The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от opennews on 17-Июл-10, 11:07 
Ещё в 2004 году компания Mozilla запустила программу (http://www.mozilla.org/security/bug-bounty.html), согласно которой исследователи получали 500 американских долларов за нахождение ошибок в безопасности в её продуктах. С тех пор практически ничего не изменилось, за исключением одной важной вещи - доля Mozilla Firefox на рынке веб браузеров возросла практически на порядок, а многие  организации с большим количеством сотрудников приняли Firefox в качестве корпоративного стандарта.


Понимая значимость высокой безопасности своих продуктов, организация приняла решение (http://blog.mozilla.com/security/2010/07/15/refresh-of-the-m.../) увеличить вознаграждение за нахождение ошибок, связанных с безопасностью, в шесть раз до $3000, однако жаждущим получить приз стоит учесть следующие правила:


-  Ошибка в безопасности должна являться оригинальным исследованием и не должна быть ранее известной.
-  Подобная ошибка должна приводить к возможности удалённой а...

URL: http://blog.mozilla.com/security/2010/07/15/refresh-of-the-m.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=27330

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +1 +/
Сообщение от snizovtsev on 17-Июл-10, 11:07 
> Ошибка в безопасности, найденные или вызванные использованием сторонних продуктов не подпадают под действие этой акции.

Что подразумевается под "сторонним" продуктом? Если ошибка в каком-нибудь libsomething, который поставляется вместе с firefox, но имеет свой апстрим - это сторонний или нет?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +1 +/
Сообщение от solardiz (ok) on 17-Июл-10, 11:28 
> Что подразумевается под "сторонним" продуктом? Если ошибка в каком-нибудь libsomething, который поставляется вместе с firefox, но имеет свой апстрим - это сторонний или нет?

Вроде как нет: "Security bugs in or caused by additional 3rd-party software (e.g. plugins, extensions) are excluded from the Bug Bounty program." Если "поставляется вместе", то это не "additional", так что под это ограничение не подпадает. Думаю, здесь все в порядке.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от MidNighter on 17-Июл-10, 11:56 
Логично что сторонний, чего Мозиле за чужую библиотеку деньги платить.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от sHaggY_caT (ok) on 17-Июл-10, 12:12 
Интересно, а сколько на криминальном рынке ботнетчиков стоит дырка для zero-day эсплойта? Сравнимо ли?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от Garrymar on 17-Июл-10, 12:42 
Как обычно, значимость цели диктует величину оплаты. Вероятно - не сравнимо.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от Анонимко on 17-Июл-10, 12:43 
Первый же грамотный специалист (посетитель сайта), поймавший сплойт, вытащит его, исследует и получит 3000 :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +2 +/
Сообщение от filosofem (ok) on 17-Июл-10, 13:54 
>Интересно, а сколько на криминальном рынке ботнетчиков стоит дырка для zero-day эсплойта? Сравнимо ли?

200-500 МРОТ плюс срок.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от sHaggY_caT (ok) on 17-Июл-10, 14:26 
>>Интересно, а сколько на криминальном рынке ботнетчиков стоит дырка для zero-day эсплойта? Сравнимо ли?
>
>200-500 МРОТ плюс срок.

Вопрос не об этом :) Просто интересно, можно ли заинтересовать тех, кто чаще пишет код для владельцев ботов, вот таким вот легальным заработком?

Или все-таки решить проблему "рублем" невозможно? Как думаете?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от FractalizeR email(ok) on 17-Июл-10, 14:50 
Думаю, что на zero-day эксплойте можно заработать гораздо больше, чем $3000 если серьезно этим заниматься.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +1 +/
Сообщение от pavlinux (ok) on 17-Июл-10, 16:23 
Платют в кликах, примерно 6$ за 1000 ботов при DDoS. (узнать подробнее? ;) )


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от sHaggY_caT (ok) on 17-Июл-10, 17:04 
>Платют в кликах, примерно 6$ за 1000 ботов при DDoS. (узнать подробнее?
>;) )

Нет, праздное любопытство :) Порядок было узнать интересно, спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +1 +/
Сообщение от pavlinux (ok) on 17-Июл-10, 17:13 
Покупают примерно по 500$ за одноразовый DoS.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от Alen (??) on 17-Июл-10, 19:56 
наверно ibm проставив у себя фаер решила вложиться в безопасность :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от User294 (ok) on 18-Июл-10, 04:45 
Хе, гуглю переплюнули :).
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  –2 +/
Сообщение от maks_s on 18-Июл-10, 22:45 
видать лавры самого дырявого браузера руководству покоя таки не дают
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +1 +/
Сообщение от SkyRanger email(??) on 19-Июл-10, 01:21 
Вообще то наоборот. Это Некрософт месяцами дыры не закрывает. Мозилле выгодно чтобы дыр было меньше...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от maks_s on 19-Июл-10, 18:43 
>Вообще то наоборот. Это Некрософт месяцами дыры не закрывает. Мозилле выгодно чтобы
>дыр было меньше...

Всем выгодно (а МС в текущей ситуации тем более), но оперативно чинить получается не всегда, будь то что плохой МС, чт хороший Мозила Фундейшн.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +1 +/
Сообщение от User294 (ok) on 19-Июл-10, 13:28 
Авторы самого дырявого - ничего и никому не платят. И дыры чинят месяцами. А потому - процветает черный рынок. А какой стимул MS сообщать о багах то? Это в случае MS геморройно (а вы видели у MS нормальный багтрекер?) И чинят их черт знает сколько и вознаграждение не платят. Какой же дебил будет забесплатно так геморроиться с MS и IE?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от maks_s on 19-Июл-10, 18:41 
соглашуть только с тем, что МС жмется на деньги
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от sHaggY_caT (ok) on 20-Июл-10, 00:55 
>соглашуть только с тем, что МС жмется на деньги

Посмотрите тот же securityfocus: очень часто, при наличии _известных_ дырок, MS выпускает фиксы по своему "расписанию".

При этом они имеют наглость говорить, что в ФФ  в каком-то месяце вышло больше фиксов на дырки, чем на IE :)

Такая вот переформулированная правда :)

1. А сколько дырок в closed_source IE так и не нашли?
2. А сколько времени IE-юзеры _ждали_ планового выхода фиксов?

MS молча умалчивает. Если часто врать, или недоговаривать, иногда обыватели начинают верить :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +/
Сообщение от аноним on 24-Июл-10, 02:17 
они не жмутся. просто у них денех мало, вот и экономят.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Mozilla повышает вознаграждение за нахождение ошибок безопас..."  +1 +/
Сообщение от Аноним (??) on 19-Июл-10, 06:06 
Не только IBM но и другие конторы (  есть и российские ) по умолчанию ставят  Mozilla - есть и наш след и интерес.  
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor