"Ez esetben lehet szív a user, de legalább biztonságna tudhatja a dolgait."
Usere 99,9%-át kurvára nem fogja érdekelni se nem értékelni.
"Ez esetben lehet szív a user"
Nem lehet, biztos. És ha mondjuk emiatt az usernek lesz egy _biztos_ bevételkiesése mert mondjuk lelőtted 2 napra a levelezését/webshopját/akármijét és emiatt van neki bevételkiesése, telibe fogja szarni a _lehetséges_ támadást. Vagy enduser oldalról: valami olyan szolgáltatást nem ér el, amiért fizetett, morcos lesz.
"akkor a fejlesztőnek szintén van ideje reagálni"
Akkor rohadtul nem, ha egyből publicba megy a hiba.
"(hibás a kód, illik javítani)"
Igen, illik. Másik oldalról meg vannak hibák, amik nem csak annyi, hogy két sort módosítani kell a rendszerben, hanem mondjuk komplett protokolt, mert koncepcionálisan lett elrontva valami akár tervezéskor, akár későbbi áttervezéskor. És ez halmozottan hátrányos, ha mondjuk sok usernek/rendszernek kell tudnia együttműködni ez idő alatt. Olyankor még a 90 nap is kevés lehet és nem azért, mert hanyag a fejlesztő, hanem mert sok idő minden useren végigvinni a módosítást. Kiváltképp akkor, ha mondjuk te csak egy protokollt és egy szolgáltatást adsz csatlakoznia már az usernek kell hozzá. Ott nem csak arra kell figyelni, hogy te mikor készülsz el a módosítással, hanem, hogy az összes többi user is mikor tud elkészülni vele.
"Ha viszont nem hozza nyílvánosságra"
Miért kell nyilvánosságra hozni? Miért nem a szállítónak és/vagy a fejlesztőnek szól? Komolyan nem értem... ha az ügyviteli rendszerünkkel van valami problémám, nem a hupon keresek rá megoldást, hanem a supportjukon, ha meg nem adnak, ott verem az asztalt.
"itt még mindig van esély, hogy egy etikátlan hacker is megtalálja a sebezhetőséget"
De ember, mikor fogja hamarább megtalálni? Ha ott a hiba valahol elrejtve vagy ha még az orra alá is tolod? Ennyire nem lehet nehéz ezt az apró különbséget megérteni. Igen, fennáll a veszélye, hogy egy blackhat is megtalálja. De mindenképp több, ha a fejlesztőn és a megtalálón kívül még tud más is róla. Ezt miért olyan rohadt nehéz megérteni?
"Egy dolgot lehet tenni, megelőzni a bajt."
Azzal, hogy mindent egyből publikáltatni akarsz, azzal csak tetézed.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™