[[日期上一篇] [日期下一个] [线程] [线程下一个] [日期索引] [线程索引这是给予的

回复：裁判URL需要TOU/行为政策

到：Art Manion <amanion@cert.org>
主题：RE：REF URL需要TOU/行为政策
从：kurt seifried <kurt@seifried.org>
日期：2018年6月22日星期五09:15：15 -0600
身份验证重分：spf = softFail（发件人IP是198.49.146.235）smtp.mailfrom = seifried.org;imc.mitre.org;dkim = Pass（已验证签名）header.d = seifried-org.20150623.gappssmtp.com; imc.mitre.org;dmarc = none action = none header.from = seifried.org;
CC：“米拉，托马斯” <thomas.millar@hq.dhs.gov>，”pmeunier@cerias.purdue.edu“ <pmeunier@cerias.purdue.edu>，CVE-编辑板列表<cve-editorial-board-list@mitre.org>
交货日期：6月22日星期五12:05:36 2018
DKIM签名：v = 1;A = RSA-SHA256;C =放松/放松；d = seifried-org.20150623.gappssmtp.com;S = 20150623;h = mime-version：in-reply-to：参考：从：日期：消息-ID：主题：to：cc;bh = deygtn/do/+XCWK7CWRXI8860YTSDIIII1P5+46p+v7m =;b=ejzkZitrK+7vsTmAxBHq33cXUx/Ts7t8GR9NSch3SJDh+YfM90ctixOvnRKXl/gPyY owBRfmyly6bwARQjT6tINZdYGcjZfUVM4pJu6uUjo87WL6UtDK4WOvFUsM0KOXLLP5sJ EhVyYRiGugBO9wSAwOdX1QedyyyJVupepPcVq28mq/oA9WIRpkhzS2So4D5AgmVje2Yx go44I3Pp+yFeqAG5AUSwIKzfpXUMB51mrR3i3lh49RIXckKFo4Omn4snM04Olp52muVY R+yToAXKWLIcu/5e/6a6ToERgcdkSmmW1/2B649GmKYRSR2guNjZmSHB0VrWpOLtPtQt 2Tgw==
陷入困境：<97427903-693E-8BCF-673B-CD23D47F4300@CERT.org>
参考：<CABQVA385IS0MY4ZZL8A8BSBQBJQBJQHXPRWHYR3GXON3GXON3OKZQWRQ@mail.gmail.com> <1529638198.25969.1.camel@cerias.purdue.edu> <7748E4BAEC3B964387F353535351DCBA1F0117EBDACF@d2aseprea010> <<<<CABQVA3_GKACTJXBRKKNPABUFMA5DJE3_-CULFRMUSX0_NBEPRW@mail.gmail.com> <97427903-693E-8BCF-673B-CD23D47F4300@CERT.org>
spamdiagnosticmetadata：NSPM
spamdiagnosticOutput：1：99

我要说的是，我的偏爱将是CVE参考必须公开的政策声明。

话虽如此，我可以看到具有“私人”链接有用的情况，例如像CVE-2009-3555这样的协议级别vuln，如果只有他们的客户才能访问它，那么一个小供应商可能很乐意在其中放置链接。

但是，什么可以阻止所有其他供应商这样做呢？

2018年6月22日，星期五，上午7:39，艺术<amanion@cert.org>写道：

在2018-06-21 23:55，Kurt Seifried写道：
>是的，我单击这些链接，如果我没有麻烦，我无法全部阅读它们，我将CVE请求设置为：lack_ref_url，它们可以提供工作URL ...这不是理想的，但我没有更好的解决方案（好吧，我愿意，但是我还没有实现它，tl; dr：以WGET和快照下载链接）。

尽管我喜欢这个主意，但我怀疑提供给其他人的本地副本违反了TOU。

1.至少一种材料，免费/公共/无限制的URL还是CVE？

2.允许免费但固定（例如，免费登录，单击TOU）URL，但会这样标记吗？

如果世界真的想要CVE ID，他们会做1。其他想减少CVE曝光的人会躲在TOU后面。

＃2的扩展可能是标记或设置CVE条目的状态。没有到罐子的日子，但是“此条目是不完整的，发行人获得了D+通过等级（在美国），但它在语料库中。”不完整可能是针对收抵触的URL/参考或其他问题。

