URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 103126
[ Назад ]

Исходное сообщение
"Компания Google начала выплату вознаграждений за выявление у..."

Отправлено opennews , 16-Июн-15 22:16 
Компания Google расширила (http://googleonlinesecurity.blogspot.ru/2015/06/announcing-s...) действие программы выплаты вознаграждений за выявление уязвимостей и выполнение работ по повышению безопасности. Помимо браузера Chrome, сервисов Google и некоторых свободных проектов (http://www.opennet.me/opennews/art.shtml?num=40792), программа выплаты вознаграждений отныне будет охватывать (https://www.google.com/about/appsecurity/android-rewards/ind...) и платформу Android.

Наибольшие суммы будут выплачиваться за выявление методов обхода защиты, таких как ASLR, NX и sandbox-изоляция. Публикуемые уязвимости должны проявляться на актуальных моделях смартфонов и планшетов Nexus (Nexus 6 и Nexus 9). Сумма вознаграждения зависит от опасности проблемы, подготовки тестовых сценариев и предоставлении готовых патчей и эксплоитов. Например, за критическую уязвимость может быть выплачено 8 тысяч долларов плюс 30 тысяч долларов, если представлен удалённо атакующий эксплоит, обходящий ограничения TEE (TrustZone) или Verified Boot.

URL: http://googleonlinesecurity.blogspot.ru/2015/06/announcing-s...
Новость: http://www.opennet.me/opennews/art.shtml?num=42444


Содержание

Сообщения в этом обсуждении
"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 16-Июн-15 22:16 
А Google не боится разорится на своем ведре с уязвимостями

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 16-Июн-15 22:31 
Так не IOS же, вот там, да, в трубу можно вылететь.

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено iPony , 17-Июн-15 08:47 
Пользователи iPhone пишут «apple это круто», пользователи ведроида пишут «apple гомно, азаза»

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено AlexYeCu , 17-Июн-15 10:20 
iPony думает, что не палится…

Вообще, в твоём троллесуждение есть ошибка. Пользователи Андроида нередко считают Андроид теми ещё фекалиями, но с сожалением вынуждены констатировать, что остальные варианты ещё гаже.


"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено ananymous , 17-Июн-15 15:00 
Если не считать не выпиленные по умолчанию официальные сервисы прослушивания, поднюхивания, подглядывания, подлизывания и т.д., то андроид очень даже хорош.

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено AlexYeCu , 17-Июн-15 15:59 
>Если не считать не выпиленные по умолчанию официальные сервисы прослушивания, поднюхивания, подглядывания, подлизывания

А ты его на этом ловил? Т.е. не Самсунговские, к примеру, поделки, а именно ванильный Андроид? Т.е. чтоб к Гуглу попадали какие-то данные, кроме тех, что ты сам отправляешь: gamail/gtalk, гуглопочта, геопозиционирование, DNS-трафик, если через 8.8.8.8 гонишь?

>то андроид очень даже хорош

О, он офигенен! Например, там grep не понимает опции -i! Вот как можно было его так собрать? А таблица монтирования повергает в трепет: трёхвинтовый десктоп с 2-я системами в сравнении с оной прост и понятен. Плюс почти ненастраиваемый Гуй. Плюс отсутсвие внятного переключения клавиатур «на лету» — а переключать приходится, поскольку все с изъяном: одна не хочет воодимую с хардварной клавы кириллицу понимать, вторая — с ущербной раскладкой для скорбных мозгом. Ещё можно про механизм завершения работы приложений вспомнить. И про изуродованное монтирование внешних носителей, которое проще сторонней утилитой вост\становить, чем разобраться, что там накосячили. Ещё могу вспомнить про необходимость получения root-прав на своём устройстве и сложные взаимоотношения рутованного устройства и OTA-обновлений. А так всё отлично, ага.


"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 17-Июн-15 23:58 
> Например, там grep не понимает опции -i! Вот как можно было его так собрать?

да вроде понимает,

shell@ja3g:/ $ grep  
usage: grep [-abcDEFGHhIiJLlmnOoPqRSsUVvwxZz] [-A num] [-B num] [-C[num]]
        [-e pattern] [-f file] [--binary-files=value] [--color=when]
        [--context[=num]] [--directories=action] [--label] [--line-buffered]
        [pattern] [file ...]


но это не полноценный греп же, его там тулбокс предоставляет.


"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено AlexYeCu , 18-Июн-15 13:32 
>да вроде понимает

Именно что вроде. Он эту опцию игнорирует. Если взять из arm-ового линукса взять grep — тот работает как надо.


"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено soarin , 18-Июн-15 06:13 
Каментом выше замечено. Уж что-то, но по безопасности ведроиду с iOS не сравниться - это очевидный факт.
Я не могу назвать хорошими словами то, что творится на ведроиде с безопасностью. Например, несколько лет назад меня поразило, что, например, в AdSense вообще процентов 75% тупо разводы с троянами - а гуглу до этого дела нет. Щас уже ничему не удивляюсь.

