Mozilla Foundation теперь платит деньги за обнаружение уязвимостей в коде

ну вот - ещё один способ заработать на опенсурсе =)

хороший ход... интересно, еслиб мелко$офт такое сделал - то сколько бы они просадили? :)

А вот мой коллега скептически заявил что ИЕ гораздо надежнее чем мозила якобы его больше атакуют и у него больше пользователей, а если бы мозилу так юзали и так атаковали то она типа вообще бы ркхнула на дно. Думаю что он не прав!

А кто может подсказать примерную статистику, сколько за последний год найдено таких уязвимостей в мозилле?

Ага :-) И после патча для осла выходит чуть-чуть поправленный эксплойт и всё по новой :-))

1) У МС есть неплохой штат тестеров. 2) Они и сейчас платят, но тем, кто поможет взять злых хацкеров и вирусописак. Платят около полумиллиона бачей.

Откуда ты знаешь, что он не прав? Мозиллу ломать - нафиг никому не надо, ибо у нее слишком мало приверженцев (в мировом масштабе). Если бы ее начали активно ломать, еще неизвестно, сколько бы она продержалась.

Ну вот теперь, наверное будет стимул ломать => в итоге получим продукт намного надежнее IE :)

А по-поводу мелкософта и его полумиллиона бачей, ФБР тоже за БенЛадена предлагает кучу бачей, просто заработать на этом сложно, нужно иметь службу похлеще ФБР чтобы его взять ) Тоже самое и с вирусописателями, ну какой чел будет разъезжать по миру и искать вирусописателей? :)

А Мозилла поступило мудро ) Если мозги есть - любой человек без гроша в кармане может заработать 500$ :)

> 1) У МС есть неплохой штат тестеров.
Вот это особенно заметно по качеству их продуктов.

> 2) Они и сейчас платят, но тем, кто поможет взять злых хацкеров и
> вирусописак.
Потому что это проще (и, видимо, эффективнее) чем исправлять дыры в их ПО

>разъезжать по миру и искать

Зачем разъезжать? Сдай своего ближнего и прослявься! Такова идеология коммунистов и майкрософта!

Павлик Морозов

Да ближних то бывает раз-два и обчелся ) Они ж там за идею все ) Ктож в советском обществе работает за деньги? :)

А когда поиск багов происходит за деньги - это, как я уже сказал ранее анонимусом, дешево и сердито. Имеешь компик за 500$ и зарабатываешь 500$ на поисках багов ) Честно говоря таким образом можно заработать не один миллион бачей :)))))

Главное мозгами работать, если они есть.

Что поразительно никто не обратил внимание на спонсоров - Linspire, Inc. (бывш. Lindows) и Mark Shuttleworth. Вот Вам и проклятые комерсанты (Lindows), заработал бабла, часть комюнити на улучшение продукта, а ведь улутченым продуктом попользуемся все мы - халявщики.

ОЧЕНЬ хорошая новость !

Человек с мозгами и без гроша в кармане? ;-) lol ;-)) Говорите, что на опенсурсе можно заработать хорошие деньги и при этом пишете на сайтах donate us $3 ;-)

>Говорите, что на опенсурсе можно заработать хорошие деньги и при этом пишете на сайтах donate us $3 ;-)

нет, гораздо честнее продавать дерьмо за две сотни баков и писать в лицензии "мы вам НИЧЕГО не гаратнируем" =)

> А кто может подсказать примерную статистику, сколько за последний год найдено таких уязвимостей в мозилле?

Уязвимости в мозилле: http://www.mozilla.org/projects/security/known-vulnerabilities.html#mozilla1.7.1

SKYRiDER (забыл пароль)

Так это пофикшенные баги. А сколько их еще неподнятых на поверхность.
Прав человек. Чем меньше пользуются продуктом, тем меньше багов видно. Будет линукс/мозилла/другое больше занимать места на десктопе, вирусы повалят, как из рога изобилия.
Это как неуловимый Джо. Почему неуловимый. Да никто не ловит.

>А сколько их еще неподнятых на поверхность.

угу. только вот выловить баг в исходнике в сто раз проще, чем в бинарнике.т.е. при одинаковом качестве кода эксплодер был бы в сто раз защищеннее чем мозилла. Отсюда вывод - если бы качество кода у эксплодера и мазилы было одинаковым - количественно кол-во багов у этих броузеров было бы равно. В реальности же наблюдается следующая картина - в эксплодере багов в сто раз больше =) А так как это только выявленные баги - следовательно, кол-во реальных багов в эксплодере где-то в 10000 раз больше, чем кол-во реальных багов в мазиле.

Ну, повалят, как из рога изобилия -- но и пофиксят их быстро... А не до следующего мега-релиза или мега-сервиспака локти грызть. А так начинание приветствую, дядька Кнут тоже так делал, дык где в его софте баги? А это вам не 10.24 и даже не 327.68 долларов...

А тестер нужен для того, чтобы проверять работоспособность самого продукта. Они проверили, работает. А дыры в безопасности от того, что слишком тесно интегрировали браузер с системой.

