LINUX.ORG.RU

Mozilla повышает вознаграждение за найденные уязвимости до 3000$

 , , ,


0

0

Mozilla повысила вознаграждение за обнаруженные пользователями уязвимости, касающиеся безопасности, ровно в 6 раз: с $500 до $3000.

Получить вознаграждение можно, находя уязвимости не только в браузере, но и в продуктах на основе движка Mozilla, т.е. в Thunderbird и Firefox Mobile (в том числе в бета-версиях и релиз-кандидатах).

Кроме Mozilla, подобную систему поощрения имеет и Google. За найденные уязвимости в Chromium поисковый гигант готов платить в среднем $500, а за серьезные — до $1337.

Кроме этих двух компаний ни один другой производитель ПО не занимается подобной мотивацией специалистов по безопасности.

Но на подобную форму сотрудничества с добровольцами уже постепенно переходят разработчики систем защиты. Например, так поступают компании TippingPoint и VeriSign. Данная тенденция наверняка даст толчок в формировании монетизированной площадки для применения своих знаний специалистам по сетевой безопасности.

>>> Подробности

а последний абзац даже я не распарсил…как бы его по-русски сделать?

DoctorSinus ★★★★★ ()
Ответ на: комментарий от DoctorSinus

> как бы его по-русски сделать?
на такую систему перешли эти. Такая форма даст толчок. Всё ж просто

impr ()

Бессмысленные трепыхания. Если код пишут обезьяны, то никакая скорость реакции, никакие поощрения и прочие полумеры результата не дадут.

Неужели до них это до сих пор не дошло?

AX ★★★★★ ()
Ответ на: комментарий от AX

> Бессмысленные трепыхания. Если код пишут обезьяны, то никакая скорость реакции, никакие поощрения и прочие полумеры результата не дадут.
Что-то я не распарсил твою мысль о обезьянах. Поощрения нужны

impr ()
Ответ на: комментарий от impr

>Что-то я не распарсил твою мысль о обезьянах.

Всё просто: фаерфокс уже который год лидирует по количеству найденных уязвимостей, с большим отрывом от преследователей. Вот тормозилла и пытаются повысить безопасность, приманивая людей [отностительно] большими деньгами.

Только лучше бы они эти деньги на зарплату программистам потратили, толку больше было бы.

AX ★★★★★ ()

А были ли зафиксированы попытки добавить код с уязвимостью и потом самому же сообщить об этой уязвимости, чтобы получить деньги?

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Ttt

Не думаю. Так как сразу станет ясно кто этот код писал. Я написал, я сообщил - разве мне дадут 3 тыщи? Скорей подвесят за одно-два места

impr ()
Ответ на: комментарий от impr

>Так как сразу станет ясно кто этот код писал. Я написал, я сообщил - разве мне дадут 3 тыщи?

А у каждого желающего добавить код спрашивают паспорт?

Ttt ☆☆☆☆☆ ()

>формировании монетизированной площадки для применения своих знаний

наверное так лучше:

формировании легальной монетизированной площадки для применения своих знаний

bender ★★★★★ ()
Ответ на: комментарий от Ttt

>А у каждого желающего добавить код спрашивают паспорт?

Наверно, там есть какая-то система логов, которая учитывает, кто и что добавил. Хотя даже в этом случае никто не мешает скооперироваться на пару.

anonymous ()
Ответ на: комментарий от Ttt

>А были ли зафиксированы попытки добавить код с уязвимостью и потом самому же сообщить об этой уязвимости, чтобы получить деньги?

оставайтесь на месте, за вами уже выехали

registrant ★★★★★ ()

и они заявляют что у них самый безопасный браузер

devnullopers ()
Ответ на: комментарий от devnullopers

я еще не жаловался. хороший браузер. от хрома с оперой тошнит.

bernd ★★★★★ ()
Ответ на: комментарий от AX

О да. Великий учитель знает, как непременно было бы лучше и с большим толком. Как у Обезьян на зарплате, ограждающих своё ситечко флёром надёжности по принципу Неуловимого Джо. Мы люто и неистово завидуем Вашей твердокаменности. Ведь найденная (и исправленная) уязвимость — это ужасно! Куда прекраснее, если таких находок нет. Авось и злоумышленники проглядят, не заметят.

anonymous ()

Да, по всей видимости это дешевле чем платить зарплату штатным спецам.

