URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 68916
[ Назад ]

Исходное сообщение
"Mozilla повышает вознаграждение за нахождение ошибок безопас..."

Отправлено opennews , 17-Июл-10 11:07 
Ещё в 2004 году компания Mozilla запустила программу (http://www.mozilla.org/security/bug-bounty.html), согласно которой исследователи получали 500 американских долларов за нахождение ошибок в безопасности в её продуктах. С тех пор практически ничего не изменилось, за исключением одной важной вещи - доля Mozilla Firefox на рынке веб браузеров возросла практически на порядок, а многие  организации с большим количеством сотрудников приняли Firefox в качестве корпоративного стандарта.


Понимая значимость высокой безопасности своих продуктов, организация приняла решение (http://blog.mozilla.com/security/2010/07/15/refresh-of-the-m.../) увеличить вознаграждение за нахождение ошибок, связанных с безопасностью, в шесть раз до $3000, однако жаждущим получить приз стоит учесть следующие правила:


-  Ошибка в безопасности должна являться оригинальным исследованием и не должна быть ранее известной.
-  Подобная ошибка должна приводить к возможности удалённой а...

URL: http://blog.mozilla.com/security/2010/07/15/refresh-of-the-m.../
Новость: http://www.opennet.me/opennews/art.shtml?num=27330


Содержание

Сообщения в этом обсуждении
"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено snizovtsev , 17-Июл-10 11:07 
> Ошибка в безопасности, найденные или вызванные использованием сторонних продуктов не подпадают под действие этой акции.

Что подразумевается под "сторонним" продуктом? Если ошибка в каком-нибудь libsomething, который поставляется вместе с firefox, но имеет свой апстрим - это сторонний или нет?


"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено solardiz , 17-Июл-10 11:28 
> Что подразумевается под "сторонним" продуктом? Если ошибка в каком-нибудь libsomething, который поставляется вместе с firefox, но имеет свой апстрим - это сторонний или нет?

Вроде как нет: "Security bugs in or caused by additional 3rd-party software (e.g. plugins, extensions) are excluded from the Bug Bounty program." Если "поставляется вместе", то это не "additional", так что под это ограничение не подпадает. Думаю, здесь все в порядке.


"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено MidNighter , 17-Июл-10 11:56 
Логично что сторонний, чего Мозиле за чужую библиотеку деньги платить.

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено sHaggY_caT , 17-Июл-10 12:12 
Интересно, а сколько на криминальном рынке ботнетчиков стоит дырка для zero-day эсплойта? Сравнимо ли?

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено Garrymar , 17-Июл-10 12:42 
Как обычно, значимость цели диктует величину оплаты. Вероятно - не сравнимо.

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено Анонимко , 17-Июл-10 12:43 
Первый же грамотный специалист (посетитель сайта), поймавший сплойт, вытащит его, исследует и получит 3000 :)

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено filosofem , 17-Июл-10 13:54 
>Интересно, а сколько на криминальном рынке ботнетчиков стоит дырка для zero-day эсплойта? Сравнимо ли?

200-500 МРОТ плюс срок.


"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено sHaggY_caT , 17-Июл-10 14:26 
>>Интересно, а сколько на криминальном рынке ботнетчиков стоит дырка для zero-day эсплойта? Сравнимо ли?
>
>200-500 МРОТ плюс срок.

Вопрос не об этом :) Просто интересно, можно ли заинтересовать тех, кто чаще пишет код для владельцев ботов, вот таким вот легальным заработком?

Или все-таки решить проблему "рублем" невозможно? Как думаете?



"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено FractalizeR , 17-Июл-10 14:50 
Думаю, что на zero-day эксплойте можно заработать гораздо больше, чем $3000 если серьезно этим заниматься.

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено pavlinux , 17-Июл-10 16:23 
Платют в кликах, примерно 6$ за 1000 ботов при DDoS. (узнать подробнее? ;) )



"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено sHaggY_caT , 17-Июл-10 17:04 
>Платют в кликах, примерно 6$ за 1000 ботов при DDoS. (узнать подробнее?
>;) )

Нет, праздное любопытство :) Порядок было узнать интересно, спасибо.


"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено pavlinux , 17-Июл-10 17:13 
Покупают примерно по 500$ за одноразовый DoS.

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено Alen , 17-Июл-10 19:56 
наверно ibm проставив у себя фаер решила вложиться в безопасность :)

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено User294 , 18-Июл-10 04:45 
Хе, гуглю переплюнули :).

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено maks_s , 18-Июл-10 22:45 
видать лавры самого дырявого браузера руководству покоя таки не дают

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено SkyRanger , 19-Июл-10 01:21 
Вообще то наоборот. Это Некрософт месяцами дыры не закрывает. Мозилле выгодно чтобы дыр было меньше...

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено maks_s , 19-Июл-10 18:43 
>Вообще то наоборот. Это Некрософт месяцами дыры не закрывает. Мозилле выгодно чтобы
>дыр было меньше...

Всем выгодно (а МС в текущей ситуации тем более), но оперативно чинить получается не всегда, будь то что плохой МС, чт хороший Мозила Фундейшн.


"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено User294 , 19-Июл-10 13:28 
Авторы самого дырявого - ничего и никому не платят. И дыры чинят месяцами. А потому - процветает черный рынок. А какой стимул MS сообщать о багах то? Это в случае MS геморройно (а вы видели у MS нормальный багтрекер?) И чинят их черт знает сколько и вознаграждение не платят. Какой же дебил будет забесплатно так геморроиться с MS и IE?

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено maks_s , 19-Июл-10 18:41 
соглашуть только с тем, что МС жмется на деньги

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено sHaggY_caT , 20-Июл-10 00:55 
>соглашуть только с тем, что МС жмется на деньги

Посмотрите тот же securityfocus: очень часто, при наличии _известных_ дырок, MS выпускает фиксы по своему "расписанию".

При этом они имеют наглость говорить, что в ФФ  в каком-то месяце вышло больше фиксов на дырки, чем на IE :)

Такая вот переформулированная правда :)

1. А сколько дырок в closed_source IE так и не нашли?
2. А сколько времени IE-юзеры _ждали_ планового выхода фиксов?

MS молча умалчивает. Если часто врать, или недоговаривать, иногда обыватели начинают верить :)


"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено аноним , 24-Июл-10 02:17 
они не жмутся. просто у них денех мало, вот и экономят.

"Mozilla повышает вознаграждение за нахождение ошибок безопас..."
Отправлено Аноним , 19-Июл-10 06:06 
Не только IBM но и другие конторы (  есть и российские ) по умолчанию ставят  Mozilla - есть и наш след и интерес.