> А тестер нужен для того, чтобы проверять работоспособность самого
> продукта. Они проверили, работает. А дыры в безопасности от того, что
> слишком тесно интегрировали браузер с системой.
Дыры в браузере от того, что его с системой слишком интегрировали?
От этого дыры в системе, в первую очередь.

В браузере не дыры, в браузере "люки" ;) А вот в системе - уже дыры.

>> Вот это особенно заметно по качеству их продуктов.

А что, собственно, заметно? Что продукты качественней? Так ведь оно так и есть. По крайней мере на сегодняшний день.

В чужом глазу, как говорится, соринку видим, а в своём - бревна не замечаем.

Хороший знак. Значит качество mozilla (по оценке самих авторов) уже в некоторой степени позволяет делать подобные вызовы народу :-)

От m$ подобной инициативы никак нельзя ожидать, т. к. людей ищущих дыры в их софте они скорее предпочтут посадить в тюрьму (DMCA и все такое), нежели наградить.

А вообще, это еще один пинок индивидуумам, проклинающим Linspire (Lindows) :-) Надеюсь теперь-то они заткнутся...

а что линдоуз, линдоуз грамотно пиарится.. деньги то небольшие для такой компании..

>Что продукты качественней? Так ведь оно так и есть. По крайней мере на сегодняшний день.

ХВАТИТ КУРИТЬ ЭТУ ДРЯНЬ! =)

>> ХВАТИТ КУРИТЬ ЭТУ ДРЯНЬ!

Разумеется, на всё один ответ.

Microsoft учится, в том числе и на своих собственных ошибках, а опенсорсники только тешат себя аутотренингом про абсолютную безглючность и юзабильность своих фетишей.

В это время кастомер покупает ноутбук с линуксом, тут же его сносит и ставит мастдайку.

>В это время кастомер покупает ноутбук с линуксом, тут же его сносит и ставит мастдайку.

Вот ты мне объясни - чего ты на ЛОРе забыл?

>>В это время кастомер покупает ноутбук с линуксом, тут же его сносит и ставит мастдайку.

>Вот ты мне объясни - чего ты на ЛОРе забыл?

Борец идеологического фронта. Майкрософт башляет, а чо ему? Хех, ничего, вот прижмут вас ребята, заставят платит бабло, за то, что вы у них украли и будет вам гроб с музыкой... Защищайте её, защищайте. Насколько я помню, ко всем, кто поворачивался к Майкрософт лицом, она поворачивалась задом...

http://news.proext.com/sec/14379.html

Ну что, поздравляем с почином? Особенно радует уязвимость Mozilla 1.7.1

Далеко со страници не уходим - сразу снизу: http://news.proext.com/sec/13986.html

> Ну что, поздравляем с почином?

Этот баг был обнаружен ещё до начала Security Bug Bounty Program. :)

Между прочим уже вышла Mozilla 1.7.2 (ну естесственно Firefox 0.9.3/Thunderbird 0.9.3), в которой пофикшено 4 security-related бага, самый страшный из которых - remote code execution via buffer overflow, в котором виновата дырявая libpng. http://mail.mozilla.org/pipermail/press-list/2004-August/000010.html http://www.mozilla.org/projects/security/known-vulnerabilities.html#mozilla1.7.2

Это не почин. Этой ошибке 5! лет...

> Этой ошибке 5! лет...

Ух ты! Пять факториал... Аж 120 лет... ;-)

> только вот выловить баг в исходнике в сто раз проще, чем в бинарнике.т.е

Миф. Один из мифов опен сорсников.
Ты когда то смотрел в исходники мурзилки, например. Ну, в смысле пробовал там дебажить что-то, искать?
Сорса там более чем на 100 М. Скажу чесно, даже квалифицированному человеку пойдет уйма времен понять хотя бы поверхностно, что и к чему.

Любой продукт тестируется внешне (автоматичекси/интерактивно/другие способы), то есть и баги вылавливаются по результатам использования продукта. Сначала QA тима, потом конечных юзеров, в частности веб-девелоперов.
И чем больше используют, тем больше ловят.

Разница между ИЕ и мурзилкой в том, что мурзилщики, если найдут баг в своем коде сами, вопят об этом на весь мир. А ослятники просто выкладывают патч.

> А кто может подсказать примерную статистику, сколько за последний год найдено таких уязвимостей в мозилле?

Бессмысленно, ибо надо сравнивать "количество ошибок", а не "количество ошибок в которых публично признались".

Согласитесь, что в случае закрытых продуктов последняя цифра имеет тенденцию к занижению.

>А ослятники просто выкладывают патч.

После того как всех ословодов поимеют...если вообще выложат =)

> Что поразительно никто не обратил внимание на спонсоров - Linspire, Inc. (бывш. Lindows) и Mark Shuttleworth. Вот Вам и проклятые комерсанты (Lindows), заработал бабла, часть комюнити на улучшение продукта, а ведь улутченым продуктом попользуемся все мы - халявщики.

Дарагой, пачему не обратил? обратил! Маладец, настоящий джигит. Слупил с Майкрософта 20 мегабаксов за Lindows - тут же часть людЯм отдал!