<div dir="ltr"><div>I think a better question is, once a vulnerability has become widespread public knowledge, do you expect malicious actors, malware authors and intelligence agencies of autocratic nation-states to obey a gentlemens' agreement not to exploit something? <br></div><div><br></div><div>There is not a great deal of venn diagram overlap between "organizations that will pay $2 million for a zero day remote exploit on the latest version of iOS" and "people who care about whether Randy Bush recommends them for a job".</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Jan 26, 2019 at 8:16 AM Randy Bush <<a href="mailto:randy@psg.com">randy@psg.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">i just want to make sure that folk are really in agreement with what i<br>
think i have been hearing from a lot of strident voices here.<br>
<br>
if you know of an out-of-spec vulnerability or bug in deployed router,<br>
switch, server, ... ops and researchers should exploit it as much as<br>
possible in order to encourage fixing of the hole.<br>
<br>
given the number of bugs/vulns, are you comfortable that this is going<br>
to scale well?  and this is prudent when our primary responsibility is a<br>
running internet?<br>
<br>
just checkin'<br>
<br>
randy<br>
<br>
<br>
PS: if you think this, speak up so i can note to never hire or recommend<br>
    you.<br>
<br>
PPS: Anant Shah, Romain Fontugne, Emile Aben, Cristel Pelsser, and Randy<br>
     Bush; "Disco: Fast, Good, and Cheap Outage Detection"; TMA 2017<br>
            ^^^^^ :)<br>
</blockquote></div>