А что такое некачественное ПО? Чем оно по качествам отличается? по каким таким критериям?
Для критериев есть сертификация (та же common criteria). Чем выше тем ПО качественней. Просто и очевидно.

Если Шнайер хочет чтобы разработчики компенсировали возможные потери связанные с некорректным функционированием ПО - то вобщем такие механизмы давно есть и успешно работают в т.ч. и ПО - и называются они ДОБРОВОЛЬНОЕ СТРАХОВАНИЕ ОТВЕТСТВЕННОСТИ.
Сделать его обязательным (законодательно) не очень разумно, во первых вырастит цена на ПО равная этой страховки, а во вторых не сертифицированное ПО просто либо никто не захочет страховать либо цена страховки будет заоблачной и ПО никто не будет покупать.

Одна очевидная проблема тормозящая Linux - те кто способен на нем зарабатывать вынуждены невольно конкурировать между собой.

По международному праву панент нельзя получить на что уже известно. Другой вопрос что об этом могут и не знать. Это как раз камень в огород противником патентов на ПО, пока они с пеной у рта доказывают что патентов не должно быть, крупные компании посмеиваются и патентуют пачками алгоритмы и коды программ... А закон на их стороне.

Этой уязвимости лет 5 не меньше!  Удивительно что все кому не лень пытаются доказать что они обнаружили эту дыру.
Права в данном случае полностью принадлежат автору статьи (статья в разделе конкурс), а его полное право (или неправо) сообщать о том кто впервые обнаружил эту уязвимость.

а вообще наглость поражает - копирайт на уязвимость...

Это откуда такие выводы про безопасность? Сейчас единственный приемлемый критерий по безопасности для программного обеспечения, признаный во всем мире, в т.ч. и Linux сообществом это Common Criteria. И между прочим по  Common Criteria максимальный уровень (EАL4) первыми получили как раз Microsoft. из Linux систем только Red Hat и Suse смогли сертифицироваться по CC, да и только по EAL3 если не ошибаюсь. Другие дистрибутивы даже не пытаются.

Все очень просто. Зачем говорить сейчас, если потом можно будет вкатить многомилиардный иск? Вот за мелкую провинность microsoft заплатила полтора милиарда... Не время об этом говорить. А линукс сообщество понимает проблему и пытается на понт взять Балмера. IMHO не выгорит

А это что приватная? Об этой дыре уже лет 5 как известно. Если не больше.
Кстати в IE 7.0 у меня она не работает.

В том же IE находят огромное число уязвимостей. Прямая атака на IE более эффективна чем такой сложный способ эксплуатации картинок. И эффект на порядки выше будет.

IMHO сделать картинку чтобы она выглядила как картинка в firefox и как скрипт в IE невозможно. Да и шансов что кто то просмотрит картинку напрямую очень мало.

Слишком общая задача. Иногда проще конфиги в XML хранить.

Несколько непонятно о чем статья? О проблема в IE - так она известно давно. ТО что эти картинки Web приложения не фильтруют - но это и не проблема Web приложения отвечать за дыры в в клиентском ПО.

А если это XSS то зачем акцентировать внимание на куки то? В mail.ru, Securitylab.ru и в большинстве других почтовых систем кража куки даже администратора не дает вообще какой либо информации, так как они привязаны к IP и текущей сесии пользователя.

Написать необходимо было о возможности осуществления других типов XSS атак, которые более реальны в данном случае, кроме кражи никому не нужных куки.

Я так и не понял, есть возможность спрятать XSS код в реальную картинку? Похоже нет, что вобщем тоже сильно снижает ценность данной атаки.

Обсуждение статьи Обход фильтрации  загружаемых изображений в ряде Web-приложений для осуществления  XSS атак

Никто не встречал готовых решений по автоматическому абузу?

Предлопожим идет ddos атака с 1000 хостов, нужно по каждому IP сделать whois, выдернуть контакт и написать письмо. Хорошо бы этот процесс автоматизировать...

Никаких. В любом случае ты сооучасник, особенно когда устанавливаешь.  
Можно конечно попытаться прописать что за лицензионной чистотой следит заказчик. Но тут в случае явно пиратских дистрибутивов тоже подставляешься.

Единственный законный способ - не иметь дела с фирмами, использующих нелицензионное ПО.

Какие кнопки?? Если что то не работает пишите с точным описанием проблемы.

market.yandex.ru

такую например:

тута

Ну а не проще контроль сообщений на шлюзе организовать. И ПО есть соответствующее. И не надо думать какая программа у пользователя стоит. Пользователь может и не записывать историю, тогда хрен что нибуть найдешь в таком случае.

У меня флешка со встроенным шифрованием. Аутентификация по отпечатку пальцев. Очень удобно.
1Гб модель стоит где то 900 руб.

Да проблема есть. Откуда взялось хрен знает не могу понять. Вроде бы это глюк SMTP сервера, но там ничегон е изменялось...