Kai schimpt über Firefox - IDN - 0 Info - 0 Transparenz - und er hat Recht mit seinem Rant. Von kommerziellen Providern ist man ja dieses Security-Gemauschel gewöhnt, aber bei Open-Source-Projekten nervt es mich auch jedes Mal ganz besonders. Wann kapieren die Leute endlich mal das nur eine frühe Disclosure den Usern überhaupt die Chance gibt sich zu sichern? Geheimhaltung von Fehlern basiert auf der absurden Annahme das man der erste sei der diesen Fehler bemerkt hat. Was schlicht albern ist: ein Blackhat der diesen Fehler bemerkt wird ganz sicher nichts an die grosse Glocke hängen sondern diesen Fehler so lange wie möglich ausnutzen. Und damit profitiert von einer zu langen Geheimhaltung nur derjenige, dem man nicht helfen sollte.
Im Fokus der Überlegungen rund um Security muss der Benutzer stehen - und zwar der mündige Benutzer, der in der Lage ist die Informationen in sinnvolles Handeln umzusetzen. Den unmündigen Benutzer scherts eh nicht, der klickt auf alles. Aber ein Sysadmin der ein Problem kennt kann zumindestens durch eigene Aufklärung seiner User dazu beitragen das diese vielleicht für eine gewisse Zeit etwas vorsichtiger sind. Ein nicht informierter Sysadmin hat dazu nicht mal die Spur einer Chance.