mboost-dp1
Det er måske ikke mange penge for et stort firma som Google, men jeg synes alligevel det er god stil at udlove sådanne "præmier".
Det er uden tvivl også et godt markedsførings træk at have disse præmier, men i sidste ende hjælper det jo brugeren.
Det er uden tvivl også et godt markedsførings træk at have disse præmier, men i sidste ende hjælper det jo brugeren.
Selv en lille belønning kan have en effekt. Men en stor belønning har selvfølgelig en større effekt.
Finder jeg et sikkerhedshul i software fra et firma, som ikke har udlovet en belønning, så begynder jeg at overveje om det kan betale sig at rapportere det. Det er typisk i webapplikationer, jeg har prøvet at finde huller. Man finder tit den slags huller ved et tilfælde, der må være mange flere, hvis man først begynder at lede.
Chancen for at det hjælper at rapportere sådan et hul er meget lille. De færreste websites er interesseret i rapporter om sikkerhedshuller. De typiske reaktioner er at sylte sagen, ignorere henvendelsen eller blot benægte hullets eksistens. Man skal kæmpe med lag på lag af bureaukrati for at overbevise nogen om at et sikkerhedshul i webapplikationen er værd at rette.
Og ingen god gerning gøres ustraffet. Man må være forberedt på at det indebærer en risiko for et sagsanlæg, hvis man fortæller en virksomhed, at de har et sikkerhedshul i deres system.
Jeg har skam oplevet at få et svar som lettere forkortet lød: "Det er ligegyldigt at der er en SQL injektion fejl i vores webapplikation, for vi har nemlig en firewall. Så vi vil ikke spilde tid på at rette den fejl, hvis nogen alligevel skulle finde hullet kan vi jo altid sagsøge dig."
Hvis der er udlovet en belønning for at finde huller, uanset hvor lille, så sender det et signal om at man vil behandle henvendelser seriøst. Og hvis man ikke er helt tilfreds med hvordan virksomheden håndterer henvendelsen, så kan en belønning jo hurtigt rette op på den dårlige oplevelse.
Det kan godt være at der er en stor forskel på hvor seriøst sikkerheden tages i virksomheder, der laver websites, og virksomheder, der laver klientsoftware.
Finder jeg et sikkerhedshul i software fra et firma, som ikke har udlovet en belønning, så begynder jeg at overveje om det kan betale sig at rapportere det. Det er typisk i webapplikationer, jeg har prøvet at finde huller. Man finder tit den slags huller ved et tilfælde, der må være mange flere, hvis man først begynder at lede.
Chancen for at det hjælper at rapportere sådan et hul er meget lille. De færreste websites er interesseret i rapporter om sikkerhedshuller. De typiske reaktioner er at sylte sagen, ignorere henvendelsen eller blot benægte hullets eksistens. Man skal kæmpe med lag på lag af bureaukrati for at overbevise nogen om at et sikkerhedshul i webapplikationen er værd at rette.
Og ingen god gerning gøres ustraffet. Man må være forberedt på at det indebærer en risiko for et sagsanlæg, hvis man fortæller en virksomhed, at de har et sikkerhedshul i deres system.
Jeg har skam oplevet at få et svar som lettere forkortet lød: "Det er ligegyldigt at der er en SQL injektion fejl i vores webapplikation, for vi har nemlig en firewall. Så vi vil ikke spilde tid på at rette den fejl, hvis nogen alligevel skulle finde hullet kan vi jo altid sagsøge dig."
Hvis der er udlovet en belønning for at finde huller, uanset hvor lille, så sender det et signal om at man vil behandle henvendelser seriøst. Og hvis man ikke er helt tilfreds med hvordan virksomheden håndterer henvendelsen, så kan en belønning jo hurtigt rette op på den dårlige oplevelse.
Det kan godt være at der er en stor forskel på hvor seriøst sikkerheden tages i virksomheder, der laver websites, og virksomheder, der laver klientsoftware.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund