LINUX.ORG.RU

Mozilla Foundation теперь платит деньги за обнаружение уязвимостей в коде


0

0

2-го августа Mozilla Foundation объявила о начале кампании под названием "Mozilla Security Bug Bounty Program". Согласно условиям этой кампании, пользователи, которые обнаружили критическую уязвимость в безопасности браузера (critical security bug) получат в награду $500.
Спонсорами данной кампании являются Linspire, Inc. (бывш. Lindows) и Mark Shuttleworth (известный интернет-предприниматель, спонсирующий множество open source проектов).

>>> Пресс-релиз на mozilla.org

★★★

Проверено: mator ()

А вот мой коллега скептически заявил что ИЕ гораздо надежнее чем мозила якобы его больше атакуют и у него больше пользователей, а если бы мозилу так юзали и так атаковали то она типа вообще бы ркхнула на дно. Думаю что он не прав!

veent ★★
()

А кто может подсказать примерную статистику, сколько за последний год найдено таких уязвимостей в мозилле?

LexaS
()
Ответ на: комментарий от veent

Ага :-) И после патча для осла выходит чуть-чуть поправленный эксплойт и всё по новой :-))

adarovsky ★★★★
()
Ответ на: комментарий от hoopoe

1) У МС есть неплохой штат тестеров. 2) Они и сейчас платят, но тем, кто поможет взять злых хацкеров и вирусописак. Платят около полумиллиона бачей.

anonymous
()
Ответ на: комментарий от veent

Откуда ты знаешь, что он не прав? Мозиллу ломать - нафиг никому не надо, ибо у нее слишком мало приверженцев (в мировом масштабе). Если бы ее начали активно ломать, еще неизвестно, сколько бы она продержалась.

anonymous
()
Ответ на: комментарий от anonymous

Ну вот теперь, наверное будет стимул ломать => в итоге получим продукт намного надежнее IE :)

А по-поводу мелкософта и его полумиллиона бачей, ФБР тоже за БенЛадена предлагает кучу бачей, просто заработать на этом сложно, нужно иметь службу похлеще ФБР чтобы его взять ) Тоже самое и с вирусописателями, ну какой чел будет разъезжать по миру и искать вирусописателей? :)

А Мозилла поступило мудро ) Если мозги есть - любой человек без гроша в кармане может заработать 500$ :)

anonymous
()
Ответ на: комментарий от anonymous

> 1) У МС есть неплохой штат тестеров.
Вот это особенно заметно по качеству их продуктов.

> 2) Они и сейчас платят, но тем, кто поможет взять злых хацкеров и
> вирусописак.
Потому что это проще (и, видимо, эффективнее) чем исправлять дыры в их ПО

Begemoth ★★★★★
()
Ответ на: комментарий от anonymous

>разъезжать по миру и искать

Зачем разъезжать? Сдай своего ближнего и прослявься! Такова идеология коммунистов и майкрософта!

Павлик Морозов

anonymous
()
Ответ на: комментарий от anonymous

Да ближних то бывает раз-два и обчелся ) Они ж там за идею все ) Ктож в советском обществе работает за деньги? :)

А когда поиск багов происходит за деньги - это, как я уже сказал ранее анонимусом, дешево и сердито. Имеешь компик за 500$ и зарабатываешь 500$ на поисках багов ) Честно говоря таким образом можно заработать не один миллион бачей :)))))

Главное мозгами работать, если они есть.

rusxakep
()

Что поразительно никто не обратил внимание на спонсоров - Linspire, Inc. (бывш. Lindows) и Mark Shuttleworth. Вот Вам и проклятые комерсанты (Lindows), заработал бабла, часть комюнити на улучшение продукта, а ведь улутченым продуктом попользуемся все мы - халявщики.

anonymous
()

ОЧЕНЬ хорошая новость !

anonymous
()

Человек с мозгами и без гроша в кармане? ;-) lol ;-)) Говорите, что на опенсурсе можно заработать хорошие деньги и при этом пишете на сайтах donate us $3 ;-)

drd ★★
()
Ответ на: комментарий от drd

>Говорите, что на опенсурсе можно заработать хорошие деньги и при этом пишете на сайтах donate us $3 ;-)

нет, гораздо честнее продавать дерьмо за две сотни баков и писать в лицензии "мы вам НИЧЕГО не гаратнируем" =)

geek ★★★
()
Ответ на: комментарий от LexaS

> А кто может подсказать примерную статистику, сколько за последний год найдено таких уязвимостей в мозилле?

