The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компания Google вводит в практику оплату за обнаружение уязвимостей в Chromium

29.01.2010 23:13

Компания Google сообщила о начале выплаты вознаграждений за обнаружение в бинарной сборке web-браузера Chrome или открытой кодовой базе Chromium ошибок, связанных с безопасностью. В рассмотрении принимаются уведомления об ошибках во всех ветках разработки (Stable, Beta и Dev), а также в библиотеках, интегрированных в кодовую базу браузера ( WebKit, libxml, библиотеки сжатия и обработки изображений).

Размер вознаграждения будет варьироваться от 500 до 1337 долларов в зависимости от степени опасности найденной уязвимости и качества оформления отчета, например, приветствуется не только указание на проблемное место и описания концепции проведения атаки, но и демонстрация работающих эксплоитов. Особо отличившихся энтузиастов ждет размещение публичного выражения благодарности на специальной странице сайта google.com.

Практика оплаты за обнаружения уязвимостей уже несколько лет применяется организацией Mozilla Foundation и по мнению Google демонстрирует отличные результаты. Большое число обнаруживаемых в Firefox уязвимостей связано в большей степени с грамотной политикой разработчиков и открытой доступностью системы трекинга ошибок.

  1. Главная ссылка к новости (http://blog.chromium.org/2010/...)
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/25217-chrome
Ключевые слова: chrome, chromium, bug, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (36) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Карбофос (ok), 23:31, 29/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    кстати, подобная инициатива еще продолжается у Mozilla?
     
     
  • 2.2, аноним (?), 23:37, 29/01/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прочитай новость до конца
     
     
  • 3.3, Карбофос (ok), 23:40, 29/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    спасиб.
     

  • 1.4, klalafuda (?), 23:59, 29/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/

    Купи квартиру в центре Москвы и получи бейсболку в подарок? Ну-ну.
     
     
  • 2.5, Аноним (5), 00:01, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Бред
     
  • 2.12, Basiley (ok), 05:06, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    угу.
    на аукционах(закрытых и не особо)
    дырки(конкретно в браузерах)уходят за 5 тыр уе, как минимум.
     
     
  • 3.26, centosuser (ok), 13:41, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    что это за аукционы такие ?
     
     
  • 4.29, pavlinux (ok), 15:06, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    http://wslabi.com/
     
     
  • 5.33, centosuser (ok), 16:07, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ушло время

    Q: Can everybody purchase vulnerabilities from the marketplace?

    A: No. The marketplace is closed now. Wslabi is concentrated now on Security Reseach and high end service and consulting provisioning.

     
  • 4.37, Basiley (ok), 21:16, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    их много и они никуда не денутся.
    как легальные так и не особо.
     

  • 1.6, User294 (ok), 00:02, 30/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ну а что, правильно делают ведь. Еще б приваси полиси нормальную сделали, а то Хром сам как троян. Хромиум надеюсь без такого паскудства идет?
     
  • 1.7, Анонимный трус (?), 00:06, 30/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    1337 — это хорошая шутка.
     
     
  • 2.28, пп (?), 14:30, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    кстати правильней было бы уж 31337 тогда...
     

  • 1.8, aZ (ok), 00:12, 30/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жалкие подачки.
     
     
  • 2.11, Антон (??), 03:57, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Зажрались, сударь! для кого-то это сума.
     
     
  • 3.13, aZ (ok), 05:08, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы просто не понимаете какие деньги можно заработать используя эти уязвимости. То, что предлагает за это гугл - "курам на смех".
     
     
  • 4.15, uldus (ok), 08:46, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы просто не понимаете какие деньги можно заработать используя эти уязвимости. То,
    >что предлагает за это гугл - "курам на смех".

    Во первых не все готовы продать родную мать, хочется верить, что большинство профессионалов порядочные люди, имеют определенные принципы и никгода не пойдут на содействие негодяям, какие бы деньги те за это не предлагали.

    Во вторых Chrome не IE, и денег за дыру в нем на черном рынке много не дадут.

    В третьих, не каждый пакостник рискнет пойти против Google и попытаться торговать дырами на стороне, надеясь избежать суровой кары.

     
     
  • 5.16, аноним (?), 08:50, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    третий пункт особенно доставил
     
  • 5.23, Gra2k (ok), 12:52, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Большая часть профессионалов, в первую очередь занятые люди, и исследовать очередное по, тем более крайне невнятное,сырое по - ни кто не будет. Гугль конечно красавцы кругом, но это смахивает на попытку заюзать мозги практически ни чего не заплатив,а то взяли моду, мы вам фиг чего дадим, а вы тут с бубном попляшите. Будет хром по настоящему опен можно будет думать, а так развод один.
     
     
  • 6.24, szh (ok), 13:07, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Большая часть профессионалов, в первую очередь занятые люди, и исследовать очередное по, тем более крайне невнятное,сырое по - ни кто не будет.

