URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 63399
[ Назад ]

Исходное сообщение
"Компания Google вводит в практику оплату за обнаружение уязв..."

Отправлено opennews , 29-Янв-10 23:31 
Компания Google сообщила (http://blog.chromium.org/2010/01/encouraging-more-chromium-s...) о начале выплаты вознаграждений за обнаружение в бинарной сборке web-браузера Chrome или открытой кодовой базе Chromium (http://dev.chromium.org/) ошибок, связанных с безопасностью. В рассмотрении принимаются уведомления об ошибках во всех ветках разработки (Stable, Beta и Dev), а также в библиотеках, интегрированных в кодовую базу браузера (
WebKit, libxml, библиотеки сжатия и обработки изображений).

Размер вознаграждения будет варьироваться от 500 до 1337 долларов в зависимости от степени опасности найденной уязвимости и качества оформления отчета, например, приветствуется не только указание на проблемное место и описания концепции проведения атаки, но и  демонстрация работающих эксплоитов. Особо отличившихся энтузиастов ждет размещение публичного выражения благодарности на специальной странице (http://www.google.com/corporate/security.html) сайта google.com.


Практика оплаты...

URL: http://blog.chromium.org/2010/01/encouraging-more-chromium-s...
Новость: http://www.opennet.me/opennews/art.shtml?num=25217


Содержание

Сообщения в этом обсуждении
"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Карбофос , 29-Янв-10 23:31 
кстати, подобная инициатива еще продолжается у Mozilla?

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено аноним , 29-Янв-10 23:37 
Прочитай новость до конца

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Карбофос , 29-Янв-10 23:40 
спасиб.

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено klalafuda , 29-Янв-10 23:59 

Купи квартиру в центре Москвы и получи бейсболку в подарок? Ну-ну.

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Аноним , 30-Янв-10 00:01 
Бред

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Basiley , 30-Янв-10 05:06 
угу.
на аукционах(закрытых и не особо)
дырки(конкретно в браузерах)уходят за 5 тыр уе, как минимум.

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено centosuser , 30-Янв-10 13:41 
что это за аукционы такие ?

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено pavlinux , 30-Янв-10 15:06 
http://wslabi.com/

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено centosuser , 30-Янв-10 16:07 
ушло время

Q: Can everybody purchase vulnerabilities from the marketplace?

A: No. The marketplace is closed now. Wslabi is concentrated now on Security Reseach and high end service and consulting provisioning.


"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Basiley , 30-Янв-10 21:16 
их много и они никуда не денутся.
как легальные так и не особо.

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено User294 , 30-Янв-10 00:02 
Ну а что, правильно делают ведь. Еще б приваси полиси нормальную сделали, а то Хром сам как троян. Хромиум надеюсь без такого паскудства идет?

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Анонимный трус , 30-Янв-10 00:06 
1337 — это хорошая шутка.

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено пп , 30-Янв-10 14:30 
кстати правильней было бы уж 31337 тогда...

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено aZ , 30-Янв-10 00:12 
Жалкие подачки.

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Антон , 30-Янв-10 03:57 
Зажрались, сударь! для кого-то это сума.

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено aZ , 30-Янв-10 05:08 
Вы просто не понимаете какие деньги можно заработать используя эти уязвимости. То, что предлагает за это гугл - "курам на смех".

"Честность и порок"
Отправлено uldus , 30-Янв-10 08:46 
>Вы просто не понимаете какие деньги можно заработать используя эти уязвимости. То,
>что предлагает за это гугл - "курам на смех".

Во первых не все готовы продать родную мать, хочется верить, что большинство профессионалов порядочные люди, имеют определенные принципы и никгода не пойдут на содействие негодяям, какие бы деньги те за это не предлагали.

Во вторых Chrome не IE, и денег за дыру в нем на черном рынке много не дадут.

В третьих, не каждый пакостник рискнет пойти против Google и попытаться торговать дырами на стороне, надеясь избежать суровой кары.


"Честность и порок"
Отправлено аноним , 30-Янв-10 08:50 
третий пункт особенно доставил

"Честность и порок"
Отправлено Gra2k , 30-Янв-10 12:52 
Большая часть профессионалов, в первую очередь занятые люди, и исследовать очередное по, тем более крайне невнятное,сырое по - ни кто не будет. Гугль конечно красавцы кругом, но это смахивает на попытку заюзать мозги практически ни чего не заплатив,а то взяли моду, мы вам фиг чего дадим, а вы тут с бубном попляшите. Будет хром по настоящему опен можно будет думать, а так развод один.

"Честность и порок"
Отправлено szh , 30-Янв-10 13:07 
> Большая часть профессионалов, в первую очередь занятые люди, и исследовать очередное по, тем более крайне невнятное,сырое по - ни кто не будет.

по вашему гугл предложил всем профессионалам бросить всё и занятся зарабатыванием баунти ?

> а то взяли моду, мы вам фиг чего дадим, а вы тут с бубном попляшите.

