È legale vendere prodotti imperfetti
Lo standard generale per la vendita di prodotti è che devono essere idonei allo scopo per cui sono venduti e pubblicizzati. Non sono tenuti ad essere molto adatti allo scopo. Non sono tenuti ad essere idonei per altri scopi. Di certo non sono tenuti ad essere liberi da tutti i difetti, i rischi e i potenziali abusi - purché siano adatti per uno scopo particolare, è legale venderli.
Ad esempio, è completamente legale vendere porte che possono essere infrante aperte da un adolescente scarno. È del tutto legale vendere blocchi fisici che possono essere raccolti da una forcina. È del tutto legale farlo anche se sei completamente consapevole del fatto che queste vulnerabilità esistono. Queste porte e serrature sono ancora adatte allo scopo anche se pubblicizzate esplicitamente allo scopo di "tenere lontani gli intrusi" - non è necessario che siano perfetti a tale scopo; Va bene produrre e vendere porte fragili e serrature fragili anche se tutti sanno che potrebbero essere rese molto più sicure con alcune modifiche.
Praticamente tutti i software sono rilasciati con bug noti, cioè il sistema di tracciamento dei bug della compagnia elenca molti problemi non risolti di diversa importanza. Ancora una volta, questa è una prova del fatto che la conoscenza dei difetti di per sé non è sufficiente per rendere il software non adatto allo scopo. Anche se rilasciato senza bug noti, nessun software è completamente sicuro - praticamente ogni pacchetto non banale ha avuto più vulnerabilità di sicurezza. Ciò non significa che non siano adatti allo scopo: di certo consentono agli utenti di eseguire attività utili anche se le vulnerabilità non vengono mai corrette, quindi sono adatte allo scopo anche se sono completamente non sicure.
Ad esempio, molti sistemi simili al tuo sistema (come appare dalla domanda) sarebbero abbastanza utili anche se non avessero l'autenticazione any e tutti gli utenti avessero accesso completo. In tal caso sarebbe adatto allo scopo anche con un sistema di autenticazione totalmente difettoso; un po 'di autenticazione è meglio di nessuna autenticazione e nessuna autenticazione sarebbe accettabile in questo caso - non troppo buona, ma accettabile.
Si possono immaginare alcune nicchie di software che non sono assolutamente utili se la loro sicurezza è difettosa. La maggior parte del software non è chiaramente in questa categoria, ma ad es. potrebbe essere la crittografia del disco o il software di gestione password. Tuttavia, anche allora sarebbe una questione di quanto sia severa la vulnerabilità. Come nell'esempio delle serrature fragili, una soluzione di sicurezza imperfetta che protegge da alcuni ma non tutti gli attacchi è generalmente considerata adatta allo scopo.
Etica della vendita di prodotti di bassa qualità
La situazione etica è un po 'diversa dal mandato legale, ma ancora una volta credo che possiamo tracciare paralleli dalla vendita di articoli fisici.
Per ogni tipo di prodotto, i consumatori si aspettano ragionevolmente che ci saranno differenze di qualità a seconda della marca. Alcune scarpe saranno molto meglio di altre, ed è carina; e alcune scarpe saranno molto più economiche di altre, e anche questo è bello - entrambe sono valide scelte per consumatori e produttori.
È una strategia completamente valida ed etica per produrre e vendere articoli di bassa qualità. Ad esempio, qualcuno potrebbe acquistare intenzionalmente un oggetto di bassa qualità, perché è più economico. Ad esempio, qualcuno potrebbe ragionevolmente scegliere un software di bassa qualità, perché è più economico. Le persone possono creare, distribuire e utilizzare software libero che è noto per avere tanto buchi come formaggio svizzero, e semplicemente evitare di usarlo in contesti in cui la sicurezza è importante. Un cliente che ordina uno sviluppo personalizzato può ragionevolmente scegliere di far lavorare il proprio fornitore su nuove funzionalità oltre a correggere i difetti di sicurezza noti: è la loro scelta da fare ed è etico realizzare un prodotto in base a queste priorità.
Ciò che non è etico è ingannare i clienti. Se vuoi pubblicizzare che il tuo prodotto è migliore in termini di qualità rispetto alla concorrenza, allora è etico se è così. Se vuoi pubblicizzare che il tuo prodotto nasconde i dati sensibili dagli utenti locali autorizzati senza le dovute autorizzazioni, allora è etico se è vero. Tuttavia, tieni presente che si tratta dell'etica della pubblicità e della comunicazione - l'atto non etico non è la vendita di software scadente, ma le bugie sul tuo prodotto.
Nel tuo esempio particolare, il modo etico sarebbe quello di garantire che la vulnerabilità sia resa pubblica. In tal caso, i clienti possono prendere una decisione informata su come e se devono utilizzare il prodotto, l'importanza che tale vulnerabilità è per loro e se fa loro una differenza significativa.
Tutto ciò presuppone che stiamo parlando di difetti di varia gravità, non di codice dannoso: posizionare intenzionalmente backdoor è strettamente diverso.