Questo è il solito dibattito sulla divulgazione delle vulnerabilità : quando trovi una vulnerabilità, che cosa fai fare con esso? Portarlo subito alla vista del pubblico può essere considerato come "aiutare gli aggressori"; tuttavia, discuterne in privato con gli operatori oi fornitori dei sistemi interessati può diventare spiacevole; in particolare, alcuni venditori o proprietari di server sono inclini a considerare tali avvisi privati come un tentativo di estorsione e a chiamare i poliziotti.
Alcuni ricercatori di sicurezza vogliono soldi dal loro lavoro; molti altri vogliono la fama; alcuni vogliono entrambi. Pubblicare immediatamente la questione della sicurezza è di responsabilità discutibile, ma è "più sicuro" per il ricercatore e ha la più alta probabilità di portare fama (e la più bassa probabilità di portare denaro).
Ad aggravare la questione è l'idea che un "autore di testo in chiaro" è un sito progettato e gestito da persone con una conoscenza solo superficiale della sicurezza delle informazioni; quindi, non ci si può aspettare che reagiscano con la prontezza tecnica e il rispetto reciproco che sarebbe più suscettibile di indurre un esito felice (il ricercatore ottiene i soldi e la fama, la vulnerabilità è fissa, il proprietario del server appare come un buon ed efficiente gestore di sicurezza problemi). Dal punto di vista di un ricercatore onesto, tali siti sembrano guai. Puoi avere una tranquilla chat tecnica con Google o Microsoft; con un sito che memorizza le password in chiaro (e, il più delle volte, le invia via email!), il dramma è una possibilità ben definita.
Come altri hanno notato, la memorizzazione di password in chiaro non rende gli attacchi più probabilmente ; li rendono più devastanti quando si verificano. Gli obiettivi non sono più facili, ma più succosi. In questo senso, PTO non in realtà aiuta gli aggressori.
(La strategia generale dell'OPP deve diventare sufficientemente nota al grande pubblico per poter esercitare una certa pressione sui proprietari dei siti, risultando in definitiva in un Web più sicuro del tutto.Questa è l'educazione attraverso il punto e la vergogna - dovrebbe teoricamente lavorare in un mercato libero capitalista, i clienti sono la forza estrema, ma non vedo che la PTO abbia raggiunto quel livello di notorietà già da tempo: hanno bisogno di un logo, di un sito Web più pulito, di video promozionali e di approvazione di George Clooney, almeno.)