Rendet rakott a Mozilla

A Mozilla megreformálta a biztonsági kutatók számára kialakított jutalmazási programját, amely sokkal átláthatóbbá, kiszámíthatóbbá vált.
 
hirdetés
A Mozilla 2004-ben az elsők között gondolta úgy, hogy a különféle alkalmazásaiban biztonsági rések után kutakodó etikus hackereket pénzjutalomban részesíti. Azóta ez az elgondolás szélesebb körben vált elterjedté az informatikai cégek berkein belül. Tulajdonképpen egyfajta rivalizálás is kialakult a sebezhetőségek utáni hajszában, hiszen a vállalatok sokszor egymásra licitálva akarják elérni, hogy az saját bug bounty programjaik legyenek a legnépszerűbbek a szakemberek körében. A Mozilla ezúttal nem a nagyon magas díjakkal próbálja rávenni a fehérkalapos szakértőket arra, hogy neki dolgozzanak, hanem inkább egy, az eddigieknél átláthatóbb és kiszámíthatóbb szabályrendszerrel igyekszik kedveskedni.
 
A Mozilla a 2004-es kezdeményezését követően 2010-ben terjesztette ki a programját a weboldalaira, illetve a webes szolgáltatásaira. (Korábban elsősorban a Firefoxban történő hibavadászat volt a jellemző.) A megjelent hírek szerint 2010 óta a Mozilla összesen 1,6 millió dollárt fizetett ki azon szakemberek számára, akik első kézből jeleztek számára sérülékenységeket. 
 
A bug bounty programok közül meglehetősen sok esetében figyelhető meg az, hogy a jutalmakat felajánló cégek nem határozzák meg pontosan az odaítélhető jutalmak nagyságát. Vagy tól-ig határokat jelölnek meg, vagy a maximálisan kiosztható díjak nagyságát említik. Ez pedig nem igazán kedvező a kutatók számára. A problémát a Mozilla is felismerte, és úgy határozott, hogy egy egyszerű táblázatban foglalja össze, hogy milyen típusú sebezhetőségekért pontosan mennyit fizet. Annyi csavar van a dologban, hogy a fizetség attól is függ, hogy egy biztonsági résre mely weboldalon derül fény. A kritikus oldalak közé a Firefox, a Mozilla, a kiegészítők és a Bugzilla weblapjai, valamint a szinkronizáláshoz és a felhasználói fiókokhoz tartozó kiszolgálók tartoznak.

 
A legtöbb pénzt ez esetben is a jogosulatlan távoli kódfuttatásra lehetőséget adó sérülékenységekért lehet bezsebelni, hibánként maximum 5000 dollárt. Sokat érnek még az authentikációs mechanizmusok megkerülésére módot adó biztonsági rések, és az SQL injection alapú támadásokat lehetővé tevő sebezhetőségek is.
 
April King, a Mozilla biztonsági mérnöke szerint az új rendszer segítségével a biztonsági résekre vadászó szakemberek felmérhetik, hogy mennyi időráfordítással és befektetett munkával pontosan mennyit kereshetnek. Így kiszámíthatóbbá válik a tevékenységük anyagi oldala.
Vélemények
 
  1. 4

    A McAfee ePO két sérülékenységet tartalmaz.

  2. 3

    Az OpenSSL kapcsán két sérülékenységről hullt le a lepel.

  3. 3

    Az IBM Security Guardium biztonsági hibája a titkosítási szintek manipulálását teszi lehetővé.

 
Partnerhírek
Egy repülőgépet is fel lehet törni?

Nem laboratóriumi körülmények között, távolról be lehet törni egy repülőgép hálózatába.

​A Google mindig tudja, hol vagy?

Akkor is gyűjti az androidos készülékek tulajdonosainak lokációs adatait a Google, amikor kikapcsolták a helyfüggő szolgáltatásokat – ezt az adatvédelmi szabályzatban nem jelezték.

hirdetés
Közösség
1