Christian Hansen

Datatilsynet: TLS er kun minimumskravet til kryptering af mails

At Datatilsynet pludseligt har fået en holdning til spørgsmålet.

Jeg har for et par år siden prøvet at få et svar på hvad “sikker mail” praksis bestod af og om fx, TLS ville være “sikkert nok”. Det var på det tidspunkt ikke muligt at få et skriftligt svar på med et argument i at teknologier jo ændre sig og de ikke ville give et bindende svar..

At der så stadigvæk er masser af issues med at bruge tvungen kryptering på SMTP forbindelser er en hel anden snak.

4. august 2018 kl. 23:44
Ethical hacking: Må man dele en it-sårbarhed?

Jeg tror desværre ikke man skal regne med at ret mange firmaer har en interresse i at bruge tid på at fixe security bugs, hvis der ikke svæver en trussel om det bliver exponeret til offentligheden at deres produkt er usikkert.

Om det så skal være 1 dag (som AMD havde ved CTS releasen), 60 eller 180 dage.. ja det ved jeg ikke.. "rimelig tid" er nok svært at definere.. der er måske en værdi i at holde sig inden for nogle "standard tider". som f.eks Googles project zero har (90 dage).

Og når man så lækker sin information bør man måske gøre det ud fra et synspunkt at eksempler måske ikke skal være direkte reproducerbare til exploits.

Men alt ialt er jeg rimeligt overbevist om at såfremt huller ikke bliver fixet af leverandøren efter rimelig tid, ja så skal det offentliggøres, også selvom det kommer til at gøre ondt.

23. marts 2018 kl. 09:00