Leiden in last door lastig lek

Geplaatst door Danny Lagrouw vr, 11 aug 2006 03:31:00 GMT

Bij alle opschudding over een flink lek in Ruby on Rails, valt op dat de eigenlijke opschudding vooral te maken heeft met de houding die het Rails core team innam ten aanzien van het lek. Aanvankelijk werd alleen een nieuwe upgrade (1.1.5) gepubliceerd, met de mededeling dat details over het lek pas na een tijdje openbaar zouden worden gemaakt. Dit om mensen de tijd te geven om de upgrade te installeren, voordat misbruik gemaakt zou kunnen worden van de informatie over het lek. Deze houding heeft zich echter nogal tegen het core team gekeerd. Ten eerste bleek een dag later dat Rails 1.0 (en eerder) en 1.1.3 geen last hadden van het lek; gebruikers van deze versies hadden zich dus ten onrechte zorgen gemaakt en onnodig veel tijd besteed om te upgraden naar 1.1.5. Bovendien bleek dat met 1.1.5 nog niet het hele probleem was opgelost, waardoor 1.1.6 snel volgde. De 1.0 en 1.1.3 gebruikers waren door de onnodige upgrade dus feitelijk in een minder veilige situatie terechtgekomen.

De meningen in de community zijn verdeeld: kun je beter zo snel mogelijk alle details openbaar maken (waardoor het probleem sneller want door meer mensen kan worden opgelost, maar hackers ook meer kans krijgen)—of beter eerst een patch of upgrade uitbrengen en daarna ‘full disclosure’ geven? De gang van zaken in de afgelopen dagen lijkt voor het eerste te pleiten…

(Overigens draait RubyEnRails.nl, dankzij Typo, nog met een behoorlijk antieke versie van Rails, en lijkt dus veilig. In het diepste geheim wordt momenteel gewerkt aan een eigen server voor onze site—meer hierover later).