( SzBlackY | 2018. 10. 08., h – 14:04 )

És az ugye meg van, hogy ezzel nem csak a TP-Linket köteleznél dolgokra, hanem az ő teljes beszállítói láncát: innentől kezdve mondjuk az Atherosnak, Broadcomnak, ... is addig kell támogatni az eszközeit, amíg a _legutolsó_ közvetlen vásárlójának van aktívan támogatandó eszköze. Nem lenne baj, megoldható lenne (bár, nem lennék meglepve, ha a teljes ipar [akik megtehetik, mert _terméket_ ők nem hoznak forgalomba az EU-ban] elzárkózna ettől és mindenki ott állna, ahol a part szakad), de rendesen megdobná az árakat, mert a láncban _mindenki_ minden beszállítójától elvárná ugyanezt és mindenki beárazná a plusz támogatást.

Másrészt meg nagyon fekete-fehérben gondolkodsz: mi minősül biztonságosnak? Mire mondod, hogy biztonságos? Egészen más feltételeknek kell megfelelni a különböző felhasználási területeken. Az pedig, hogy úgy definiáld a biztonságosság fogalmát és a kötelezően javítandó biztonsági hibák körét, hogy egyrészt az ne legyen _mindenre_ ráhúzható (jé, JTAG-gel hozzáférsz a bootloaderhez és olyan kódot injektálsz, amit nem szégyellsz... otthoni környezetben vállalható veszélyforrás, egy kutatóintézet kültéri [így a fizikai biztonsága nem garantálható] eszközénél már nem), másrészt tényleg minden komoly belekerüljön (és ne kelljen utána módosítani, mert akkor kezdődik az, hogy [ugye nincs visszamenőleges törvénykezés jobb helyeken] X gyártási időpont utáni eszközöknél kell csak patchelnünk ezt a sebezhetőséget...)

Van valahol egy arany középút, de lehet, hogy biztosabb lenne a végfelhasználókra tolni a felelősséget (mert amit a megtört eszközük csinál, az az ő felelősségük, tehát nekik kéne rendben tartani), a gyártókat meg csak arra kötelezni, hogy erre felhívják a figyelmet (pl. a setup wizardba építsenek egy e-mail cím bekérő formot, és ha secu bug van [vagy amikor az eszközük támogatása lejár], értesítse a usereket, hogy ez és ez a teendőd).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)