XVilka ★★★★ ()

AFAIR гугль тоже повышал недавно размер вознаграждения до $2000.

fenris ★★★★★ ()
Ответ на: комментарий от AX

>Всё просто: фаерфокс уже который год лидирует по количеству найденных уязвимостей, с большим отрывом от преследователей. Вот тормозилла и пытаются повысить безопасность, приманивая людей [отностительно] большими деньгами.

Потому и лидирует, что ищут и исправляют. В остальных, увы, все уязвимости остаются.

LightDiver ★★★★★ ()

чтоли себе багов в мозиле поискать..

Komintern ★★★★★ ()

они и 100$ не выплатили за баг с jscript'ом еще в далеком 2005 или около того

namezys ★★★★ ()

Баян. Но опеннете уже хрен знает когда было

BliecanBag ()
Ответ на: комментарий от AX

Ну это как то не вяжется с текстом новости. Если бы у меня дома было полно тараканов, то я бы врядли поднимал плату за то что кто то их там найдёт.

GoNaX ★★★ ()
Ответ на: комментарий от anonymous

> Хотя даже в этом случае никто не мешает скооперироваться на пару.

Code Review никто не отменял. Вряд ли новому разработчику сразу дадут доступ к репозиторию на запись.

sjinks ★★★ ()
Ответ на: комментарий от GoNaX

> Если бы у меня дома было полно тараканов, то я бы врядли поднимал плату за то что кто то их там найдёт.

А если бы СЭС выносила мозг за каждого найденного таракана?

sjinks ★★★ ()
Ответ на: комментарий от AX

лидирует по количеству найденных уязвимостей


Ты так говоришь, будто это что-то плохое. Уязвимости есть веде (да, даже в гуглохроме), но в фф их находят на порядок быстрее.

Viglim ()

Many thanks to Linspire and Mark Shuttleworth, who provided start-up funding for this endeavor.

Во как.

Zubok ★★★★★ ()

> Кроме этих двух компаний ни один другой производитель ПО не занимается подобной мотивацией специалистов по безопасности.

Это ложь, кнут платит за найденные баги в tex'e

anonymous ()

Какая-то очевидная фигня. Ни один вменяемый человек за такие подачки работать не будет. На такой «монетизации знаний» не проживешь. «Специалистам по безопасности» проще продать эту самую уязвимость ботописателям за десяток-другой килобаксов - вот это будет профит, да.

andyTon ()
Ответ на: комментарий от Dimka-Bo

> Ну да, и много там их нашлось?

Пару раз баги точно находили и он выплачивал, то что больше не смогли найти, то это пожалуй говорит о качестве кода

anonymous ()
Ответ на: комментарий от Viglim

>Ты так говоришь, будто это что-то плохое.

Нет, что ты, уязвимости — это просто здорово! :)

Уязвимости есть веде (да, даже в гуглохроме), но в фф их находят на порядок больше.


fixed

на порядок быстрее.


Зашёл на secunia.com и тыкнул наугад в три уязвимости:

http://secunia.com/advisories/39175/

http://secunia.com/advisories/40309/


Статус: Highly critical, даёт доступ к системе. Уязвимы ветки 3.5.x (первая версия вышла в июне 2009 г.) и 3.6.x. Дыра закрыта в 3.6.3 (вышло в апреле 2010), 3.6.4 и 3.5.10 (вышли в июне 2010).

Итого — целый год с голой задницей. :)

http://secunia.com/advisories/37699/

Статус: Highly critical, тоже даёт доступ к системе. Уязвимы ветки 3.0.x (первая версия вышла в июне 2008 г.) и 3.5.x. Дыра закрыта в 3.0.16 и 3.5.6 (вышли в конце 2009).

Итого — **полтора года** с голой задницей.

Ну а то, что баги со статусом Low Тормозилла вообще игнорирует или фиксит ОЧЕНЬ медленно, уже ни для кого не секрет.

Например:
Угон конфидециальных данных: http://secunia.com/advisories/39925/
Подмена содержимого адрессбара: http://secunia.com/advisories/40283/

Вот в этом и вся твоя Тормозилла. :))

AX ★★★★★ ()
Ответ на: комментарий от namezys

они и 100$ не выплатили за баг с jscript'ом еще в далеком 2005

или около того

Ты имеешь ввиду, когда здесь какой-то дятел создал
об этом новость и запостил в неё полное описание
бага? Таким они и не обязаны выплачивать, или ты про
другое что-то?

anonymous ()
Ответ на: комментарий от AX

Ну, да пара критичных багов в фф, и что? Тебе баги гуглохрома показать?

Viglim ()
Ответ на: комментарий от Viglim

>Ну, да пара критичных багов в фф, и что?

Их там НЕ пара, а намного больше, больше чем у кого-то ещё. Я просто выбрал три случайных.

и что?


Да так, ерунда, ничего особенного… :DD

AX ★★★★★ ()
Ответ на: комментарий от Viglim

>Ну, да пара критичных багов в фф, и что? Тебе баги гуглохрома показать?

Спокойно, просто он скромно умолчал о дате их обнаружения, что как бы и есть определяющим в «быстро фиксится».

anonymous ()
Ответ на: комментарий от anonymous

>дате их обнаружения

…которая ни о чём не говорит. :)

Кстати, ты по ссылкам до багзиллы тормозильей добирался? Видел даты открытия и даты фикса? Судя по всему, нет. :)

AX ★★★★★ ()
Ответ на: комментарий от AX

>Кстати, ты по ссылкам до багзиллы тормозильей добирался? Видел даты открытия и даты фикса? Судя по всему, нет. :)

Зачем, ты ж о ней все равно ничего не сказал :)

…которая ни о чём не говорит. :)

А, месье умеет чинить баги до их обнаружения? Тогда вопрос снят.

anonymous ()
Ответ на: комментарий от anonymous

>А, месье умеет чинить баги до их обнаружения?

Нет, месье намекает, что умные стараются с самого начала делать правильно, а не исправлять всё потом, когда через полтора года всё обнаружится.

Сам по себе, без аддонов (баги в которых никто не считает) ФФ невероятно убог. И то, что в нём находят такое гигантское кол-во багов (даже в те времена, когда никаких 20% у этой поделки не было), прекрасно говорит о умении его разработчиков.

Кстати,

просто он скромно умолчал о дате их обнаружения


Ну а то, что баги со статусом Low Тормозилла вообще игнорирует или фиксит ОЧЕНЬ медленно, уже ни для кого не секрет.

Например:


Угон конфидециальных данных: http://secunia.com/advisories/39925/


Подмена содержимого адрессбара: http://secunia.com/advisories/40283/



Если поискать, то найти ещё множество подобных багов, которые не фиксятся (ПОСЛЕ их обнаружения) месяцами. Наверное, угон чужого sessionid — это слишком маленькая проблема, чтобы великая Тормозилла ей занималась.

AX ★★★★★ ()
Ответ на: комментарий от AX

>Нет, месье намекает, что умные стараются с самого начала делать правильно, а не исправлять всё потом, когда через полтора года всё обнаружится.

Ох лол. Стараться-то стараются, да что-то ни у кого не получается.

anonymous ()
Ответ на: комментарий от anonymous

>Стараться-то стараются, да что-то ни у кого не получается.

Валяй, найди вторую уязвимость в djbdns. :)) Может тогда автор сжалится и тоже тебе 1000$ отвалит.

AX ★★★★★ ()
Ответ на: комментарий от AX

>Валяй, найди вторую уязвимость в djbdns. :)) Может тогда автор сжалится и тоже тебе 1000$ отвалит.

Ок, после тебя с моим хелловорлдом. С браузерами всё?

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.