Apple ed exploit, cacciato un guru della sicurezza

Come al solito si finisce in flame e si svacca paurosamente.

La metà dei commenti parlano di licenziamento quando invece si tratta semplicemente di una sospensione di un contratto per violazione delle condizioni da una delle parti, la violazione è poi perpetrata, è vietato creare APP che cerchino di sfruttare bug o exploit e nel caso involontariamente si dovesse scoprire una falla il regolamento contrattuale prevede che non si possa divulgare la notizia.

Questo non certo (o non solamente) per non "sputtanare" Apple ma anche per tutelare gli utenti almeno finchè la falla non viene tappata.

Non fosse altro che la perdita di credibilità di APP Store oltre a far male ad Apple farebbe male anche agli sviluppatori che traggono profitto dalla vendita delle loro applicazioni.

Sembra poi che la sola Apple abbia un guadagno nell' avere degli sviluppatori quando invece la realtà dei fatti è che per quanto iOS sia un sistema con delle API molto rigide, regole noiose e rompipalle, soggetto al controllo e censura ecc..ecc.. alla fine ha il mercato più florido (in termini di guadagni perché se con i numeri non fai anche i soldi c'è qualcosa che non va...) e gli sviluppatori stessi pagano pure per aderire al programma di sviluppo delle App.

Purtroppo non posso che constatare come la (facile) previsione di Pavek si sia concretizzata nel giro di qualche commento, quasi come prevedere che fazz appena leggerà il commento qui sopra donerà altri giorni di sospensione per violazione del regolamento del forum

È stato fatto presente direttamente a loro, ma dopo 3 settimane dalla segnalazione non è stata ricevuta nessuna comunicazione di "ricevuto" e quindi Miller ha provveduto a far sapere a Forbes i dettagli della questione.
"He told CNET that he alerted Apple to the exploit three weeks ago, however it's unknown whether or not a fix for the problem is included in the new 5.0.1 version of iOS that's currently in testing."
Fonte: http://www.engadget.com/2011/11/07/...p-store-gets-h/

5 gg per polemica pubblica

Mai parole furono più profetiche

Personalmente dubito molto di questo presunto danno. Ogni persona che scrive codice sa che essendo scritto da umani contiene falle sfruttabili. Miller ne ha evidenziata una, ma non si può escludere che ne esistano altre. Considerando che iOs rappresenta una grossa fetta del mercato mobile, nessun sviluppatore che voglia notorietà e/o soldi rinuncia ai clienti per un motivo del genere.
Sicuramente Miller non è stato licenziato. Ma è stata Apple a chiedere ai ricercatori di entrare nel proprio developer program per trovare bachi nel loro software. E facendo così ha dimostrato, imho, che la cosa è stata solo una trovata commerciale. Uno dei motivi di fascino di Apple per gli utenti è la sua invulnerabilità ai virus. Agendo come ha agito, prima ti ignoro se mi comunichi un bug e poi ti perseguo per quanto mi è possibile se lo dici in giro, ha instaurato un clima oppressivo per cui dubito che gli altri ricercatori si lamenteranno se in futuro pur comunicando dei bachi importanti non otteranno una risposta.

Stiamo parlando di cose che qui nessuno conosce.

Non sappiamo cosa abbia scritto il ricercatore alla Apple, o se anche solo abbia azzeccato il destinatario.
Non sappiamo se Apple ci stia lavorando o meno (gran parte dello sviluppo e delle correzioni vengono tenute oscure fino all'ultimo proprio per evitare diffusione di tentativi di dolo).
Non sappiamo se sia in progetto d'essere inserita la patch nel prossimo 5.0.1.

Se non sappiamo nulla... perché accusare?
Non sarebbe meglio prendere semplicemente atto della grava falla e aspettare una pronta risoluzione senza scaricare nel frattempo App di dubbia provenienza?

La falla non è pericolosa per App preesistenti o per iOS in sé. Se non scaricate un'App malevola, non c'è rischio alcuno.
Non sarebbe meglio star più tranquilli?

Forse mi sono spiegato male, riscrivo:

Far emergere falle e pubblicarle può' far venire meno la fiducia nella sicurezza del sistema operativo da parte degli utenti (non degli sviluppatori) il che potrebbe portare una certa % di potenziali clienti a non acquistare dispositivi iOS e quindi inevitabilmente precludersi la possibilità' di comprare APP (su cui guadagno gli sviluppatori).



Ma anche no, se vuoi sviluppare sei tu che chiedi ad Apple di entrare nel programma Developer e paghi anche una quota annuale.
Entrare nel programma di sviluppo significa avere la possibilità' di fare delle App, di poterle pubblicare e vendere su App store, gli sviluppatori non sono ricercatori di falle.



Non c'è molto da instaurare, il regolamento vieta di costruire APP che abbiano l' unico scopo di cercare vulnerabilità e soprattutto qualora ne emergessero di segnalarle e di non pubblicarle.

Questo ha fatto un app apposta per dimostrare la vulnerabilità e per fare il ganzo l' ha postato su Twitter, il regolamento l' ha accettato per entrare nel programma di sviluppo, se non gli stava bene poteva andare da un'altra parte.

Non c'è quindi nessun clima oppressivo, ci sono delle chiare regole che dapprima sono state sottoscritte da Miller e poi non sono state rispettate.

Come al solito il thread e andato in malora. Purtroppo bisogna constatare che ignoranza e odio sono 2 mali troppo diffusi in Italia. L' 80% dei post sono a livello d'asilo nido e gli autori non hanno la minima idea di cosa stiano parlando.
A quelli che sostengono Miller pongo una sola domanda:
Se voi aveste un azienda e un vostro collaboratore esterno venisse a conoscenza di un metodo per violare la sicurezza della vostra azienda e invece di segnalarvelo lo pubblicasse su Twitter spiegando passo per passo come fregarvi voi che fate? Lo premiate?

1. Se la risposta e si evidentemente non siete portati a fare gli imprenditori
2. Se la risposta e no state solo facendo polemiche inutili in questo thread

A voi la scelta.

Aggiungerei che ci sono anche parecchi articoli del codice penale che lo vietano

evitiamo i flame e i bisticci con gli altri utenti, ammonizione