08 agosto, 2007

Le patch di sicurezza Mozilla arrivano il più presto possibile?

di Percy Cabello

Tutto è iniziato la scorsa settimana durante durante la conferenza sulla sicurezza Black Hat, quando Mike Shaver, direttore dello sviluppo dell'Ecosistema di Mozilla, ha consegnato il proprio biglietto da visita a Robert Hansen, conosciuto anche come RSnake, aggiungendovi sopra la frase "Ten fucking days" (Dieci giorni del cazzo).


I dieci giorni si riferiscono al periodo che Mozilla ha impiegato per risolvere una recente vulnerabilità di sicurezza e che ha portato all'uscita di Firefox 2.0.0.6.

Ci sono state diverse interpretazioni su ciò che è stato detto e sul vero significato di quelle parole, soprattutto dopo la loro diffusione sui vari mezzi di comunicazione e sulla pagina principale di digg.

Questa è la versione di Hansen di quanto accaduto: "Hanno detto che potevano fornire qualunque patch critica di sicurezza entro dieci giorni. Non sono uno che si tira indietro davanti alle provocazioni e ho risposto che era una stronzata. A questo punto Mike Shaven ha lanciato il guanto di sfida. Mi ha dato il suo biglietto da visita con una frase scritta a mano, un'affermazione molto rischiosa. E cioè, con una divulgazione responsabile Mozilla può risolvere qualunque grave falla di sicurezza entro dieci giorni del cazzo". Bello!

E questa la versione di Mike: "Intendevo esprimere la mia fiducia nella nostra possibilità di rispondere rapidamente con una patch se ne avessimo bisogno, dandogli una specie di "biglietto d'ingresso" per una divulgazione che lui pensava avesse bisogno di una risposta rapida a causa della sua estrema gravità e dei rischi connessi. Ripensandoci a mente fredda, è stato un po' eccessivo ma per nessun motivo intendevo sottolineare che la policy di Mozilla è un tempo di risposta di dieci giorni su tutte le vulnerabilità scoperte".

Non ci ho fatto caso quando ho letto il post di Hansen la scorsa settimana. So per certo che nessuno può garantire, per qualunque software, una data per una patch di sicurezza e il fatto che questo sia accaduto durante il pigiama-party di Mozilla e non ad un seminario del Black Hat rende la sua informalità fuori discussione.

Ma poiché la gente sta speculando sul fatto che si tratti di una sfida di Mozilla, di una policy di Mozilla o semplicemente di uno scherzo, la responsabile della sicurezza Mozilla, Window Snyder, ha pubblicato un comunicato ufficiale sulla vicenda: "Non si tratta di una nostra policy. Noi non crediamo che la sicurezza sia un gioco, né lanciamo sfide o ultimatum. Siamo orgogliosi della nostra esperienza nel fornire rapidamente patch critiche di sicurezza, spesso in pochi giorni. Lavoriamo duramente per fornire delle correzioni il più rapidamente possibile per mantenere le persone al sicuro".

Tutto qui. La festa è finita. Non c'è nulla da vedere. Ma comunque ho imparato un modo più colorito per parlare della sicurezza Mozilla. Alla fine, preferisco che le patch di sicurezza siano distribuite "il più cazzo rapidamente possibile" invece del "secondo martedì del mese del cazzo".

Nessun commento: