Ещё в 2004 году компания Mozilla запустила программу (http://www.mozilla.org/security/bug-bounty.html), согласно которой исследователи получали 500 американских долларов за нахождение ошибок в безопасности в её продуктах. С тех пор практически ничего не изменилось, за исключением одной важной вещи - доля Mozilla Firefox на рынке веб браузеров возросла практически на порядок, а многие организации с большим количеством сотрудников приняли Firefox в качестве корпоративного стандарта.
Понимая значимость высокой безопасности своих продуктов, организация приняла решение (http://blog.mozilla.com/security/2010/07/15/refresh-of-the-m.../) увеличить вознаграждение за нахождение ошибок, связанных с безопасностью, в шесть раз до $3000, однако жаждущим получить приз стоит учесть следующие правила:
- Ошибка в безопасности должна являться оригинальным исследованием и не должна быть ранее известной.
- Подобная ошибка должна приводить к возможности удалённой а...URL: http://blog.mozilla.com/security/2010/07/15/refresh-of-the-m.../
Новость: http://www.opennet.me/opennews/art.shtml?num=27330
> Ошибка в безопасности, найденные или вызванные использованием сторонних продуктов не подпадают под действие этой акции.Что подразумевается под "сторонним" продуктом? Если ошибка в каком-нибудь libsomething, который поставляется вместе с firefox, но имеет свой апстрим - это сторонний или нет?
> Что подразумевается под "сторонним" продуктом? Если ошибка в каком-нибудь libsomething, который поставляется вместе с firefox, но имеет свой апстрим - это сторонний или нет?Вроде как нет: "Security bugs in or caused by additional 3rd-party software (e.g. plugins, extensions) are excluded from the Bug Bounty program." Если "поставляется вместе", то это не "additional", так что под это ограничение не подпадает. Думаю, здесь все в порядке.
Логично что сторонний, чего Мозиле за чужую библиотеку деньги платить.
Интересно, а сколько на криминальном рынке ботнетчиков стоит дырка для zero-day эсплойта? Сравнимо ли?
Как обычно, значимость цели диктует величину оплаты. Вероятно - не сравнимо.
Первый же грамотный специалист (посетитель сайта), поймавший сплойт, вытащит его, исследует и получит 3000 :)
>Интересно, а сколько на криминальном рынке ботнетчиков стоит дырка для zero-day эсплойта? Сравнимо ли?200-500 МРОТ плюс срок.
>>Интересно, а сколько на криминальном рынке ботнетчиков стоит дырка для zero-day эсплойта? Сравнимо ли?
>
>200-500 МРОТ плюс срок.Вопрос не об этом :) Просто интересно, можно ли заинтересовать тех, кто чаще пишет код для владельцев ботов, вот таким вот легальным заработком?
Или все-таки решить проблему "рублем" невозможно? Как думаете?
Думаю, что на zero-day эксплойте можно заработать гораздо больше, чем $3000 если серьезно этим заниматься.
Платют в кликах, примерно 6$ за 1000 ботов при DDoS. (узнать подробнее? ;) )
>Платют в кликах, примерно 6$ за 1000 ботов при DDoS. (узнать подробнее?
>;) )Нет, праздное любопытство :) Порядок было узнать интересно, спасибо.
Покупают примерно по 500$ за одноразовый DoS.
наверно ibm проставив у себя фаер решила вложиться в безопасность :)
Хе, гуглю переплюнули :).
видать лавры самого дырявого браузера руководству покоя таки не дают
Вообще то наоборот. Это Некрософт месяцами дыры не закрывает. Мозилле выгодно чтобы дыр было меньше...
>Вообще то наоборот. Это Некрософт месяцами дыры не закрывает. Мозилле выгодно чтобы
>дыр было меньше...Всем выгодно (а МС в текущей ситуации тем более), но оперативно чинить получается не всегда, будь то что плохой МС, чт хороший Мозила Фундейшн.
Авторы самого дырявого - ничего и никому не платят. И дыры чинят месяцами. А потому - процветает черный рынок. А какой стимул MS сообщать о багах то? Это в случае MS геморройно (а вы видели у MS нормальный багтрекер?) И чинят их черт знает сколько и вознаграждение не платят. Какой же дебил будет забесплатно так геморроиться с MS и IE?
соглашуть только с тем, что МС жмется на деньги
>соглашуть только с тем, что МС жмется на деньгиПосмотрите тот же securityfocus: очень часто, при наличии _известных_ дырок, MS выпускает фиксы по своему "расписанию".
При этом они имеют наглость говорить, что в ФФ в каком-то месяце вышло больше фиксов на дырки, чем на IE :)
Такая вот переформулированная правда :)
1. А сколько дырок в closed_source IE так и не нашли?
2. А сколько времени IE-юзеры _ждали_ планового выхода фиксов?MS молча умалчивает. Если часто врать, или недоговаривать, иногда обыватели начинают верить :)
они не жмутся. просто у них денех мало, вот и экономят.
Не только IBM но и другие конторы ( есть и российские ) по умолчанию ставят Mozilla - есть и наш след и интерес.