Ei­ni­ge Fir­men und In­sti­tu­tio­nen weh­ren sich gegen "Full Dis­clo­sure", also das kom­plet­te Of­fen­le­gen von Si­cher­heits­lü­cken (zu­min­dest nach dem Er­schei­nen des Patches). Ihr Ar­gu­ment: Mit die­ser In­for­ma­ti­on kön­nen böse Ha­cker viel ein­fa­cher einen Ex­ploit bauen und so in un­ge­patch­te Sys­tem ein­drin­gen. In einem De­mons­tra­ti­ons­film zei­gen die Leute von Sabre Se­cu­ri­ty, wie man durch Ana­ly­se eines Patches auf die Än­de­run­gen rück­schlie­ßen kann: Durch Ver­gleich von ge­patch­tem und un­ge­patch­tem Pro­gramm (und einem ge­eig­ne­ten Tool) las­sen sich ver­än­der­te und er­gänz­te Pas­sa­gen er­ken­nen. So kommt man dem ur­sprüng­li­chen Si­cher­heits­pro­bem rasch auf die Spur.

Dies ist ein wei­te­rer Sarg­na­gel an der Ar­gu­men­ta­ti­ons­li­nie der Full-Dis­clo­sure-Ver­wei­ge­rer: Al­lein das Ver­öf­fent­li­chen des Patches und ein über­schau­ba­res Maß an Flei­ß­ar­beit ge­nügt, um die ur­sprüng­li­che Lücke zu iden­ti­fi­zie­ren. Ab­hil­fe wäre das Ab­schaf­fen von Si­cher­heit­patches - und das wird wohl hof­fent­lich nie­mand ernst­haft in Er­wä­gung zie­hen. Also: Laßt uns doch sol­che Pro­ble­me offen dis­ku­tie­ren. Ab­ge­se­hen vom Druck auf die Ent­wi­cker, sich nicht mit allzu of­fen­sicht­li­chen Lü­cken zu bla­mie­ren, gibt es wei­te­re Vor­tei­le wie dem Lern­ef­fekt für an­de­re Pro­gram­mie­rer oder dem ein­fa­che­ren An­pas­sen von In­tru­si­on-De­tec­tion-Sys­te­men.

(via Mit­ter­nachts­hacking)