Szerző: Hlács Ferenc

2015. február 25. 15:40

Egyre többet fizet a Google a Chrome-bugokért

Az egynapos Pwnium versenynek búcsút intve, már egész évben komoly pénzjutalmat oszt a Google a Chrome OS rendszerében és hasonló nevű böngészőjében felfedezett hibákért. Az egy bugért kifizethető maximális összeg csökkent, az egy évben összesen kiszórható keret felső határát viszont eltörölte a cég.

Megszünteti évente megrendezett Pwnium eseményét a Google: a Chorme böngésző, illetve a Chrome OS amatőr vagy profi bugvadászai immár egész évben, a versenyt idéző mértékű jutalom reményében jelezhetik az újonnan felfedezett sebezhetőségeket a keresőóriásnak. Az egynapos Pwniumot a vállalat négy évvel ezelőtt rendezte meg először, azóta pedig minden évben ezen a napon osztotta ki a legkomolyabb összegeket a szoftvereiben talált biztonsági hibákért cserébe.

Bár a Google szerint a kezdeményezésnek köszönhetően így is számos sebezhetőséget sikerült lefülelni, annak kiterjesztésével a hibák jóval hamarabb befoltozhatók. A biztonsági szakértőknek komoly motivációt jelentő pénzjutalom nemcsak megmarad, de az arra szánt, eddig jellemzően fix összeghatárt is eltörli a vállalat, így elméletben semmilyen korlát nem vonatkozik rá, hogy egy év alatt mennyi pénzt oszthat ki a biztonsági rések felfedezőinek. Ahogy a cég egyik biztonsági szakértője Tim Willis blogposztjában fogalmazott, a felső határ "∞ millió dollár". Az egyetlen hibáért kapható maximális összege mérete viszont ezzel párhuzamosan csökkent, a cég azt a korábbi, akár 150 ezer dollár helyett 50 ezer dollárnál szabja meg.

Jöhet a malware-cunami az iPhone-okra?

Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

Jöhet a malware-cunami az iPhone-okra? Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

A keresőóriás emellett a nehézkes nevezési feltételeken is jócskán lazít. A versenyre jelentkezőknek korábban többek között előre kellett regisztrálni és a rendezvényen is meg kellett jelenni, utóbbi pedig értelemszerűen sokak számára nagyban megnehezítette a részvételt. Az új rendszerben a szakértők bármikor jelezhetik a felfedezett bugokat a Chrome Vulnerability Reward Programon (VRP) keresztül.  Az egész éves jutalomprogram továbbá a hibák visszatartásának is elejét veszi, eddig ugyanis a megtalált bugokat - különösen a nagyobb jutalommal kecsegtető biztonsági réseket - a szakértők hajlamosak voltak a verseny napjáig visszatartani, hogy azok bejelentéséért honoráriumban is részesüljenek. Ez érthető módon sem a vállalat sem pedig a hibák felfedezői számár nem volt előnyös megoldás.

Hogy egy-egy bejelentett buggal kapcsolatban pontosan milyen feltételeknek kell teljesülni, hogy azokért a vállalat pénzjutalmat adjon, azt a cég a fentebb említett VRP oldalán taglalja. Willis bejegyzésének végén ugyanakkor hozzáteszi, hogy a jutalomprogram egyelőre kísérleti státuszban van, azt a Google bármikor visszavonhatja - erre azonban kicsi az esély, jelenleg úgy tűnik, a kezdeményezés a keresőóriás és a bugvadászok számára is jövedelmező lesz.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról