<div dir="ltr">On Sat, Aug 17, 2013 at 9:53 PM, Kousuke Ebihara <span dir="ltr"><<a href="mailto:kousuke@co3k.org" target="_blank">kousuke@co3k.org</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Hi,<br>
<div class="im"><br>
> I'd like to propose a method of how to report security issues,<br>
<br>
</div>Marco, it is very good attitude.<br>
<br>
In the usual case, as in RFC 2142, <a href="mailto:security@example.com">security@example.com</a> is good place to report security issues, however you have already this named list for *protocol level* security issue [1]_ (and this archive is published [2]_ ).<br>
</blockquote><div><br></div><div>one note: there's no reason security@ can't do double duty. Unless you make it really clear of a web page like /security/index.html or something people will probably email it there anyways.</div>
<div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
Using security flag in launchpad looks like good, but it might be difficult for some of security reporters to use, so I recommend you to write a little detailed manual for how to report.<br></blockquote><div><br></div><div>
Problems with this is 1) is it secure? 2) is it easy to do properly?</div><div><br></div><div>If someone wants to report a serious 0day issue and keep it embargoed, encrypted email is usually the best,. I hate, hate, hate, having to contact upstreams through their bug trackers where I have no idea who can see the "private" or "Security" bug I'm filing (my day job is Security Response Team @Red Hat, so I do a lot of this, trust me, email is best). </div>
<div>  </div></div><div><br></div>-- <br>Kurt Seifried<br><a href="mailto:kurt@seifried.org" target="_blank">kurt@seifried.org</a>
</div></div>