas with reporting web vulnerabilities is mostly a question of ethics, I think full-disclosure in a paper edition would be a question of copyright issue and legality. While I'm all for publishers and authors being accountable for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y publish (hey, bloggers too - call me out when I'm wrong), I can't in good conscience stand up a site that I don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material that would end up on it.

That being said, do we take programming examples with a grain of salt? Do we look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same scrutiny as we do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sites cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves? Where a single vulnerability on a single website is genuine, it's also one person's mistake in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end result. But flaws in books are by people who claim to be experts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field of development, published by publishers who vouch for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticity of that expert opinion, fool users into believing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book indeed tells cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right way to do something.

Is this all a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet, where niche experts are considered authoritative on more subjects than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ought? Where somebody writes a few blog posts on a subject and are "discovered" by a publisher who needs to get some print out in that niche market? If that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, how do we convince developers to use a greater level of discernment when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do that google to figure out how to use a new API?

5 comments:

  1. I agree exactly with what you say and I would go as far as saying that books are probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main cause of security flaws today.

    I have hardly ever picked up a book without finding a huge security hole. In fact I hardly bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reading books anymore and I find more high level stuff on slackers or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r blogs.

    As for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legality of finding XSS holes etc, I can't see how it can be illegal unless it can be proven that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 researcher had direct involvement with exploiting a user.

    If a flaw is in a website/browser but you are taking advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flaw, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 website or browser manufacturer should be held responsible not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 researcher. IMO.

    ReplyDelete
  2. @gareth - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legality I was concerned with was reproducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 copyrighted material without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 express written permission of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author/publisher - but your point about legality of any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r form of full-disclosure is understood - like I said, it's more of an ethical dilemma, not a legal one.

    ReplyDelete
  3. Anonymous06:07

    One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest problems is that security is considered a non-functional requirement... and books DO provide a small chapter on security, somewhere towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end.
    Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader reaches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapter, it's too late by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n. You cannot attain a good level of security without giving thoughts during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intital phases of development.

    Nice to see a post on this topic Sylvan. I'm sure that most of Sec researchers will agree to it.

    ReplyDelete
  4. Inspired by your article, I have wrote about an exploit that I did, in order to provide information on security research and security mindset.

    http://www.cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365spanner.co.uk/2007/09/05/how-i-found-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-safari-exploit/

    I'm not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best writer I know, but hopefully if people find it interesting and informative I shall do more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se types of articles.

    ReplyDelete
  5. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a lot of value in this idea, and I hope you don't dismiss it too quickly. I don't know whose laws govern wherever you are, but even countries with US-style notions of copyright and litigiousness generally have some notion of Fair Use which explicitly provides for excerpting content for purpose of review.

    One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big problems with software security is people's tendency to revisit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same mistakes over and over. When a developer learns (often painfully) about some pitfall, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may go on to be more diligent, but no one else benefits, since most software is closed to outside study.

    Books, though, can have multiple editions, thousands of readers; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can improve as problems are found and fixed. A book that starts out halfway decent or worse, but which has earnest authors and a willing publisher, could evolve over a couple rounds of errata into a real bible.

    The threats are constantly changing, so maybe it's a pipe dream to imagine Windows Security For Realz, 10th Edition. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, a lot of security issues (including those mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk you so carefully keep anonymous - I was near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audio guys, where were you? :) are re-discoveries, by a new crop of programmers, of age-old dumbness like weak input validation and predictable ID generation.

    Give it anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thought - I think it would be a valuable resource for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community at large, and hell, it would probably, paradoxically, fund itself on referrals. :)

    ReplyDelete