Здравствуйте, Shmj, Вы писали:
S>А что мешает на любой баг говорить что это повтор? Должна быть некая система хешей, которые раскрываются когда баг исправлен.
Идея с хешем — норм. Так исследователи "столбят" своё первенство. Публикуется (очень часто — в твиттере) некий хеш. Потом, если вдруг потребуется доказать что ты был первый — демонстрируешь текст, с описанием твоей находки. Хеш от которого совпадает с опубликованным.
Понятно, что BigBounty плевать хотели на подобное первенство. Ведь им важнее кто зарепортил. Но как факт установления очерёдности без раскрытия — вполне.
S>Т.е. довольно выгодно — на любой баг можно сказать что повтор.
Если бы я был менеджером гугла, то сделал бы точно так же.
Всем обявлешь сто тыщ денег за баг, на все репорты отвечаешь, что повтор, и раз в полгода типа выплачиваешь(подставным людям).
Если последнее не делать, никто не будет слать репорты и какой-нибудь пострадавший от взлома может засудить.
Поэтому 'выплачивать' со скандалом, чтобы точно все узнали, что гугол таки платит.
Здравствуйте, IID, Вы писали:
IID>Идея с хешем — норм. Так исследователи "столбят" своё первенство. Публикуется (очень часто — в твиттере) некий хеш. Потом, если вдруг потребуется доказать что ты был первый — демонстрируешь текст, с описанием твоей находки. Хеш от которого совпадает с опубликованным.
IID>Понятно, что BigBounty плевать хотели на подобное первенство. Ведь им важнее кто зарепортил. Но как факт установления очерёдности без раскрытия — вполне.
Так не сработает — это должны сами Google обеспечивать. Иначе всегда могут сказать — нам уже было известно о баге до вашей публикации, просто мы не писали об этом из соображений безопасности а вашу систему хешей не используем.
S>Так не сработает — это должны сами Google обеспечивать. Иначе всегда могут сказать — нам уже было известно о баге до вашей публикации, просто мы не писали об этом из соображений безопасности а вашу систему хешей не используем.
Я специально подчеркнул что это не способ убедить BigBounty. Но как вариант застолбить свое достижение в сообществе, не раскрывая его раньше времени — действует и используется.
Здравствуйте, IID, Вы писали:
S>>Так не сработает — это должны сами Google обеспечивать. Иначе всегда могут сказать — нам уже было известно о баге до вашей публикации, просто мы не писали об этом из соображений безопасности а вашу систему хешей не используем.
IID>Я специально подчеркнул что это не способ убедить BigBounty. Но как вариант застолбить свое достижение в сообществе, не раскрывая его раньше времени — действует и используется.
А вот Google могли бы этот способ централизовать и тогда бы вопросов не возникло.
_AN>>Вроде все найденные уязвимости должны фиксироваться в специальных базах с уникальными идентификаторами и описаниями? Что бы ИБ специалисты были в курсе и предотвращали всё что можно предотвратить.
S>Кто вам даст эти базы?
Туда как правило добавляют уязвимости после того, как они исправлены. По идее надо платить за все уязвимости, которых там нет. Получатель награды должен подписать соглашение о неразглашении при получении денег (что-бы исключить вариант что он расскажет кому-нибудь и тот получит повторно). Если два человека независимо нашли одну проблему до ее фикса — платить обоим. Это кстати будет стимулировать быстро фиксить найденные уязвимости.
Здравствуйте, _AND, Вы писали:
_AN>Да пожалуйста: _AN>https://cve.mitre.org/
_AN>Туда как правило добавляют уязвимости после того, как они исправлены. По идее надо платить за все уязвимости, которых там нет. Получатель награды должен подписать соглашение о неразглашении при получении денег (что-бы исключить вариант что он расскажет кому-нибудь и тот получит повторно). Если два человека независимо нашли одну проблему до ее фикса — платить обоим. Это кстати будет стимулировать быстро фиксить найденные уязвимости.
Это честно. А то что гугле делает — попахивает лохотроном. Т.е. присылаешь баг а они тебе — извини, бро, уже сообщили — вместо 100 тыс. 0.
Здравствуйте, Muxa, Вы писали:
M>А ну так это надо заранее предусматривать. А вот прямо здесь и сейчас уже ничего не докажешь.
Естественно заранее. Деньги то заранее обещают платить? Вот и должна быть четкие критерии оплаты. А сейчас по сути на любой баг могут сказать — уже есть, ваш гонорар равен нулю. Т.е. смыла искать нет.
Здравствуйте, Shmj, Вы писали:
S>Т.е. довольно выгодно — на любой баг можно сказать что повтор. Чел. бесплатно за морковку вам все напишет и ответственности перед ним ровно 0. Притом что месяцами будут игнорить.
Нам недавно написал какой-то чел "А вы платите за баги? Куда репортить найденное?", ответили, что не платим, а писать туда-то и туда-то. И больше не слышно ничего от него. А надо было оказывается пообещать $100k, а потом кинуть, как в лучших домах
Здравствуйте, Kerk, Вы писали:
K>Здравствуйте, Shmj, Вы писали:
S>>Т.е. довольно выгодно — на любой баг можно сказать что повтор. Чел. бесплатно за морковку вам все напишет и ответственности перед ним ровно 0. Притом что месяцами будут игнорить.
K>Нам недавно написал какой-то чел "А вы платите за баги? Куда репортить найденное?", ответили, что не платим, а писать туда-то и туда-то. И больше не слышно ничего от него. А надо было оказывается пообещать $100k, а потом кинуть, как в лучших домах
За обычные баги никто ничего не платит как правило.
Некоторые компании платят за найденные уязвимости.