Уязвимости в мозилле: http://www.mozilla.org/projects/security/known-vulnerabilities.html#mozilla1.7.1

SKYRiDER (забыл пароль)

anonymous
()
Ответ на: комментарий от anonymous

Так это пофикшенные баги. А сколько их еще неподнятых на поверхность.
Прав человек. Чем меньше пользуются продуктом, тем меньше багов видно. Будет линукс/мозилла/другое больше занимать места на десктопе, вирусы повалят, как из рога изобилия.
Это как неуловимый Джо. Почему неуловимый. Да никто не ловит.

uranium
()
Ответ на: комментарий от uranium

>А сколько их еще неподнятых на поверхность.

угу. только вот выловить баг в исходнике в сто раз проще, чем в бинарнике.т.е. при одинаковом качестве кода эксплодер был бы в сто раз защищеннее чем мозилла. Отсюда вывод - если бы качество кода у эксплодера и мазилы было одинаковым - количественно кол-во багов у этих броузеров было бы равно. В реальности же наблюдается следующая картина - в эксплодере багов в сто раз больше =) А так как это только выявленные баги - следовательно, кол-во реальных багов в эксплодере где-то в 10000 раз больше, чем кол-во реальных багов в мазиле.

geek ★★★
()
Ответ на: комментарий от uranium

Ну, повалят, как из рога изобилия -- но и пофиксят их быстро... А не до следующего мега-релиза или мега-сервиспака локти грызть. А так начинание приветствую, дядька Кнут тоже так делал, дык где в его софте баги? А это вам не 10.24 и даже не 327.68 долларов...

IMNSHO
()
Ответ на: комментарий от Begemoth

А тестер нужен для того, чтобы проверять работоспособность самого продукта. Они проверили, работает. А дыры в безопасности от того, что слишком тесно интегрировали браузер с системой.

anonymous
()
Ответ на: комментарий от anonymous

> А тестер нужен для того, чтобы проверять работоспособность самого
> продукта. Они проверили, работает. А дыры в безопасности от того, что
> слишком тесно интегрировали браузер с системой.
Дыры в браузере от того, что его с системой слишком интегрировали?
От этого дыры в системе, в первую очередь.

Begemoth ★★★★★
()
Ответ на: комментарий от Begemoth

В браузере не дыры, в браузере "люки" ;) А вот в системе - уже дыры.

anonymous
()
Ответ на: комментарий от Begemoth

>> Вот это особенно заметно по качеству их продуктов.

А что, собственно, заметно? Что продукты качественней? Так ведь оно так и есть. По крайней мере на сегодняшний день.

В чужом глазу, как говорится, соринку видим, а в своём - бревна не замечаем.

Ron
()

Хороший знак. Значит качество mozilla (по оценке самих авторов) уже в некоторой степени позволяет делать подобные вызовы народу :-)

От m$ подобной инициативы никак нельзя ожидать, т. к. людей ищущих дыры в их софте они скорее предпочтут посадить в тюрьму (DMCA и все такое), нежели наградить.

А вообще, это еще один пинок индивидуумам, проклинающим Linspire (Lindows) :-) Надеюсь теперь-то они заткнутся...

anonymous
()
Ответ на: комментарий от anonymous

а что линдоуз, линдоуз грамотно пиарится.. деньги то небольшие для такой компании..

anonymous
()
Ответ на: комментарий от Ron

>Что продукты качественней? Так ведь оно так и есть. По крайней мере на сегодняшний день.

