Чел. нашел способ как разблокировать твой, юзер, телефон, не зная PIN-кода. Не так сложно там, справится и младшеклассник.
Гугле по правилам должна была выплатить 100 k$. Сначала сказали что повторный баг, по этому ничего платить не будут — 0 вместо 100 тыс. Потом когда чел. начал кипишевать, грозиться предать огласке и на сборах Google об этом говорить, даже кровью поплатился малой — таки согласились выплатить 70 k$. Ополовинили...
Т.е. довольно выгодно — на любой баг можно сказать что повтор. Чел. бесплатно за морковку вам все напишет и ответственности перед ним ровно 0. Притом что месяцами будут игнорить.
Ну а как ты предлагаешь. Если всем платить, кто про баг сообщил, то чел просто всех своих родственников подключит, чтобы гугл обанкротился. Ну и вообще какое-то планирование расходов должно же быть.
Здравствуйте, vsb, Вы писали:
vsb>Ну а как ты предлагаешь. Если всем платить, кто про баг сообщил, то чел просто всех своих родственников подключит, чтобы гугл обанкротился. Ну и вообще какое-то планирование расходов должно же быть.
А что мешает на любой баг говорить что это повтор? Должна быть некая система хешей, которые раскрываются когда баг исправлен. Тогда никаких вопросов не будет.
M>>Чот не понял — а нафига гуглу платить за повторы багов, про которые он уже в курсе? S>Ты не понял. Вообще на любой баг можно говорить что повтор — и не платить ничего.
Иии?
Это как-то оправдывает оплату дубликатов бага?
Пользователь должен иметь возможность проверить дубликат бага это или просто ему не хотят платить. Ведь технически это очень просто решить — было бы желание.
M>>Иии? M>>Это как-то оправдывает оплату дубликатов бага? S>Пользователь должен иметь возможность проверить дубликат бага это или просто ему не хотят платить. Ведь технически это очень просто решить — было бы желание.
Звучит как фича реквест, дай ссылку на твой запрос почитать.
S>Похоже что на любой баг говорят тупо — дубликат.
Это вывод из одного сомнительного случая? Или есть статистика?
S>Т.е. довольно выгодно — на любой баг можно сказать что повтор. Чел. бесплатно за морковку вам все напишет и ответственности перед ним ровно 0. Притом что месяцами будут игнорить.
Вроде все найденные уязвимости должны фиксироваться в специальных базах с уникальными идентификаторами и описаниями? Что бы ИБ специалисты были в курсе и предотвращали всё что можно предотвратить.
Здравствуйте, Shmj, Вы писали:
vsb>>Ну а как ты предлагаешь. Если всем платить, кто про баг сообщил, то чел просто всех своих родственников подключит, чтобы гугл обанкротился. Ну и вообще какое-то планирование расходов должно же быть.
S>А что мешает на любой баг говорить что это повтор? Должна быть некая система хешей, которые раскрываются когда баг исправлен. Тогда никаких вопросов не будет.
Люди же не дураки. Общаются в своих кругах. Такая стратегия быстро станет понятна и баги понесут тем, кто платить. Такие организации тоже есть. И платят обычно больше. Поэтому тут изначально добрая воля хакера, который хочет, чтобы баг исправили, а не использовали. Но любая добрая воля имеет границы.
Здравствуйте, _AND, Вы писали:
_AN>Вроде все найденные уязвимости должны фиксироваться в специальных базах с уникальными идентификаторами и описаниями? Что бы ИБ специалисты были в курсе и предотвращали всё что можно предотвратить.
B5>>Или вы на самом деле думаете, что о критичном, но еще не исправленном баге будут на каждом углу трубить? S>Могли бы доказать что уже опубликован, не раскрывая деталей публично. А в текущей версии похоже на лохотрон.
Какие бы доказательства тебя убедили, и не были бы фальсифицируемы?
Здравствуйте, Muxa, Вы писали:
B5>>>Или вы на самом деле думаете, что о критичном, но еще не исправленном баге будут на каждом углу трубить? S>>Могли бы доказать что уже опубликован, не раскрывая деталей публично. А в текущей версии похоже на лохотрон.
M>Какие бы доказательства тебя убедили, и не были бы фальсифицируемы?
Таблица с хешем и именем получившего награду на официальном сайте. Когда баг исправлен — добавляется открытое описание бага, которое соответствует этому хешу.
S>Таблица с хешем и именем получившего награду на официальном сайте. Когда баг исправлен — добавляется открытое описание бага, которое соответствует этому хешу.
И ключ от квартиры где деньги лежат?
Что из этого нельзя сделать задним числом после исправления бага?