Rendet rakott a Mozilla

A Mozilla megreformálta a biztonsági kutatók számára kialakított jutalmazási programját, amely sokkal átláthatóbbá, kiszámíthatóbbá vált.
 

A Mozilla 2004-ben az elsők között gondolta úgy, hogy a különféle alkalmazásaiban biztonsági rések után kutakodó etikus hackereket pénzjutalomban részesíti. Azóta ez az elgondolás szélesebb körben vált elterjedté az informatikai cégek berkein belül. Tulajdonképpen egyfajta rivalizálás is kialakult a sebezhetőségek utáni hajszában, hiszen a vállalatok sokszor egymásra licitálva akarják elérni, hogy az saját bug bounty programjaik legyenek a legnépszerűbbek a szakemberek körében. A Mozilla ezúttal nem a nagyon magas díjakkal próbálja rávenni a fehérkalapos szakértőket arra, hogy neki dolgozzanak, hanem inkább egy, az eddigieknél átláthatóbb és kiszámíthatóbb szabályrendszerrel igyekszik kedveskedni.
 
A Mozilla a 2004-es kezdeményezését követően 2010-ben terjesztette ki a programját a weboldalaira, illetve a webes szolgáltatásaira. (Korábban elsősorban a Firefoxban történő hibavadászat volt a jellemző.) A megjelent hírek szerint 2010 óta a Mozilla összesen 1,6 millió dollárt fizetett ki azon szakemberek számára, akik első kézből jeleztek számára sérülékenységeket. 
 
A bug bounty programok közül meglehetősen sok esetében figyelhető meg az, hogy a jutalmakat felajánló cégek nem határozzák meg pontosan az odaítélhető jutalmak nagyságát. Vagy tól-ig határokat jelölnek meg, vagy a maximálisan kiosztható díjak nagyságát említik. Ez pedig nem igazán kedvező a kutatók számára. A problémát a Mozilla is felismerte, és úgy határozott, hogy egy egyszerű táblázatban foglalja össze, hogy milyen típusú sebezhetőségekért pontosan mennyit fizet. Annyi csavar van a dologban, hogy a fizetség attól is függ, hogy egy biztonsági résre mely weboldalon derül fény. A kritikus oldalak közé a Firefox, a Mozilla, a kiegészítők és a Bugzilla weblapjai, valamint a szinkronizáláshoz és a felhasználói fiókokhoz tartozó kiszolgálók tartoznak.  
A legtöbb pénzt ez esetben is a jogosulatlan távoli kódfuttatásra lehetőséget adó sérülékenységekért lehet bezsebelni, hibánként maximum 5000 dollárt. Sokat érnek még az authentikációs mechanizmusok megkerülésére módot adó biztonsági rések, és az SQL injection alapú támadásokat lehetővé tevő sebezhetőségek is.
 
April King, a Mozilla biztonsági mérnöke szerint az új rendszer segítségével a biztonsági résekre vadászó szakemberek felmérhetik, hogy mennyi időráfordítással és befektetett munkával pontosan mennyit kereshetnek. Így kiszámíthatóbbá válik a tevékenységük anyagi oldala.