гугл дает очень много, например исходники хромиума.

> тем более крайне невнятное,сырое по

ПО очень инновационное и стабильное (по dev ветке сижу), а вот ваш комментарий невнятный и сырой.


"Честность и порок"
Отправлено szh , 30-Янв-10 13:08 
.

"Честность и порок"
Отправлено Gra2k , 30-Янв-10 13:52 
Ну кроме как код посмотреть (надеюсь вы прочли уже лицензию), в чем это "многое" выражено? И в чем иновации? В помахзал мышкой что то открылась? В чем законченность? куча функционала, ставший уже стандартом де факта для остальных браузеров, в хроме даже не пахнет. Сырой,невнятный продукт, его развивать и развивать еще.

"Честность и порок"
Отправлено szh , 30-Янв-10 17:29 
1) <canvas> работающий в 3-4 раза быстрее чем в firefox это необходимость, которой кроме как у гугла ни у кого нету.

2) NaCL это то что будет скоро в хроме из коробки, а в других даже и не пахнет.

> ставший уже стандартом де факта для остальных браузеров, в хроме даже не пахнет

Эти 2 пункта дадут кучу потенциальных применений, где все остальные браузеры можно закапывать вместе с вашими комментариями о шашечках де факто. Шашечки - хорошо, но сначала ваши машины должны научится ездить!


"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Анон , 30-Янв-10 09:34 
Рисковый малый? Рассказать за сколько дней поймал отдел "К" моего кореша, который тырил пароли?

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Korsvian , 30-Янв-10 10:25 
Конечно, давай.

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Andrey , 30-Янв-10 10:45 
Милый мой. В силу своей работы, я уже сталкивался с отделом К как свидетель(и не раз), предоставлял им материалы и прочее. Не пугайте пожалуйста ежа голой жопой, может они кого-то и ловят на показуху, а реально просто шумиха и так стращают...

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Дмитрий Телегин , 01-Фев-10 10:21 
>Милый мой. В силу своей работы, я уже сталкивался с отделом К
>как свидетель(и не раз), предоставлял им материалы и прочее. Не пугайте
>пожалуйста ежа голой жопой, может они кого-то и ловят на показуху,
>а реально просто шумиха и так стращают...

Ну со стороны свидетеля так оно наверное и выглядит :)


"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено linux4ever , 30-Янв-10 12:24 
>Рисковый малый? Рассказать за сколько дней поймал отдел "К" моего кореша, который тырил пароли?

С тобой теперь сидит?


"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Карбофос , 30-Янв-10 12:15 
лично я сам бы получал от гугла да от мозиллы, чем от всяких сомнительных спамеров и кулхацкеров.

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено FractalizeR , 30-Янв-10 15:54 
Вы полагаете, что все специалисты в области безопасности так же безнравственны, как и вы и каждый из них просто спит и видит, как бы продать информацию об обнаруженной уязвимости террористам за $1.000.000?

Или, может быть, вы считаете, что предлагать вознаграждение за обнаружение уязвимостей вообще бессмысленно?


"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Basiley , 03-Фев-10 13:59 
>Вы полагаете, что все специалисты в области безопасности так же безнравственны, как
>и вы и каждый из них просто спит и видит, как
>бы продать информацию об обнаруженной уязвимости террористам за $1.000.000?
>
>Или, может быть, вы считаете, что предлагать вознаграждение за обнаружение уязвимостей вообще
>бессмысленно?

большинство покупающих информацию о уязвимостях, у специалистов по инфо-секьюрити, на аукционах, cовсем не террористы или киберпреступники, а ...их коллеги из компаний, непосредственно работающих в этой отрасли(проивзводители Антивирусного ПО, консалтинговые компании(хотя среди них тоже г-на случается), поставщики IDS, комплексных систем безопасности, крупные агенства СБ(включая государственные)).

p.s.
продажа информации за деньги - решает две проблемы сразу:
1. позиционирование(заведомо заинтересованы именно работающие в этой сфере).
2. отсекает помимо аутсайдеров, явных злоумышленников(за минусом крупных, международных ОПГ, большинству из них, покупка эксплоитов на аукционах - попросту не по карману).

ну и естественно мотивирует исследователей.


"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Anonym , 30-Янв-10 00:27 
Если кто-нибудь найдёт слишком много багов, и этому кому-нибудь перестанут платить деньги за них, поделитесь одним со мной? Я на полученные деньги жёсткий диск куплю, а если останется пожертвую нищим или авторам расширений для FireFox и Thunderbird.

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Anonym , 30-Янв-10 08:59 
ну а что? Расширений много, а не платят даже популярным ни разу.

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Knuckles , 30-Янв-10 01:25 
SOO LEET

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Аноним , 30-Янв-10 07:44 
Отлично. Пользуюсь iron.

"Компания Google вводит в практику оплату за обнаружение уязв..."
Отправлено Аноним , 02-Фев-10 15:27 
Тоже iron использую