ХВАТИТ КУРИТЬ ЭТУ ДРЯНЬ! =)

geek ★★★
()
Ответ на: комментарий от geek

>> ХВАТИТ КУРИТЬ ЭТУ ДРЯНЬ!

Разумеется, на всё один ответ.

Microsoft учится, в том числе и на своих собственных ошибках, а опенсорсники только тешат себя аутотренингом про абсолютную безглючность и юзабильность своих фетишей.

В это время кастомер покупает ноутбук с линуксом, тут же его сносит и ставит мастдайку.

Ron
()
Ответ на: комментарий от Ron

>В это время кастомер покупает ноутбук с линуксом, тут же его сносит и ставит мастдайку.

Вот ты мне объясни - чего ты на ЛОРе забыл?

geek ★★★
()
Ответ на: комментарий от geek

>>В это время кастомер покупает ноутбук с линуксом, тут же его сносит и ставит мастдайку.

>Вот ты мне объясни - чего ты на ЛОРе забыл?

Борец идеологического фронта. Майкрософт башляет, а чо ему? Хех, ничего, вот прижмут вас ребята, заставят платит бабло, за то, что вы у них украли и будет вам гроб с музыкой... Защищайте её, защищайте. Насколько я помню, ко всем, кто поворачивался к Майкрософт лицом, она поворачивалась задом...

Harzah
()
Ответ на: комментарий от eugine_kosenko

> Ну что, поздравляем с почином?

Этот баг был обнаружен ещё до начала Security Bug Bounty Program. :)

Между прочим уже вышла Mozilla 1.7.2 (ну естесственно Firefox 0.9.3/Thunderbird 0.9.3), в которой пофикшено 4 security-related бага, самый страшный из которых - remote code execution via buffer overflow, в котором виновата дырявая libpng. http://mail.mozilla.org/pipermail/press-list/2004-August/000010.html http://www.mozilla.org/projects/security/known-vulnerabilities.html#mozilla1.7.2

SKYRiDER ★★★
() автор топика
Ответ на: комментарий от oleole

> Этой ошибке 5! лет...

Ух ты! Пять факториал... Аж 120 лет... ;-)

Obidos ★★★★★
()
Ответ на: комментарий от geek

> только вот выловить баг в исходнике в сто раз проще, чем в бинарнике.т.е

Миф. Один из мифов опен сорсников.
Ты когда то смотрел в исходники мурзилки, например. Ну, в смысле пробовал там дебажить что-то, искать?
Сорса там более чем на 100 М. Скажу чесно, даже квалифицированному человеку пойдет уйма времен понять хотя бы поверхностно, что и к чему.

Любой продукт тестируется внешне (автоматичекси/интерактивно/другие способы), то есть и баги вылавливаются по результатам использования продукта. Сначала QA тима, потом конечных юзеров, в частности веб-девелоперов.
И чем больше используют, тем больше ловят.

Разница между ИЕ и мурзилкой в том, что мурзилщики, если найдут баг в своем коде сами, вопят об этом на весь мир. А ослятники просто выкладывают патч.

uranium
()
Ответ на: комментарий от LexaS

> А кто может подсказать примерную статистику, сколько за последний год найдено таких уязвимостей в мозилле?

Бессмысленно, ибо надо сравнивать "количество ошибок", а не "количество ошибок в которых публично признались".

Согласитесь, что в случае закрытых продуктов последняя цифра имеет тенденцию к занижению.

awn
()
Ответ на: комментарий от uranium

>А ослятники просто выкладывают патч.

После того как всех ословодов поимеют...если вообще выложат =)

geek ★★★
()
Ответ на: комментарий от anonymous

> Что поразительно никто не обратил внимание на спонсоров - Linspire, Inc. (бывш. Lindows) и Mark Shuttleworth. Вот Вам и проклятые комерсанты (Lindows), заработал бабла, часть комюнити на улучшение продукта, а ведь улутченым продуктом попользуемся все мы - халявщики.

Дарагой, пачему не обратил? обратил! Маладец, настоящий джигит. Слупил с Майкрософта 20 мегабаксов за Lindows - тут же часть людЯм отдал!

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.