    по вашему гугл предложил всем профессионалам бросить всё и занятся зарабатыванием баунти ?

    > а то взяли моду, мы вам фиг чего дадим, а вы тут с бубном попляшите.

    гугл дает очень много, например исходники хромиума.

    > тем более крайне невнятное,сырое по

    ПО очень инновационное и стабильное (по dev ветке сижу), а вот ваш комментарий невнятный и сырой.

     
     
  • 7.25, szh (ok), 13:08, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    .
     
  • 7.27, Gra2k (ok), 13:52, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну кроме как код посмотреть (надеюсь вы прочли уже лицензию), в чем это "многое" выражено? И в чем иновации? В помахзал мышкой что то открылась? В чем законченность? куча функционала, ставший уже стандартом де факта для остальных браузеров, в хроме даже не пахнет. Сырой,невнятный продукт, его развивать и развивать еще.
     
     
  • 8.34, szh (ok), 17:29, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    1 canvas работающий в 3-4 раза быстрее чем в firefox это необходимость, котор... текст свёрнут, показать
     
  • 4.18, Анон (?), 09:34, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Рисковый малый? Рассказать за сколько дней поймал отдел "К" моего кореша, который тырил пароли?
     
     
  • 5.19, Korsvian (ok), 10:25, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Конечно, давай.
     
  • 5.20, Andrey (??), 10:45, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Милый мой. В силу своей работы, я уже сталкивался с отделом К как свидетель(и не раз), предоставлял им материалы и прочее. Не пугайте пожалуйста ежа голой жопой, может они кого-то и ловят на показуху, а реально просто шумиха и так стращают...
     
     
  • 6.52, Дмитрий Телегин (?), 10:21, 01/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Милый мой. В силу своей работы, я уже сталкивался с отделом К
    >как свидетель(и не раз), предоставлял им материалы и прочее. Не пугайте
    >пожалуйста ежа голой жопой, может они кого-то и ловят на показуху,
    >а реально просто шумиха и так стращают...

    Ну со стороны свидетеля так оно наверное и выглядит :)

     
  • 5.22, linux4ever (?), 12:24, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Рисковый малый? Рассказать за сколько дней поймал отдел "К" моего кореша, который тырил пароли?

    С тобой теперь сидит?

     
  • 4.21, Карбофос (ok), 12:15, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    лично я сам бы получал от гугла да от мозиллы, чем от всяких сомнительных спамеров и кулхацкеров.
     
  • 4.32, FractalizeR (??), 15:54, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы полагаете, что все специалисты в области безопасности так же безнравственны, как и вы и каждый из них просто спит и видит, как бы продать информацию об обнаруженной уязвимости террористам за $1.000.000?

    Или, может быть, вы считаете, что предлагать вознаграждение за обнаружение уязвимостей вообще бессмысленно?

     
     
  • 5.54, Basiley (ok), 13:59, 03/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы полагаете, что все специалисты в области безопасности так же безнравственны, как
    >и вы и каждый из них просто спит и видит, как
    >бы продать информацию об обнаруженной уязвимости террористам за $1.000.000?
    >
    >Или, может быть, вы считаете, что предлагать вознаграждение за обнаружение уязвимостей вообще
    >бессмысленно?

    большинство покупающих информацию о уязвимостях, у специалистов по инфо-секьюрити, на аукционах, cовсем не террористы или киберпреступники, а ...их коллеги из компаний, непосредственно работающих в этой отрасли(проивзводители Антивирусного ПО, консалтинговые компании(хотя среди них тоже г-на случается), поставщики IDS, комплексных систем безопасности, крупные агенства СБ(включая государственные)).

    p.s.
    продажа информации за деньги - решает две проблемы сразу:
    1. позиционирование(заведомо заинтересованы именно работающие в этой сфере).
    2. отсекает помимо аутсайдеров, явных злоумышленников(за минусом крупных, международных ОПГ, большинству из них, покупка эксплоитов на аукционах - попросту не по карману).

    ну и естественно мотивирует исследователей.

     

  • 1.9, Anonym (?), 00:27, 30/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Если кто-нибудь найдёт слишком много багов, и этому кому-нибудь перестанут платить деньги за них, поделитесь одним со мной? Я на полученные деньги жёсткий диск куплю, а если останется пожертвую нищим или авторам расширений для FireFox и Thunderbird.
     
     
  • 2.17, Anonym (?), 08:59, 30/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ну а что? Расширений много, а не платят даже популярным ни разу.
     

  • 1.10, Knuckles (ok), 01:25, 30/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    SOO LEET
     
  • 1.14, Аноним (-), 07:44, 30/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отлично. Пользуюсь iron.
     
  • 1.53, Аноним (-), 15:27, 02/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тоже iron использую
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру