Mozilla povećala nagradu za lovce na bagove na 3000$
Vesti, 20.07.2010, 00:22 AM
U nastojanju da dobije dodatnu pomoć u pronalaženju bagova u svojim najpoznatijim softverskim proizvodima, kao što su Firefox, Thunderbird i Firefox Mobile, Mozilla je povećala novčanu nagradu koja se isplaćuje onima koji prijave propuste u bezbednosti, tako da ona sada iznosi 3000 dolara.
Ovaj iznos nagrade predstavlja značajno povećanje kada se zna da je do sada, u istu svrhu, Mozilla Foundation isplaćivala 500 dolara što je suma koja je bila zagarantovana nagradnim programom pokrenutim pre 6 godina. Mozilla je jedan od nekolicine proizvođača softvera koji su javno objavili da će plaćati za otkrivanje i prijavljivanje propusta u svojim programima. Naravno, uslov je da se propust prijavi proizvođaču softvera. Fondacija je postavila nekolicinu uslova koje istraživači bagova moraju ispuniti kako bi stekli pravo na isplatu nagrade, a to su, pre svih, da propust mora da bude “kritičan” i da ga je moguće iskoristiti sa udaljenog mesta.
Lucas Adamski, direktor inžinjeringa bezbednosti u Mozilla-i, izjavio je da je povećanje vrednosti nagrade reakcija kompanije na promene koje su se dogodile na polju bezbednosti od trenutka kada je nagradni program pokrenut 2004. godine.
"Za nove bagove prijavljene posle 1. jula 2010. godine važiće promenjen iznos nagrade koja je sada povećana na 3000 dolara za prihvaćeni propust. Mnogo toga se promenilo tokom poslednjih 6 godina od kada je Mozilla pokrenula nagradni program za propuste u bezbednosti, tako da verujemo da je jedan od najboljih načina da obezbedimo bezbednost svojim korisnicima upravo da motivišemo istraživače bezbednosti da učine pravu stvar kada objavljuju ovakve informacije," napisao je Adamski u svom postu na blogu.
Da bi ostvarili pravo na nagradu, propust u bezbednosti kojeg je otkrio i prijavio istraživač, mora da ispunjava sledeće uslove:
-
Propust u bezbednosti mora da bude originalan i ranije neprijavljivan.
-
Propust u bezbednosti mora da ispuni uslov iskoristljivosti sa udaljenog mesta.
-
Propust u bezbednosti mora da bude prisutan u najnovijoj ažuriranoj verziji programa, beta ili release verziji Firefox-a, Thunderbird-a, Firefox Mobile ili u Mozilla servisima koji mogu naneti štetu korisnicima ovih proizvoda, koje je objavila Mozilla Corporation ili Mozilla Messaging.
-
Propusti u bezbednosti u okviru ili prouzrokovani dodatnim third party softverom (npr. plugin-ovi, ekstenzije) su isključeni iz nagradnog programa.
Povećanje novčane vrednosti nagrade je dobar pokazatelj prilika u oblasti istraživanja ranjivosti tokom poslednjih godina. Od kada su organizacije poput TippingPoint's Zero Day Initiative i VeriSign's iDefense počele da kupuju ranjivosti od istraživača, formirajući legitimno javno tršište bagova, postoji i neprekidni pritisak istraživača na proizvođače softvera da učine isto i ponude nagrade za pronađene bagove.
Pored Mozilla-e, i Google je ustanovio program za nagrađivanje onih koji otkriju bagove. Međutim, nijedan od većih proizvođača softvera kao što su Microsoft ili Oracle nije napravio korak u ovom pravcu. Ipak, neki istraživači ovo vide kao neizbežnost.
"Svi mogu da se slože da još uvek ima prostora za poboljšanje kada je u pitanju otkrivanje ranjivosti. Tačno je da je nezavisnim istraživačima potrebno više od zahvalnosti. To nije dovoljno da bi oni provodili mesece u traganju za ranjivostima, koje potom moraju da dokažu proizvođaču i da urade još dosta toga za račun proizvođača. Nema dobre komunikacije između istraživača i Microsoft-a ili drugih proizvođača. Ustvari, oni uopšte ne komuniciraju. Koliko ovo važi za Microsoft važi i za istraživače. Istraživači propusta nikada ne kažu šta je to što Microsoft može da učini što bi ih učinilo zadovoljnim. Ovo je od presudne važnosti zato što je ne mali broj ovih momaka odgovorno prijavljivao propuste Microsot-u. Sada oni to ne rade zato što ih prodaju nekim organizacijama ili kupcima iz sajber-podzemlja ili nekom trećem.
Još jedan zanimljiv detalj Mozilla-inog nagradnog programa: istraživači koji prijave bag takođe dobijaju i Mozilla majicu. Lep gest Mozilla-e.
Preuzeto sa
Izdvojeno
Sajber kriminalci imaju novi trik: Lažnom captcha verifikacijom kradu lozinke i novac od žrtava
Sajber kriminalci su pronašli novi način da prevare korisnike da zaraze svoje sisteme - korišćenjem lažnih stranica za captcha verifikaciju, koj... Dalje
Google omogućio automatsku sinhronizaciju pristupnih ključeva preko Google Password Managera
Google je najavio da će se pristupni ključevi (passkeys) dodati u Google Password Manager automatski sinhronizovati između Windows, macOS, Linux, ... Dalje
Prevaranti koriste slike sa Google Street View za iznudu
Istraživači bezbednosti iz firme Cofense upozoravaju da prevaranti koriste slike sa Google Street View-a da zastraše korisnike koji su žrtve napad... Dalje
Google najavio nove funkcije za Google Chrome: jednokratne dozvole za sajtove i unapređeni Safety Check
Google je najavio da uvodi nove funkcije u Chrome koje korisnicima daju veću kontrolu nad njihovim podacima i štite ih od onlajn pretnji. „Sa... Dalje
Temu negira da je hakovan i da su podaci korisnika ukradeni
Popularna kineska onlajn prodavnica Temu kategorički je negirala da je hakovana i da su podaci korisnika ukradeni, nakon što je na poznatom hakersko... Dalje
Pratite nas
Nagrade