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено rob pike , 18-Июн-15 22:36 
Вот только из самого недавнего

>Due to the way Apple built apps to communicate with each other, the paper writes, researchers were able to "steal such confidential information as the passwords for iCloud, email and bank
>Xing and his team informed Apple, which asked for six months to deal with issue. The six months have now passed and the vulnerabilities persist, say the researchers.


"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено vn971 , 17-Июн-15 14:54 
Не судите по себе.

Для меня лично продукций эппла и microsoft просто не существует, в том плане что они отметаются на первом же этапе и больше не рассматриваются (closed source).

Из оставшихся систем да, можно как-то выбирать (cyanogen, replicant, tizen, firefox OS, sailfish...).


"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено iPony , 17-Июн-15 15:50 
> Не судите по себе.

А я тут причем? Не пользуюсь ни смартфонами от apple, ни смартфонами на android


"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 16-Июн-15 23:27 
> А Google не боится разорится на своем ведре с уязвимостями

По центу за штуку? Нормально.



"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено soarin , 17-Июн-15 06:16 
Так ведро дыряво отсутствием обновлений. Так-то в сферической android os, которую не видят подавляющие количество пользователей, с безопасностью более-менее.

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 17-Июн-15 09:13 
Про Nexus вы не слышали, наверное?

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Василий Топоров , 17-Июн-15 10:18 
Так а какой процент Нексусов от всех Андройдов? Как будто вы не знаете, что к рядовому телефону дай Бог, если выйдет 1-2 обновления, а потом производитель забивает. И никакой ванильный Андройд на него не поставишь.

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено orgkhnargh , 17-Июн-15 15:28 
А для Google какая разница, будут ли обновления телефонов, к которым он не имеет отношения? Google сертифицирует Nexus и ему важно, чтобы Nexus был хорошим и безопасным. Обновление прошивок остальных телефонов - работа производителей этих самых телефонов.

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Алоним , 17-Июн-15 16:00 
В нормальных дистрибутивах линукса от обновлений не успеваеш отбиватся. А в этом супер-пупер-люкс продукте обновления два-три раза в год в лучшем случае.

Монолитность системы — это проблема в безопасности.


"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено iPony , 18-Июн-15 06:45 
Даже для нексусов гугл во время смены перевода времени в Этой Стране недавно сказали 'жуйте чупа-чупс'. 'НеЛинукс' на котором нельзя обновить таймзоны.

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено анон , 16-Июн-15 23:28 
бессмысленная инициатива, у большинства устройств система либо обновляется крайне редко либо не обновляется вовсе

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено soarin , 17-Июн-15 06:19 
Так кто про тех-то говорит. Ведроидо-устройства обновляются покупкой новых, именно для них это и делается.

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 17-Июн-15 14:25 
Редко обновляются это полбеды, не редко туда впиндюривают ненужные приложения, которые запросто могут добавлять уязвимости.

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено iPony , 18-Июн-15 06:49 
Изредка бывает, что уже сразу трояны в заводскую прошивку пихают. man HighScreen

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 17-Июн-15 07:04 
нас АНОНИМОВ такими печеньками не заманишь!!! мы преданы своему общему делу и свято чтим принципы анонимности!!! Славься святой Аноним и дела твои святые! Анонимь!

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 17-Июн-15 08:38 
какими печеньками?

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 17-Июн-15 09:05 
Любыми.

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 17-Июн-15 17:32 
Ты сам с собой разговариваешь? Сестра, 5 кубиков галопередола этому больному

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 17-Июн-15 19:38 
Ну а Тульскими пряниками? ;)

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 17-Июн-15 07:19 
выгоднее поэсплуатировать уязвимость
DC-Unlocker хотяб. Они враги раз секуре бут.
Лочат мое устройство чтоб я не смог эту винду удалить. Правльно же

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 17-Июн-15 08:03 
Нет! Это не хорошо! Каждый порядочный человек должен анонимно сообщить об уязвимости и отказаться от денег! А эксплуатировать уязвимость, это противозаконно! И если ты поступаешь противозаконно, надо пойти в отделение полиции и добровольно написать против себя заявление и требовать заключение в тюрьму!

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 17-Июн-15 08:21 
Расплодилось халявщиков, желающих на казенных харчах в тюрьме сидеть.

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Аноним , 17-Июн-15 14:28 
Сейчас дырки найдут, закроют и в новых устройствах сделают root-lock, который будет убрать все сложнее и сложнее.

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено Kodir , 17-Июн-15 15:47 
Им бы не уязвимости искать, а операционку нормальную делать! И инструменты человеческие, а не маразмы типа Эклипса.

"Компания Google начала выплату вознаграждений за выявление у..."
Отправлено iPony , 17-Июн-15 15:52 
> Им бы не уязвимости искать, а операционку нормальную делать! И инструменты человеческие,
> а не маразмы типа Эклипса.

Так по инструментам все норм, они же на базу idea от jetbrains перешли.