Eben musste ich einen kleinen Satz aus einem trigami-review löschen, weil er gegen deren AGB verstößt. Diese besagen, dass im bezahlten Review Bemerkungen über trigami oder andere nicht relevante Themen vermieden werden sollten. Meinetwegen! Dann poste ich die Message eben in einem Nicht-Review-Post, wenn schon die AGB so schwammig ("vermieden werden sollten") und trigami so pingelig ist.

Eigentlich wollte ich nur erwähnen, dass ich bereits 4 Angebote von trigami abgelehnt habe, weil diese einerseits nicht zum Thema dieses Blogs passten und andererseits nicht unbedingt mit meinen Werten übereinstimmten. Dementsprechend freute ich mich auf dieses Review, da es nach ein wenig Abwechslung klang.

So, war das jetzt so schlimm? Mein Gott, manchmal gibt es wirklich unnötig Trara um nüscht…

Eine ähnlich komische Reaktion erhielt ich damals, als ich eine Sicherheitslücke veröffentlichte, bevor trigami sie fixen konnte. Eigentlich Gang und Gäbe, aber trigami machte auf beleidigte Leberwurst. Schade eigentlich, ich finde trigami nämlich wirklich toll und es macht Spaß über neue Dinge berichten zu dürfen, redaktionelle Freiheit zu genießen und dafür auch noch entlohnt zu werden. Ich mache jedenfalls weiter, auch wenn ich den Support von trigami nun mit anderen Augen sehe.

Hallo Andreas

Vielen Dank für das Feedback. Du hast recht, dass die Regeln noch ziemlich schwammig sind. Wir werden das gerne verbessern und noch klarer machen.

Was die Regeln anbetrifft müssen wir leider streng sein und sie durchsetzen, sonst hätten sie keinen Zweck. Dass das nicht immer Spass macht, gehört leider dazu.

Was die Sicherheitslücke anbetrifft waren wir nie beleidigt, im Gegenteil sind wir um jede Rückmeldung froh. Nur sollten sicherheitskritische Dinge wenn möglich per E-Mail an uns geschickt und nicht sofort veröffentlicht werden. Es ist nicht die feine Art, noch nicht behobene sicherheitskritische Bugs zu veröffentlichen. Das war unsere ehrliche Kritik an Dich – denn E-Mails kommen an und werden gelesen. Es gibt bei solchen Dingen keinen Grund, unnötigen öffentlichen Druck auf uns auszuüben. Das kann man gerne machen, nachdem wir auf 5 E-Mails und 10 Telefonate immer noch nicht geantwortet haben – aber das wird nicht vorkommen, ausser wir sind im Urlaub :-).

Viele Grüsse
Remo

Dass ihr streng durchgreifen müsst ist klar und verständlich, aber dann bitte mit fassbaren (!) Regeln und bitte mit einer Information an die Kunden. Die Information, dass diese neue Regel erst gestern eingeführt wurde, hätte problemlos auch per Mail an alle Kunden geschickt werden können (vielleicht sogar müssen). Ich prüfe euren Blog nicht täglich und werde auch in Zukunft nicht alle AGB täglich überprüfen, rechtliche Neuigkeiten für Kunden also bitte per Mail.

Und was die Sicherheitslücke betrifft, hatten wir bereits ja schon alles geklärt und DOCH es gab von einem anderen Mitarbeiter (als Dir Remo) eine sehr merkwürdige Mail zu dem Thema, in der ich mich angegriffen gefühlt habe und einen bitteren Geschmack hinterlies. Ich sehe es keineswegs als unfeine Art sicherheitskritische Bugs zu veröffentlichen, zumal diese NICHT kritisch war. Ihr habt die Lücke schnell geschlossen und das sieht auch jeder, Positiv-Werbung für euch, was wollt ihr mehr? Hätte ich die Lücke veröffentlicht ohne euch bescheid zu geben, könnte man vielleicht von unfeiner Art sprechen, aber so?

Hallo Andreas

Du hast recht. Einen regelmässigen Newsletter mit allen wichtigen News sollte es geben.

Die als merkwürdig aufgefasste Mail im Fall der Sicherheitslücke tut mir Leid. Ich bin sicher hier handelt es sich um ein Missverständnis. In Zukunft bitte ich Dich, Lücken immer zuerst privat an uns zu melden und dies nicht gleichzeitig zu bloggen. Wenn wir tagelang nicht antworten, darf der Druck gerne erhöht werden. Aber wie gesagt sind wir sehr gut erreichbar und es kann äusserst fatal für ein kleines Unternehmen sein, wenn Sicherheitslücken publik gemacht werden. Ich hoffe Du verstehst das.

In diesem Sinne weiterhin viel Spass mit trigami
Remo

>>Eine ähnlich komische Reaktion erhielt ich damals, als ich eine Sicherheitslücke veröffentlichte, bevor trigami sie fixen konnte.

Du hast es veröffentlicht, bevor Du eine E-Mail geschrieben hast. Ich wäre nicht unglücklich, wenn Du das im obigen Blog Beitrag korrigieren würdest.

Woher nimmst Du die Gewissheit, dass es keine sicherheitsrelevante Sache ist? Woher nimmst Du die Gewissheit, bevor Du mir mailst?

Ich habe mich fürchterlich über Dich aufregt, weil ich recht sicher war in Deinem Blog gelesen zu haben, dass Du Informatik studierst. Mir haben die Profs geraten nicht aus Resultaten von Black-Boxes deren Innerers interpretieren zu wollen.

Ich will nur, wie schon privat kommuniziert, dass Du mir die Mail schreibst bevor Du den Blog Beitrag veröffentlichst. Dazu zwingen kann ich Dich offensichtlich nicht, aber ich denke es sollte recht einfach zu verstehen sein, wieso Du mit Deiner Aktion bei mir einen schalen Nachgeschmack hinterlassen hast.

Wenn Du wirklich denkst, dass es kein Problem ist sicherheitskritische Bugs zu veröffentlichen, ohne den Betreffenden vorher zu informieren, dann sind wir schlicht unterschiedlicher Meinung. Es kann durchaus sein, dass sie Dir an der Uni ganz andere Sachen erzählt haben als mir, aber verstehe bitte, ich konnte nicht glauben, als ich die Mail schrieb die Dich angriff, dass Du es wirklich ganz normal findest Sicherheitslücken zu publizieren, bevor Du sie meldest.

Und fürs Protokoll, der Bug hatte rein gar nichts mit opt-in zu tun.

Ich behaute das ist nicht gang und gäbe.
http://www.golem.de/0507/39382.html
Der Typ gibt Oracle 650 Tage – soviel Zeit verlange ich nicht. Aber wie wärs mit 24h, bevor Du das einfach veröffentlichst? Wieso denkst Du, dass das gang und gäbe ist?

Ich habe mich auch genervt – um ganz offen zu sein – weil ich dachte, dass Du das nur sofor postest, weil Du der erste sein willst und die Story in der Blogosphäre leaden kannst. Das musste ich so interpretieren.

Versteh mich nicht falsch. Tu was Du willst und ich bin Dir auch weder böse noch hab ich das Recht Dir vorzuschreiben was Du darfst und was nicht, aber wo ich herkomme (die nette kleine Schweiz, Uni Basel) ist das was Du getan hast ein No-go.

>>Ich sehe es keineswegs als unfeine Art sicherheitskritische Bugs zu veröffentlichen, zumal diese NICHT kritisch war.

Ich hab jetzt begriffen, dass Du so denkst und werde auch nicht mehr vom Stuhl fallen, und sicherlich versuchen nettere Mails zu schreiben, aber ich erlaube mir noch folgende Links zu setzen:
http://www.faqs.org/rfcs/rfc1281.html
http://www.cert.org/tech_tips/incident_reporting.html
Ich kann mir einfach nicht vorstellen – obwohl sich CS rasend weiterentwickelt – dass man das Common Understanding geändert hat, seit ich das letzte mal nachgefragt hab.

Tut mir leid, wenn ich Dich an irgendeiner Stelle beleidig hätte, das war nie meine Absicht.

Ok, ich habe gerade nicht viel Zeit zum Ausführen, deshalb stichpunktartig meine Reaktion:

1) Der Post kam nach der Mail, da bin ich mir gewiss. Das Postdatum/zeit spricht von 8 Minuten vor der Mail, doch leider ist die Uhrzeit meines Servers verstellt (und ja, ich habe seit damals den Server (nicht aber den Hoster) gewechselt und eine andere, neue Zeitverschiebung).

2) Das Oracle-Beispiel zeigt ja genau das, was ich schon seit damals an Deinen Argumenten kritisiere: es war ein kleiner Bug, nichts wichtiges und ja ich KANN das beurteilen, da ich sowohl Sicherheitszertifikate habe als auch mich in der PHP-Entwicklung auskenne. Mir war klar, dass ein simpler Output eines Strings mittels Entfernen 1 (!!!!!!) Zeile Code eliminiert werden kann.

3) Ich habe nie behauptet, dass das Problem DURCH Opt-in sondern BEI Opt-in auftritt. Blackbox und Inneres hin und her, ich habe im Posting doch gar nicht die Ursache auch nur versucht zu ergründen! Ich habe nur das Problem am Äußeren der Blackbox festgestellt. Erst vor ein paar Sekunden habe ich in Punkt 2 eine vermeintliche Ursache genannt und auch wenn diese falsch wäre, darf ich doch wohl Vermutungen anstellen oder nicht? Zumindest zu ein paar Teilen kenne ich diese Blackbox und diese lassen Rückschlüsse zu, wenn auch nur in begrenztem Maße, aber Debugging-Rückstände erlaube ich mir als Programmierer doch zu erkennen.

4) Mir ist Leading in der Blogosphäre VÖLLIG egal, ich werde nie A-Blogger werden und das will ich auch nicht.

>>es war ein kleiner Bug, nichts wichtiges und ja ich KANN das beurteilen, da ich sowohl Sicherheitszertifikate habe als auch mich in der PHP-Entwicklung auskenne

Machen wir uns zusammen ein paar Gedanken:

1. Was hast Du gesehen, was war die Ausgabe?
2. Was war in dieser Ausgabe vorhanden?
3. Was wäre passiert, wenn jemand die Passwortwiederherstellung auf eine E-Mail eines Administratoren ausgeführt hätte?

Die ersten beiden Fragen hast Du beantwortet [1], die dritte folgt sofort und wirft die Frage auf ob Du die Situation wirklich richtig eingeschätzt hast.

>Sicherlich nicht sonderlich sicherheitskritisch [1]
Nunja, es wäre niemand gestorben, also kann man die Aussage durchaus stehen lassen, wenn man es mit einem Selbstmordattentäter vergleichen.

8 Minuten vorher? In Deinem Mail war der Link auf den Beitrag?!?

Dass Du dann dafür sorgst, dass jeder der bei technorati trigami eingibt die beiden ersten Fragen von Dir beantwortet kriegt erhöht leider die Wahrscheinlichkeit, dass einer davon von alleine auf die dritte Frage kommt…

Ich hab grad meine Mail nochmal gelesen. So unnet fand ich das gar nicht. Ich wollte Dir beileibe nicht ans Bein pinkeln, ich bin Dir sehr dankbar, Du hast einen schlimmen Bug gemeldet. Danke.

Versteh ich das richtig, wenn Du den möglichen Schaden auf hoch taxiert hättest, hättest Du es nicht direkt gepostet?

Die Schwere eines Sicherheitsloches ist nicht der Aufwand es zu flicken, sondern der Schaden, der entstehen kann.

[1] http://www.awokenmind.de/2007-04-30/trigami-und-opt-in/

PS: Deine Suchbox gefällt mir super, aber ich würd noch einen kleinen Button rechts hinmachen (z.B. die Lupen Graphik), weil nicht jeder sofort begreift, dass man Enter pressen muss.

Und Du bist mir sicher keine Rechenschaft schuldig, also kannst Du mir erst in einem Jahr oder nur in Stichworten antworten, wenn schon schuld ich Dir noch n Bier für den Bug… 😉
Nichts für ungut, wirklich.

Also erst einmal Danke, dass wir jetzt wieder normal miteinander reden und nicht unnötig die Kompetenz des Anderen in Frage stellen.

Die 8 Minuten waren die Zeitverschiebung Mail< ->Post. Der Post ist auf 8 Minuten VOR der Mail datiert, was natürlich nicht stimmt, sonst wäre der Link dorthin nicht in der Mail vorhanden. Tatsächlich habe ich Mail und Post parallel verfasst und dann am Ende vom Post den Link in die Mail eingefügt. Dazu dann gleich die Antwort auf die Frage nach dem Schwierigkeitsgrad: ja, wäre es sehr gravierend gewesen, hätte ich ERST euch kontaktiert, dann gepostet. Ich finde übrigens, dass nicht nur der Schweregrad des Schadens allein den Grad des Lecks angibt, sondern von Schaden UND Grad des Lösungsaufwands abhängig ist. Sehr großer Schaden und 5sek Problemlösung könnte man mMn gleichsetzen mit geringem Schaden, der aber monatelang nicht gefixed werden kann. Denn die Anzahl der Angriffe (solange dies möglich ist) kann auch stark in den Schaden reinspielen. Vermehrte aber für den Schadenträger günstige Angriffe können tief ins Portemonnaie greifen.

Ich habe auch den genauen Debug-Output nicht im Kopf, aber ich erinnere mich daran, dass lediglich der VALIDIERUNGS-Link eines NEUEN Users dort stand, keine Möglichkeit zur Passwortwiederherstellung eines bestehenden Users. Frage 3 ist also nicht wirklich relevant, weil unmöglich. Kann mich aber auch irren.

Zur „unnetten“ Mail: ich fand es einfach aufdringlich, dass mir jemand auf eine Mail antwortet, die nicht ihm, sondern jmd anders galt (ich schrieb Remo an und erhielt von ihm UND Dir Antwort) und mich dann gleich noch du’zt. Auch finde ich Aussagen wie „Nein, das macht man nicht.“ sehr bevormundend und dafür bin ich schon zu alt 🙂 Außerdem lese ich gerade, dass Du mir damals zugestimmt hast, die Lücke wäre nicht gravierend gewesen…

PS: Den Suchbutton überlege ich mir, klingt vernünftig.