Vlákno názorů k článku
AMD vydala prohlášení k chybám objeveným CTS Labs
od 654 - Nejde o prezentované chyby, ale o prezentované názory....
-
654 (neregistrovaný)
Nejde o prezentované chyby, ale o prezentované názory. Tato nová, nezkušená společnosti 3 lidí v disclaimeru píše, že informace ve zprávě nejsou technická doporučení ani vyjádření faktů a nenesou odpovědnost za jejich pravdivost. Dokonce je tam napsáno, že společnost CTS může mít přímý nebo nepřímý finanční zájem na postavení hodnocených produktů (spíš produktu) na trhu. Nejen že nepopírají střet zájmů, oni ho dokonce potvrzují. I kdyby byly tyto chyby skutečná akutní hrozba, tato společnost je odpad. Společnost provádějící bezp. audity musí dát ruku do ohně za své analýzy, ne od nich dávat ruce pryč a schovávat se za . Samotná zpráva není na webu jejich společnosti (HTTP://http://cts-labs.com/ - pozor, nemají ani httpS), ani na webu amdflaws.com, nýbrž na jakémsi webu safefirmware.com, který se zdá být pouhým úložištěm několika souborů bez obsahu.
"...The report and all statements contained herein are opinions of CTS and are not statements of fact...";
"...CTS does not accept responsibility for errors or omissions...";
"Although we have a good faith belief in our analysis and believe it to be objective and unbiased, you are advised that we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports" -
MarSik (neregistrovaný)
I nová a nezkušená společnost může objevit chybu. Případně byla založena, aby neprozradila skutečného autora. A ten zbytek je čistá právničina a ochrana proti žalobám, proti kterým se právě nová malá společnost může těžko bránit. Konflikt zájmů může být i vlastnictví akcií (vyloženě zmiňují securities).
Pokud ty chyby jsou skutečné (a AMD očividně potvrzuje, že ano), tak bych v tom nehledal žádnou konspiraci.
-
David (neregistrovaný)
I nová a nezkušená společnost se může řídit pravidlem responsible disclosure, pokud jí ovšem nejde primárně o to vyvolat hype a zviditelnit se na základě špatně prověřených teorií.
-
Lol Phirae (neregistrovaný)
Tohle je úplně zcestný argument. Za dobu informačního embarga si na tom nemusí namastit kapsu jen ten management výrobce děravého produktu, ale taky třeba obchodníci s exploity (viz nedávný článek o ksindlu Hacking Team), přičemž uživatel v rámci bohulibých úmyslu "chráněný" tím responsible disclosure nesmyslem o díře nemá ani ponětí a nemůže se bránit nijak. V případě Meltdown/Spectre si navíc spousta lidí nakoupila za drahé peníze v zásadě neopravitelný hardware, který by si třeba jinak nekoupila a výměnu HW odložila třeba o rok.
-
Lol Phirae (neregistrovaný)
Ne, protože nikdo neví, jestli tu samou díru neobjevili nebo nekoupili od někoho jiného už dávno předtím. (Ve skutečnosti drtivá většina těch jejich exploitů, co se proflákly při té poslední aféře, byly prastaré díry v produktech Adobe, MS apod.) Akorát to prodlužuje dobu, kdy uživatel děravého produktu nic neví.
-
Ondra Satai NekolaZlatý podporovatelLol - ne.
Hlavne to nemusis stavet jako dva extremy, kde je nutne vybrat jeden. Z toho, ze ti prijde pulkrok jako prilis zdaleka neplyne, ze by den byla lepsi prodleva.
-
654 (neregistrovaný)
Aspoň si před zveřejněním měli počkat na stanovisko AMD, nebo to měli poslat na prověření třetí společnosti, která si za správnosti svých zjištění bude stát. V celém případu CTS a AMDFLAWS mi prostě v mém podraz-radaru vyskakuje jeden červený praporek za druhým. Pokud by jim AMD vůbec neodpověděla, pak by to klidně mohli zveřejnit. Už se to stalo (myslím, že snad minulý půlrok?). Výrobce si odmítal připustit bezb. díru, neodpovídal a tak to po týdnu zveřejnili. Ale to byla jiná situace, byla to jediná možnost, jak výrobce dotlačit k opravě, když ostatní metody selhaly.
Minimálně extrémní zveličení problému a přehnaná medializace tu existuje. Je jedno, jestli je to s cílem poškodit AMD nebo třeba získat mediální pozornost pro CTS-Labs. možná to s podnikáním myslí upřímně a vážně, ale CTS vykročila špatným směrem a ztratila reputaci a důvěryhodnost dřív, než ji vůbec měli.
