Mozilla повышает вознаграждение за найденные уязвимости до 3000$

>Что-то я не распарсил твою мысль о обезьянах.

Всё просто: фаерфокс уже который год лидирует по количеству найденных уязвимостей, с большим отрывом от преследователей. Вот тормозилла и пытаются повысить безопасность, приманивая людей [отностительно] большими деньгами.

Только лучше бы они эти деньги на зарплату программистам потратили, толку больше было бы.

Да, ты прав. Проверил инфу.
Сначала подумал, что цену повысили изза низкого кол-ва найденных уязвимостей.
Вот эта страница всё рассказала: http://www.mozilla.org/security/known-vulnerabilities/firefox36.html

О да. Великий учитель знает, как непременно было бы лучше и с большим толком. Как у Обезьян на зарплате, ограждающих своё ситечко флёром надёжности по принципу Неуловимого Джо. Мы люто и неистово завидуем Вашей твердокаменности. Ведь найденная (и исправленная) уязвимость — это ужасно! Куда прекраснее, если таких находок нет. Авось и злоумышленники проглядят, не заметят.

>Всё просто: фаерфокс уже который год лидирует по количеству найденных уязвимостей, с большим отрывом от преследователей. Вот тормозилла и пытаются повысить безопасность, приманивая людей [отностительно] большими деньгами.

Потому и лидирует, что ищут и исправляют. В остальных, увы, все уязвимости остаются.

лидирует по количеству найденных уязвимостей

Ты так говоришь, будто это что-то плохое. Уязвимости есть веде (да, даже в гуглохроме), но в фф их находят на порядок быстрее.

>Ты так говоришь, будто это что-то плохое.

Нет, что ты, уязвимости — это просто здорово! :)

Уязвимости есть веде (да, даже в гуглохроме), но в фф их находят на порядок больше.

fixed

на порядок быстрее.

Зашёл на secunia.com и тыкнул наугад в три уязвимости:

http://secunia.com/advisories/39175/

http://secunia.com/advisories/40309/

Статус: Highly critical, даёт доступ к системе. Уязвимы ветки 3.5.x (первая версия вышла в июне 2009 г.) и 3.6.x. Дыра закрыта в 3.6.3 (вышло в апреле 2010), 3.6.4 и 3.5.10 (вышли в июне 2010).

Итого — целый год с голой задницей. :)

http://secunia.com/advisories/37699/

Статус: Highly critical, тоже даёт доступ к системе. Уязвимы ветки 3.0.x (первая версия вышла в июне 2008 г.) и 3.5.x. Дыра закрыта в 3.0.16 и 3.5.6 (вышли в конце 2009).

Итого — **полтора года** с голой задницей.

Ну а то, что баги со статусом Low Тормозилла вообще игнорирует или фиксит ОЧЕНЬ медленно, уже ни для кого не секрет.

Например:
Угон конфидециальных данных: http://secunia.com/advisories/39925/
Подмена содержимого адрессбара: http://secunia.com/advisories/40283/

Вот в этом и вся твоя Тормозилла. :))

Ну, да пара критичных багов в фф, и что? Тебе баги гуглохрома показать?

>Ну, да пара критичных багов в фф, и что?

Их там НЕ пара, а намного больше, больше чем у кого-то ещё. Я просто выбрал три случайных.

и что?

Да так, ерунда, ничего особенного… :DD

>Ну, да пара критичных багов в фф, и что? Тебе баги гуглохрома показать?

Спокойно, просто он скромно умолчал о дате их обнаружения, что как бы и есть определяющим в «быстро фиксится».

>дате их обнаружения

…которая ни о чём не говорит. :)

Кстати, ты по ссылкам до багзиллы тормозильей добирался? Видел даты открытия и даты фикса? Судя по всему, нет. :)

>Кстати, ты по ссылкам до багзиллы тормозильей добирался? Видел даты открытия и даты фикса? Судя по всему, нет. :)

Зачем, ты ж о ней все равно ничего не сказал :)

…которая ни о чём не говорит. :)

А, месье умеет чинить баги до их обнаружения? Тогда вопрос снят.

>А, месье умеет чинить баги до их обнаружения?

Нет, месье намекает, что умные стараются с самого начала делать правильно, а не исправлять всё потом, когда через полтора года всё обнаружится.

Сам по себе, без аддонов (баги в которых никто не считает) ФФ невероятно убог. И то, что в нём находят такое гигантское кол-во багов (даже в те времена, когда никаких 20% у этой поделки не было), прекрасно говорит о умении его разработчиков.

Кстати,

просто он скромно умолчал о дате их обнаружения

Ну а то, что баги со статусом Low Тормозилла вообще игнорирует или фиксит ОЧЕНЬ медленно, уже ни для кого не секрет.

Например:

Угон конфидециальных данных: http://secunia.com/advisories/39925/

Подмена содержимого адрессбара: http://secunia.com/advisories/40283/

Если поискать, то найти ещё множество подобных багов, которые не фиксятся (ПОСЛЕ их обнаружения) месяцами. Наверное, угон чужого sessionid — это слишком маленькая проблема, чтобы великая Тормозилла ей занималась.

>Нет, месье намекает, что умные стараются с самого начала делать правильно, а не исправлять всё потом, когда через полтора года всё обнаружится.

Ох лол. Стараться-то стараются, да что-то ни у кого не получается.

>Стараться-то стараются, да что-то ни у кого не получается.

Валяй, найди вторую уязвимость в djbdns. :)) Может тогда автор сжалится и тоже тебе 1000$ отвалит.

>Валяй, найди вторую уязвимость в djbdns. :)) Может тогда автор сжалится и тоже тебе 1000$ отвалит.

Ок, после тебя с моим хелловорлдом. С браузерами всё?

>С браузерами всё?

Да. ФФ - гугно.

Вердикт окончательный и обжалованию не подлежит.

>Вердикт окончательный и обжалованию не подлежит.

Не забывай повторять.

Да.

Ок, спасибо.

В сложном продукте, который пишут несколько разработчиков, баги неизбежны. И любой, кто сталкивался с разработкой чего либо знает, что стороннему человеку найти баг легче, так как проявляется так называемое «замыливание глаз».

И в дополнение, firefox лидер по аддонам, повышающим безопасность. Ни один другой браузер не способен обеспечить такой уровень безопасности, как правильно настроенный firefox.

>В сложном продукте, который пишут несколько разработчиков, баги неизбежны.

А кто-то спорит? :)

И в дополнение, firefox лидер по аддонам, повышающим безопасность.

Ты про всякие резалки рекламы, скриптов итп, то этого добра навалом везде. Да и толку от них, с такими дырами в самом ФФ…

А за уязвимости в дополнениях сколько-нибудь платят?