应该发布一些CNA指标，包括不完整的计数/图表（也是公众填充的）。

- 艺术

>在2018年6月21日下午9:40在THU上，Millar，Thomas <thomas.millar@hq.dhs.govthomas.millar@hq.dhs。政府>>写道：
>
>是的，这是不可接受的。关于一个难题：我们如何实施对参考文献的免费和开放访问？
>
> -----原始消息------------
>来自：Pascal Meunier [Mailto：pmeunier@cerias。purdue.edupmeunier@cerias。purdue.edu>]]
>发送：2018年6月21日23:30
> to：Kurt Seifried <kurt@seifried.orgkurt@seifried.org>>;CVE编辑板列表<cve-editorial-board-list@mitre.orgCVE编辑板 -list@mitre.org>>
>主题：回复：REF URL需要TOU/行为政策
>
>我获得了一个登录对话框“使用您的Google帐户登录”，因此它是登录和权利投降，并且是Google，跟踪我查看哪些安全信息，从何时何地，将要组成借助其他分析信息，以及与我与之互动或在同一组织中工作的其他人的个人资料，以及Google知道或可以推断出我们的所有其他知识。
>几乎不需要想象力，这是令人不寒而栗的 - 对于企业，学生，安全研究人员，甚至对于那些好奇并且碰巧在错误的时间查找的人来说。该设置还使Google有可能选择性地提供或拒绝安全信息。
>
>访问CVE安全参考应该是匿名的，并且放弃权利以换取访问权限，因为协议需要问责制。还应在没有跟踪器的情况下提供对安全参考的访问。但是，警务可能很困难和繁重。相比之下，在没有登录和协议的情况下很容易访问，因此我们应该将其最低限制。我非常希望看到为您的两个拟议句子选择的“一定不能”。
>
>帕斯卡
>
>在THU，2018-06-21，19:07 -0600，Kurt Seifried写道：
>>如此真实的示例我有一个CVE请求，该请求具有参考网址：
>>
>>https://issuetracker.google。com/essumy/77809383<https://issuetracker.google。com/essumy/77809383>
>>
>>要求：
>>
>> Google Issuetracker服务条款
>>
>>我承认并同意Google服务条款
>> <https://www.google.com/政策/条款/<https://www.google.com/政策/条款/>>和Google Issuetracker
>>进行政策<https://issuetracker.google。com/术语<https://issuetracker.google。com/术语>>。
>>哪个...我不知道。我不想要需要登录的链接（因为您
>>不能轻松地用工具抓住它们），我觉得这是一样的，
>>也要求人们同意tou（例如
>>要求您放弃自己的第一个出生）并不是真正的犹太洁食。
>>
>>所以我想添加到CVE/CNA文档讨论：
>>
>>我们可以专门根据参考URL做出裁决：
>>
>> 1）参考必须/不应该/应该/不应该/等...需要登录
>>任何类型（甚至免费登录）
>> 2）参考必须/不应该/应该/不应该/等...需要接受
>> tou/行为政策/等。
>>
>>在我心中，我应该能够“http://example.org/refurl/“ 和
>>获取页面。少的东西是不可接受的。但是我也认为
>>董事会应讨论这一点并对其进行规则并进行记录。
>>
>
>
>
>
> -
> kurt seifried
>kurt@seifried.orgkurt@seifried.org>

- -

Kurt Seifried
kurt@seifried.org

参考：
- REF URL需要TOU/行为政策
  - 从：kurt seifried
- 回复：裁判URL需要TOU/行为政策
  - 从：pascal meunier
- 回复：裁判URL需要TOU/行为政策
  - 从：“米拉，托马斯”
- 回复：裁判URL需要TOU/行为政策
  - 从：kurt seifried
- 回复：裁判URL需要TOU/行为政策
  - 从：Art Manion

上一条日期：回复：裁判URL需要TOU/行为政策
上一个线程：回复：裁判URL需要TOU/行为政策
索引：
- 日期
- 线