Компания Google сообщила (http://blog.chromium.org/2010/01/encouraging-more-chromium-s...) о начале выплаты вознаграждений за обнаружение в бинарной сборке web-браузера Chrome или открытой кодовой базе Chromium (http://dev.chromium.org/) ошибок, связанных с безопасностью. В рассмотрении принимаются уведомления об ошибках во всех ветках разработки (Stable, Beta и Dev), а также в библиотеках, интегрированных в кодовую базу браузера (
WebKit, libxml, библиотеки сжатия и обработки изображений).Размер вознаграждения будет варьироваться от 500 до 1337 долларов в зависимости от степени опасности найденной уязвимости и качества оформления отчета, например, приветствуется не только указание на проблемное место и описания концепции проведения атаки, но и демонстрация работающих эксплоитов. Особо отличившихся энтузиастов ждет размещение публичного выражения благодарности на специальной странице (http://www.google.com/corporate/security.html) сайта google.com.
Практика оплаты...URL: http://blog.chromium.org/2010/01/encouraging-more-chromium-s...
Новость: http://www.opennet.me/opennews/art.shtml?num=25217
кстати, подобная инициатива еще продолжается у Mozilla?
Прочитай новость до конца
спасиб.
Купи квартиру в центре Москвы и получи бейсболку в подарок? Ну-ну.
Бред
угу.
на аукционах(закрытых и не особо)
дырки(конкретно в браузерах)уходят за 5 тыр уе, как минимум.
что это за аукционы такие ?
http://wslabi.com/
ушло времяQ: Can everybody purchase vulnerabilities from the marketplace?
A: No. The marketplace is closed now. Wslabi is concentrated now on Security Reseach and high end service and consulting provisioning.
их много и они никуда не денутся.
как легальные так и не особо.
Ну а что, правильно делают ведь. Еще б приваси полиси нормальную сделали, а то Хром сам как троян. Хромиум надеюсь без такого паскудства идет?
1337 — это хорошая шутка.
кстати правильней было бы уж 31337 тогда...
Жалкие подачки.
Зажрались, сударь! для кого-то это сума.
Вы просто не понимаете какие деньги можно заработать используя эти уязвимости. То, что предлагает за это гугл - "курам на смех".
>Вы просто не понимаете какие деньги можно заработать используя эти уязвимости. То,
>что предлагает за это гугл - "курам на смех".Во первых не все готовы продать родную мать, хочется верить, что большинство профессионалов порядочные люди, имеют определенные принципы и никгода не пойдут на содействие негодяям, какие бы деньги те за это не предлагали.
Во вторых Chrome не IE, и денег за дыру в нем на черном рынке много не дадут.
В третьих, не каждый пакостник рискнет пойти против Google и попытаться торговать дырами на стороне, надеясь избежать суровой кары.
третий пункт особенно доставил
Большая часть профессионалов, в первую очередь занятые люди, и исследовать очередное по, тем более крайне невнятное,сырое по - ни кто не будет. Гугль конечно красавцы кругом, но это смахивает на попытку заюзать мозги практически ни чего не заплатив,а то взяли моду, мы вам фиг чего дадим, а вы тут с бубном попляшите. Будет хром по настоящему опен можно будет думать, а так развод один.
> Большая часть профессионалов, в первую очередь занятые люди, и исследовать очередное по, тем более крайне невнятное,сырое по - ни кто не будет.по вашему гугл предложил всем профессионалам бросить всё и занятся зарабатыванием баунти ?
> а то взяли моду, мы вам фиг чего дадим, а вы тут с бубном попляшите.
гугл дает очень много, например исходники хромиума.
> тем более крайне невнятное,сырое по
ПО очень инновационное и стабильное (по dev ветке сижу), а вот ваш комментарий невнятный и сырой.
.
Ну кроме как код посмотреть (надеюсь вы прочли уже лицензию), в чем это "многое" выражено? И в чем иновации? В помахзал мышкой что то открылась? В чем законченность? куча функционала, ставший уже стандартом де факта для остальных браузеров, в хроме даже не пахнет. Сырой,невнятный продукт, его развивать и развивать еще.
1) <canvas> работающий в 3-4 раза быстрее чем в firefox это необходимость, которой кроме как у гугла ни у кого нету.2) NaCL это то что будет скоро в хроме из коробки, а в других даже и не пахнет.
> ставший уже стандартом де факта для остальных браузеров, в хроме даже не пахнет
Эти 2 пункта дадут кучу потенциальных применений, где все остальные браузеры можно закапывать вместе с вашими комментариями о шашечках де факто. Шашечки - хорошо, но сначала ваши машины должны научится ездить!
Рисковый малый? Рассказать за сколько дней поймал отдел "К" моего кореша, который тырил пароли?
Конечно, давай.
Милый мой. В силу своей работы, я уже сталкивался с отделом К как свидетель(и не раз), предоставлял им материалы и прочее. Не пугайте пожалуйста ежа голой жопой, может они кого-то и ловят на показуху, а реально просто шумиха и так стращают...
>Милый мой. В силу своей работы, я уже сталкивался с отделом К
>как свидетель(и не раз), предоставлял им материалы и прочее. Не пугайте
>пожалуйста ежа голой жопой, может они кого-то и ловят на показуху,
>а реально просто шумиха и так стращают...Ну со стороны свидетеля так оно наверное и выглядит :)
>Рисковый малый? Рассказать за сколько дней поймал отдел "К" моего кореша, который тырил пароли?С тобой теперь сидит?
лично я сам бы получал от гугла да от мозиллы, чем от всяких сомнительных спамеров и кулхацкеров.
Вы полагаете, что все специалисты в области безопасности так же безнравственны, как и вы и каждый из них просто спит и видит, как бы продать информацию об обнаруженной уязвимости террористам за $1.000.000?Или, может быть, вы считаете, что предлагать вознаграждение за обнаружение уязвимостей вообще бессмысленно?
>Вы полагаете, что все специалисты в области безопасности так же безнравственны, как
>и вы и каждый из них просто спит и видит, как
>бы продать информацию об обнаруженной уязвимости террористам за $1.000.000?
>
>Или, может быть, вы считаете, что предлагать вознаграждение за обнаружение уязвимостей вообще
>бессмысленно?большинство покупающих информацию о уязвимостях, у специалистов по инфо-секьюрити, на аукционах, cовсем не террористы или киберпреступники, а ...их коллеги из компаний, непосредственно работающих в этой отрасли(проивзводители Антивирусного ПО, консалтинговые компании(хотя среди них тоже г-на случается), поставщики IDS, комплексных систем безопасности, крупные агенства СБ(включая государственные)).
p.s.
продажа информации за деньги - решает две проблемы сразу:
1. позиционирование(заведомо заинтересованы именно работающие в этой сфере).
2. отсекает помимо аутсайдеров, явных злоумышленников(за минусом крупных, международных ОПГ, большинству из них, покупка эксплоитов на аукционах - попросту не по карману).ну и естественно мотивирует исследователей.
Если кто-нибудь найдёт слишком много багов, и этому кому-нибудь перестанут платить деньги за них, поделитесь одним со мной? Я на полученные деньги жёсткий диск куплю, а если останется пожертвую нищим или авторам расширений для FireFox и Thunderbird.
ну а что? Расширений много, а не платят даже популярным ни разу.
SOO LEET
Отлично. Пользуюсь iron.
Тоже iron использую