The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.07.2010 07:48  Mozilla повышает вознаграждение за нахождение ошибок безопасности в 6 раз

Ещё в 2004 году компания Mozilla запустила программу, согласно которой исследователи получали 500 американских долларов за нахождение ошибок в безопасности в её продуктах. С тех пор практически ничего не изменилось, за исключением одной важной вещи - доля Mozilla Firefox на рынке веб браузеров возросла практически на порядок, а многие организации с большим количеством сотрудников приняли Firefox в качестве корпоративного стандарта.

Понимая значимость высокой безопасности своих продуктов, организация приняла решение увеличить вознаграждение за нахождение ошибок, связанных с безопасностью, в шесть раз до $3000, однако жаждущим получить приз стоит учесть следующие правила:

  • Ошибка в безопасности должна являться оригинальным исследованием и не должна быть ранее известной.
  • Подобная ошибка должна приводить к возможности удалённой атаки на web-браузер.
  • Брешь в безопасности должна касаться последних официально поддерживаемых версий, а также бета версий и кандидатов в релизы следующих продуктов: Firefox, Thunderbird, мобильной версии Firefox, а также сервисов, которые могут скомпрометировать пользователей программного обеспечения Mozilla Corporation.
  • Ошибки в безопасности, найденные или вызванные использованием сторонних продуктов не подпадают под действие этой акции.


  1. Главная ссылка к новости (http://blog.mozilla.com/securi...)
Автор новости: Artem S. Tashkinov
Тип: К сведению
Ключевые слова: mozilla, firefox, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, snizovtsev, 11:07, 17/07/2010 [ответить] [смотреть все]
  • +1 +/
    > Ошибка в безопасности, найденные или вызванные использованием сторонних продуктов не подпадают под действие этой акции.

    Что подразумевается под "сторонним" продуктом? Если ошибка в каком-нибудь libsomething, который поставляется вместе с firefox, но имеет свой апстрим - это сторонний или нет?

     
     
  • 2.2, solardiz, 11:28, 17/07/2010 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    Вроде как нет Security bugs in or caused by additional 3rd-party software e g... весь текст скрыт [показать] [показать ветку]
     
  • 2.3, MidNighter, 11:56, 17/07/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Логично что сторонний, чего Мозиле за чужую библиотеку деньги платить.
     
  • 1.4, sHaggY_caT, 12:12, 17/07/2010 [ответить] [смотреть все]  
  • +/
    Интересно, а сколько на криминальном рынке ботнетчиков стоит дырка для zero-day эсплойта? Сравнимо ли?
     
     
  • 2.5, Garrymar, 12:42, 17/07/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Как обычно, значимость цели диктует величину оплаты. Вероятно - не сравнимо.
     
  • 2.6, Анонимко, 12:43, 17/07/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Первый же грамотный специалист посетитель сайта , поймавший сплойт, вытащит его... весь текст скрыт [показать] [показать ветку]
     
  • 2.7, filosofem, 13:54, 17/07/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    200-500 МРОТ плюс срок ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.8, sHaggY_caT, 14:26, 17/07/2010 [^] [ответить] [смотреть все]  
  • +/
    Вопрос не об этом Просто интересно, можно ли заинтересовать тех, кто чаще пиш... весь текст скрыт [показать]
     
     
  • 4.9, FractalizeR, 14:50, 17/07/2010 [^] [ответить] [смотреть все]  
  • +/
    Думаю, что на zero-day эксплойте можно заработать гораздо больше, чем 3000 если... весь текст скрыт [показать]
     
  • 4.10, pavlinux, 16:23, 17/07/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    Платют в кликах, примерно 6 за 1000 ботов при DDoS узнать подробнее ... весь текст скрыт [показать]
     
     
  • 5.11, sHaggY_caT, 17:04, 17/07/2010 [^] [ответить] [смотреть все]  
  • +/
    Нет, праздное любопытство Порядок было узнать интересно, спасибо ... весь текст скрыт [показать]
     
     
  • 6.12, pavlinux, 17:13, 17/07/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    Покупают примерно по 500$ за одноразовый DoS.
     
  • 1.13, Alen, 19:56, 17/07/2010 [ответить] [смотреть все]  
  • +/
    наверно ibm проставив у себя фаер решила вложиться в безопасность :)
     
  • 1.14, User294, 04:45, 18/07/2010 [ответить] [смотреть все]  
  • +/
    Хе, гуглю переплюнули :).
     
  • 1.15, maks_s, 22:45, 18/07/2010 [ответить] [смотреть все]  
  • –2 +/
    видать лавры самого дырявого браузера руководству покоя таки не дают
     
     
  • 2.16, SkyRanger, 01:21, 19/07/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Вообще то наоборот. Это Некрософт месяцами дыры не закрывает. Мозилле выгодно чтобы дыр было меньше...
     
     
  • 3.20, maks_s, 18:43, 19/07/2010 [^] [ответить] [смотреть все]  
  • +/
    >Вообще то наоборот. Это Некрософт месяцами дыры не закрывает. Мозилле выгодно чтобы
    >дыр было меньше...

    Всем выгодно (а МС в текущей ситуации тем более), но оперативно чинить получается не всегда, будь то что плохой МС, чт хороший Мозила Фундейшн.

     
  • 2.18, User294, 13:28, 19/07/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Авторы самого дырявого - ничего и никому не платят. И дыры чинят месяцами. А потому - процветает черный рынок. А какой стимул MS сообщать о багах то? Это в случае MS геморройно (а вы видели у MS нормальный багтрекер?) И чинят их черт знает сколько и вознаграждение не платят. Какой же дебил будет забесплатно так геморроиться с MS и IE?
     
     
  • 3.19, maks_s, 18:41, 19/07/2010 [^] [ответить] [смотреть все]  
  • +/
    соглашуть только с тем, что МС жмется на деньги
     
     
  • 4.21, sHaggY_caT, 00:55, 20/07/2010 [^] [ответить] [смотреть все]  
  • +/
    >соглашуть только с тем, что МС жмется на деньги

    Посмотрите тот же securityfocus: очень часто, при наличии _известных_ дырок, MS выпускает фиксы по своему "расписанию".

    При этом они имеют наглость говорить, что в ФФ  в каком-то месяце вышло больше фиксов на дырки, чем на IE :)

    Такая вот переформулированная правда :)

    1. А сколько дырок в closed_source IE так и не нашли?
    2. А сколько времени IE-юзеры _ждали_ планового выхода фиксов?

    MS молча умалчивает. Если часто врать, или недоговаривать, иногда обыватели начинают верить :)

     
  • 4.25, аноним, 02:17, 24/07/2010 [^] [ответить] [смотреть все]  
  • +/
    они не жмутся. просто у них денех мало, вот и экономят.
     
  • 1.17, Аноним, 06:06, 19/07/2010 [ответить] [смотреть все]  
  • +1 +/
    Не только IBM но и другие конторы есть и российские по умолчанию ставят Mo... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList