mboost-dp1

SXC - patyvo

Mozilla øger dusør for sikkerhedsfejl med 500 %

- Via ThreatPost -

Mozilla mener det alvorligt, når de gerne vil have fundet fejl i deres software, og har hidtil givet 500 dollars i dusør til de, som har fundet en kritisk sikkerhedsfejl i deres programmer.

Nu går de mere aggressivt til værks og har øget dusøren til 3.000 dollars, eller lidt over 17.000 kroner i deres Security Bug Bounty Program. Dusøren gives kun til de, der rapporterer fejlen direkte til Mozilla, og hvor der er tale om en fejl, der kan udnyttes udefra.

Mozilla skrev:
A lot has changed in the 6 years since the Mozilla program was announced, and we believe that one of the best way to keep our users safe is to make it economically sustainable for security researchers to do the right thing when disclosing information.

Mozilla er en blandt få firmaer og organisationer, der officielt har meldt ud, at de vil betale for sikkerhedsfejl opdaget i deres software. Ordningen startede i sin tid med økonomisk støtte fra Linspire og Mark Shuttleworth.





Gå til bund
Gravatar #1 - Seth-Enoch
19. jul. 2010 05:49
Det er vel også den eneste rigtige måde at gøre det på? Det bliver pludselig mere atraktivt at melde fejlen til Mozilla, fremfor at smide den på sin blog eller til den første sladderpresse.

Det var dog nok lidt heldigt at MicroSoft ikke gjorde det samme med Vista. Puha en masse fejl og puha en regning MS havde fået så! :)
Gravatar #2 - froksen
19. jul. 2010 06:40
Det har nok været oppe før, men syntes næsten man kan se to sider af denne politik. Altså positivt og negativt.

Man kunne måske forstille sig at flere professionelle ville bruge tid på at finde fejl i softwaren, da de vil kunne tjene penge på at gøre sådan. Desuden vil de fejl man måske ville finde være "dybere" end umiddelbare fejl altså f.eks. i GUI´en som den almindelige brugere vil kunne hjælpe med at finde. Det vil nok give bedere fejlbeskrivelser og nemmere at fejlrette.
Det vil måske også gøre at fejlrettelserne og stabiliteten i programmet opnår en kvalitet som virksomheder også kan acceptere.

På den anden side kan man måske forstille sig at mange "normale brugere" ikke bruger nær så meget tid på at rapporterer tilbage til det åbent projekt, som Mozilla, da man tænker "leave it to the professionals".
Derved "dør" idéen måske idt om at projektet skal være drevet af et fællesskab i et fællesskab - men så igen, hvor mange succeser egentligt drevet af "frivllige"?

Måske udelukker det ene ikke det andet, men det var hvertfald umiddelbart den tanke jeg fik :-)
Gravatar #3 - HenrikH
19. jul. 2010 07:10
#2: I dunno, hvis du kunne tjene 17 stærke, på at finde en kritisk sikkerhedsfejl? Så havde du vel tjent så du kunne bruge resten af måneden på at finde en mere?

Det vil måske ligefrem gøre at nogle folk, som hidtil kun har lavet lidt OpenSource, rent faktisk kan begynde at leve af det som de kan lide at gøre?
Gravatar #4 - molte
19. jul. 2010 07:54
Er det bare mig eller burde der stå "600 %" i overskriften?
3000 / 500 = 6

EDIT: Eller ikke når der står "øger"?
Gravatar #5 - nitan
19. jul. 2010 08:04
#4 Tror når det menes med øger, så er de 2500$ + 500$ som dusøren tidligere var :)
Gravatar #6 - demolition
19. jul. 2010 08:04
molte (4) skrev:
Er det bare mig eller burde der stå "600 %" i overskriften?
3000 / 500 = 6

EDIT: Eller ikke når der står "øger"?

De øger det til 600%, hvilket betyder at de øger det med 500%. (3000-500)/500.
Gravatar #7 - GurliGebis
19. jul. 2010 08:52
Seth-Enoch (1) skrev:
Det var dog nok lidt heldigt at MicroSoft ikke gjorde det samme med Vista. Puha en masse fejl og puha en regning MS havde fået så! :)


Tjaa, nu var sikkerheden i Vista nu ikke et stort problem ;-)
Det var nok nærmere performance, og det er jo ikke performance bugs det her omhandler, men security bugs :-)
#8 - 19. jul. 2010 08:56
Og den her stigning har ikke noget at gøre med at nogle af deltagerne til det sidste Pwn2Own meldte ud at de snart ikke ville hjælpe dem(Microsoft, Mozilla etc.) mere når det var så simple sikkerhedsfejl, som alle kunne findes ved dumb fuzzing etc.
Gravatar #9 - onetreehell
19. jul. 2010 09:43
Kan vi ikke lade være med at bruge procent når det ikke er egnet? Man vinder ingenting ved at bruge 500 % forøgelse mod f. eks. 6 gange så stor dusør. Hvis det var 560%, så ville det nok give mening, men når det går op i 100 synes jeg bare det er lidt sort...
Gravatar #10 - Mort
19. jul. 2010 09:44
Gælder det også hvis man kan udnytte en fejl i en plugin (Som feks dejligt fejlfyldte Flash) ?

I mine øjne er problemet ikke at webbrowseren selv kan indeholde sikkerhedsfejl, men at alle de plugins der kræves for at bruge webbrowseren, de ikke kan køres i en tilstand hvor de ingen skade kan gøre på operativ systemet.

Så vidt jeg ved så kører Chrome sine plugins i en sandbox, som skulle beskytte systemet, selv hvis en plugin crasher, men jeg ved ikke om systemet rent faktisk virker.
Gravatar #11 - Finnbogi
19. jul. 2010 10:31
Security bugs in or caused by additional 3rd-party software (e.g. plugins, extensions) are excluded from the Bug Bounty program.
Gravatar #12 - Windcape
20. jul. 2010 08:55
Damn, ville ønske det var i dag jeg havde rapporteret en bug ind.

De $500 dengang var dog heller ikke dårlige :)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login