<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Apr 8, 2014 at 10:12 AM, Jonathan Thornburg <span dir="ltr"><<a href="mailto:jthorn@astro.indiana.edu" target="_blank">jthorn@astro.indiana.edu</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On Tue, Apr 08, 2014 at 11:46:49AM +0100, ianG wrote:<br>
> While everyone's madly rushing around to fix their bits&bobs, I'd<br>
> encouraged you all to be alert to any evidence of *damages* <br></div></blockquote><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">[[...]]<br>
<div class="">><br>
> E.g., if we cannot show any damages from this breach, it isn't worth<br>
> spending a penny on it to fix!<br>
<br>
</div>This analysis appears to say that it's not worth spending money to<br>
fix a hole (bug) unless either money has already been spent or damages<br>
have *already* occured.  <br></blockquote></div><br>May I add that the analysis must take into account the ability</div><div class="gmail_extra">to detect an exploit and the value of the exploit over time.</div><div class="gmail_extra">
This might be very hard to detect.</div><div class="gmail_extra"><br></div><div class="gmail_extra">To me the bigger you are or more interesting you are the</div><div class="gmail_extra">more important it is to fix.  Time makes exploited data like</div>
<div class="gmail_extra">a public key a risk for the life of the key and perhaps longer.</div><div class="gmail_extra"><br></div><div class="gmail_extra">This one is especially nasty in that it may have exposed any</div><div class="gmail_extra">
data visible to the ssl-bug compromised process.   In the case of</div><div class="gmail_extra">a private key escape the ability to detect future abuse is near zero.</div><div class="gmail_extra"><br></div><div class="gmail_extra">
Fixing this is important.  Less so for me but astoundingly so</div><div class="gmail_extra">for any host that a CSS might pull from or any host that transacts</div><div class="gmail_extra">money.    To some degree this is a two end problem so both</div>
<div class="gmail_extra">ends need to be aware. </div><div class="gmail_extra"><br></div><div class="gmail_extra">I will be installing patched code as quickly as it shows up.</div><div class="gmail_extra"><div><br></div>-- <br>
<div dir="ltr">  T o m    M i t c h e l l</div>
</div></div>