https://habr.com/ru/post/698918

Чел. нашел способ как разблокировать твой, юзер, телефон, не зная PIN-кода. Не так сложно там, справится и младшеклассник.

Гугле по правилам должна была выплатить 100 k$. Сначала сказали что повторный баг, по этому ничего платить не будут — 0 вместо 100 тыс. Потом когда чел. начал кипишевать, грозиться предать огласке и на сборах Google об этом говорить, даже кровью поплатился малой — таки согласились выплатить 70 k$. Ополовинили...

Т.е. довольно выгодно — на любой баг можно сказать что повтор. Чел. бесплатно за морковку вам все напишет и ответственности перед ним ровно 0. Притом что месяцами будут игнорить.

Ну а как ты предлагаешь. Если всем платить, кто про баг сообщил, то чел просто всех своих родственников подключит, чтобы гугл обанкротился. Ну и вообще какое-то планирование расходов должно же быть.

Чот не понял — а нафига гуглу платить за повторы багов, про которые он уже в курсе?

Здравствуйте, vsb, Вы писали:

vsb>Ну а как ты предлагаешь. Если всем платить, кто про баг сообщил, то чел просто всех своих родственников подключит, чтобы гугл обанкротился. Ну и вообще какое-то планирование расходов должно же быть.

А что мешает на любой баг говорить что это повтор? Должна быть некая система хешей, которые раскрываются когда баг исправлен. Тогда никаких вопросов не будет.

Здравствуйте, Muxa, Вы писали:

M>Чот не понял — а нафига гуглу платить за повторы багов, про которые он уже в курсе?

Ты не понял. Вообще на любой баг можно говорить что повтор — и не платить ничего.

M>>Чот не понял — а нафига гуглу платить за повторы багов, про которые он уже в курсе?
S>Ты не понял. Вообще на любой баг можно говорить что повтор — и не платить ничего.

Иии?
Это как-то оправдывает оплату дубликатов бага?

Здравствуйте, Muxa, Вы писали:

M>Иии?
M>Это как-то оправдывает оплату дубликатов бага?

Пользователь должен иметь возможность проверить дубликат бага это или просто ему не хотят платить. Ведь технически это очень просто решить — было бы желание.

Похоже что на любой баг говорят тупо — дубликат.

M>>Иии?
M>>Это как-то оправдывает оплату дубликатов бага?
S>Пользователь должен иметь возможность проверить дубликат бага это или просто ему не хотят платить. Ведь технически это очень просто решить — было бы желание.
Звучит как фича реквест, дай ссылку на твой запрос почитать.

S>Похоже что на любой баг говорят тупо — дубликат.
Это вывод из одного сомнительного случая? Или есть статистика?

Здравствуйте, Muxa, Вы писали:

S>>Похоже что на любой баг говорят тупо — дубликат.
M>Это вывод из одного сомнительного случая? Или есть статистика?

Статистику никто не даст. Из одного случая уже понятно что лохотрон.

S>Т.е. довольно выгодно — на любой баг можно сказать что повтор. Чел. бесплатно за морковку вам все напишет и ответственности перед ним ровно 0. Притом что месяцами будут игнорить.

Вроде все найденные уязвимости должны фиксироваться в специальных базах с уникальными идентификаторами и описаниями? Что бы ИБ специалисты были в курсе и предотвращали всё что можно предотвратить.

Есть уязвимость в базе — 0$, нет — 100K$.

Здравствуйте, Shmj, Вы писали:

S>Статистику никто не даст. Из одного случая уже понятно что лохотрон.



Или вы на самом деле думаете, что о критичном, но еще не исправленном баге будут на каждом углу трубить?

Здравствуйте, Shmj, Вы писали:

vsb>>Ну а как ты предлагаешь. Если всем платить, кто про баг сообщил, то чел просто всех своих родственников подключит, чтобы гугл обанкротился. Ну и вообще какое-то планирование расходов должно же быть.

S>А что мешает на любой баг говорить что это повтор? Должна быть некая система хешей, которые раскрываются когда баг исправлен. Тогда никаких вопросов не будет.

Люди же не дураки. Общаются в своих кругах. Такая стратегия быстро станет понятна и баги понесут тем, кто платить. Такие организации тоже есть. И платят обычно больше. Поэтому тут изначально добрая воля хакера, который хочет, чтобы баг исправили, а не использовали. Но любая добрая воля имеет границы.

Здравствуйте, _AND, Вы писали:

_AN>Вроде все найденные уязвимости должны фиксироваться в специальных базах с уникальными идентификаторами и описаниями? Что бы ИБ специалисты были в курсе и предотвращали всё что можно предотвратить.

Кто вам даст эти базы?

Здравствуйте, B-52, Вы писали:

B5>Или вы на самом деле думаете, что о критичном, но еще не исправленном баге будут на каждом углу трубить?

Могли бы доказать что уже опубликован, не раскрывая деталей публично. А в текущей версии похоже на лохотрон.

S>Статистику никто не даст. Из одного случая уже понятно что лохотрон.

А откуда инфа что в данном случае не было дубликата?
Меня видимо заголовок ввёл в заблуждение, думал топик про правду, но пока что только про домыслы.

B5>>Или вы на самом деле думаете, что о критичном, но еще не исправленном баге будут на каждом углу трубить?
S>Могли бы доказать что уже опубликован, не раскрывая деталей публично. А в текущей версии похоже на лохотрон.

Какие бы доказательства тебя убедили, и не были бы фальсифицируемы?

Здравствуйте, Muxa, Вы писали:

M>А откуда инфа что в данном случае не было дубликата?

Когда на кону 100 тыс. — то нужно подтверждать что дубликат был. Иначе развод получается.

M>>А откуда инфа что в данном случае не было дубликата?
S>Когда на кону 100 тыс. — то нужно подтверждать что дубликат был. Иначе развод получается.

Понял тебя.
Меня видимо заголовок ввёл в заблуждение, думал топик про правду, а он просто про домыслы.

Здравствуйте, Muxa, Вы писали:

B5>>>Или вы на самом деле думаете, что о критичном, но еще не исправленном баге будут на каждом углу трубить?
S>>Могли бы доказать что уже опубликован, не раскрывая деталей публично. А в текущей версии похоже на лохотрон.

M>Какие бы доказательства тебя убедили, и не были бы фальсифицируемы?

Таблица с хешем и именем получившего награду на официальном сайте. Когда баг исправлен — добавляется открытое описание бага, которое соответствует этому хешу.

S>Таблица с хешем и именем получившего награду на официальном сайте. Когда баг исправлен — добавляется открытое описание бага, которое соответствует этому хешу.

И ключ от квартиры где деньги лежат?
Что из этого нельзя сделать задним числом после исправления бага?