Full Disclosure, true or false?!

Beberapa hari yang lalu kembali ada diskusi cukup menarik mengenai full-disclosure. Ada yang bertanya tentang pendapat mengenai tindakan apa yang sebaiknya dilakukan apabila kita menemukan suatu bugs entah itu sistem ataupun aplikasi. Ada 2 pendapat, melaporkan pada pihak vendor yang terkadang cukup membuat kesal (kadang di remehkan oleh vendor tersebut sehingga di abaikan), atau melakukan full-disclosure pada publik.

Tentu saja ada pro dan kontra mengenai masalah ini, ada yang berpendapat langsung saja di full disclosure kepada pihak umum, tanpa perlu berurusan panjang seperti menghubungi vendor yang bersangkutan. Bahkan, ada kalanya apabila sudah di publikasikan ke pihak umum barulah si vendor seperti kebakaran jenggot sibuk membuat patch nya.

Namun kembali ada kontra terhadap pendapat full-disclosure pihak umum tanpa memberitahu vendor. Apabila di sebarkan ke pihak umum tanpa menghubungi vendor terlebih dahulu maka dalam sekejap akan banyak orang yang memanfaatkan bugs tersebut, dalam beberapa saat akan tercipta worm yang dapat mengexploitasi celah keamanan tersebut, atau bahkan dalam sekejap banyak orang yang mendapatkan informasi kartu kredit pada suatu web yang terdapat celah keamanan sql-injection.

Setiap tindakan ada efek nya masing-masing, dan menurut saya ini kembali lagi kepada si penemu bugs atau celah keamanan tersebut, apakah memberitahu vendor tersebut atau langsung full-disclosure kepada masyarakat begitu saja atau…cukup di simpan dan dinikmati untuk kepentingan sendiri (hello underground!).

Jadi, bagaimana dengan anda?! 🙂

Advertisements

9 thoughts on “Full Disclosure, true or false?!

  1. masuk kemana ya,,, abis blum pernah sih,, 😀
    kayaknya lapor ke vendor deh sekalian full disclosure,,
    mungkin ada orang menganggap yang full disclosure tuh sok pamer atau maw jadi terkenal,,,
    tapi buat newbie kayak aku,,, tanpa ada orang yg full disclosure gimana aku bisa belajar+praktek,, 😀
    ayo2 kak h3b turunin ilmunya ke aku :D:D

  2. sebaiknya melaporkan ke vendor trus di full disclosure ..
    kan kalo vendor ga ngepatch trus bugsnya dimanfaatkan bukan salahnya si yang nemu bugs ..

  3. Biar sama-sama enak,
    Lapor ke vendor, trus kalo bikin mirrornya (yang masih ber-hole) buat belajar untuk yang belum tau, hihi.
    Trus full disclosure yang asli dan yang mirror. hehehe..
    haiyah cape deh.. tapi win win solution kan..?

    CMIIW

  4. secara hukum, kita pada dasarnya ngga bisa lepas tanggung jawab dari informasi yang kita berikan di internet, meskipun dalam tulisan tersebut kita jelaskan “segala resiko yang timbul dari penyalahgunaan informasi ini, bukan tanggung jawab penulis”.

    prinsipnya gini ajah, kita menemukan kunci dari sebuah gembok yang terdapat pada suatu bangunan, kemudian kunci tersebut kita sebarkan ke orang2 lain. Kalau menggunakan teori kausalitas, dan menggunakan teori kesengajaan sebagai keinsyafan kemungkinan. Kita sebagai orang yang menemukan kunci dan meyebarkannya masih dapat dikenai tanggung jawab

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s