Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over de plotse concessie in Google’s beleid voor het onthullen van beveiligingsgaten in andermans software. De deadline van negentig dagen is niet meer heilig.
Google past zijn regels aan voor het onthullen van gaten die het ontdekt in software van andere leveranciers. Voortaan krijgen getroffen ontwikkelaars extra tijd om hun gaten te patchen. Bovenop de periode van negentig dagen ná de vertrouwelijke melding door Google komt nu nog eens veertien dagen vóór de openbare onthulling. Tenminste, áls de bewuste softwareleverancier heeft laten weten dat er binnen die extra periode een patch uitkomt. In januari dit jaar heeft Google informatie – compleet met exploitcode – geopenbaard voor kritieke gaten in Windows, terwijl het wist dat Microsoft enkele dagen daarna met een patch zou komen. Dat heeft geleid tot een securityrisico voor gebruikers en een publieke ruzie tussen de twee leveranciers. Met de veerien dagen extensie gaat Google nu door de knieën. Goede zaak of zwakke move? Wat vind jij?
Zwakte, 90 dagen is meer dan genoeg voor het verhelpen van bugs. Zelfs voor een grote, wellicht bureaucratische, organisatie als Microsoft. Echter, ik heb sterk het vermoeden dat het Google in deze niet zozeer te doen is om software in het algemeen veiliger te krijgen, maar meer om de grote concurrent Microsoft een hak te zetten.
Ik heb altijd een beetje moeite met het gegeven dat er zo moeilijk moet worden gedaan over dit soort zaken. Ik bezie het zo, tenminste, als IT professional dan. Iedereen maakt foutjes, producenten van software natuurlijk ook. Uit een soort van courtesy en solidariteit stuur ik dan zelf altijd gewoon even een emailtje met hetgeen ik ervaarde of tegenkwam.
Altijd al gevonden dat het nonsens was het telkens maar weer aan de ‘grote klok’ te moeten hangen. Juist met het oog op gebruikers e.d. Dus ik begrijp Google hier wat dit betreft niet helemaal. Is het dan meer om te zeggen kijk eens hoe goed wij zijn of….
Kort en goed, meld een hiaat of omissie en move on.
Het grootste zekerheidsrisiko zit nog steeds achter de computer.
Wat Google nu doet lijkt me redelijk.
In een eerder artikel over deze zaak had ik al de vraag geplaatst hoe Google met dit soort zaken zelf omgaat?
Als zij zelf alles binnen 90 dagen fixen in het android platform, dan vind ik dat ze zelf redelijk strak aan die 90 dagen mogen vasthouden. Microsoft heeft in het verleden ook laten zien dat ze aardig goed zijn in het ontkennen van een probleem en dit houdt de druk wel een beetje op de ketel.
Ik ben het echter wel met Hugo eens dat dit gedrag wel heel erg lijkt op fabrikantje pesten.
Google gaat zich als het geweten van de ICT sector opstellen, dat is een goede zaak omdat alle productaansprakelijkheid meestal wordt uitgesloten in de licentievoorwaarden. Daarom is de eindgebruiker en consument er bij gebaat.
Als je van te voren weet dat vertrouwelijke gegevens in deze release van je mailprogramma wordt afgetapt en dat de security niet meer werkt dan heb je er recht op dat direct te weten. Je kunt dan zelf je beleid uitzetten om tijdelijk een passende oplossing te kiezen.
De meeste softwarefabrikanten hebben weinig op met het belang van de consument.