Otóż już w pierwszym mailu i wątku była informacja: o tym, że luka istnieje, że dotyczy Coyote (a nie np. zewnętrznej biblioteki) i że została wykryta.
Taka informacja jest o tyle przydatna, że może być impulsem do przeglądu kodu, audytu serwisu, pentestów, itd. I chyba tak to zadziałało, bo kod najwyraźniej został przejrzany :-)
Natomiast szczegółowe podawanie luk na tacy, może spowodować fałszywe poczucie bezpieczeństwa (bo luka została usunięta), zlekceważenie i zaniechanie np. audytów bezpieczeństwa, pentestów, itd., bo przecież informacje o lukach dostaje się za darmo.
Co więcej, przekazanie bardziej szczegółowych informacji mogłoby w mojej ocenie stanowić czyn nieuczciwej konkurencji wobec tych, którzy zawodowo zajmują się bezpieczeństwem i na bezpieczeństwie zarabiają. Czyn nieuczciwej konkurencji polegałby na dostarczaniu za darmo informacji, które normalnie dostaje się np. w ramach pentestów, a więc na pozbawieniu zarobków osób zajmujących się bezpieczeństwem.
Tym bardziej, że rynek związany z bezpieczeństem IT aktualnie prężnie się rozwija i ja nie zamierzam tego rynku psuć.