Mellékleteink: HUP | Gamekapocs
Keres
>> Hibrid felhőtől a konténereken át, egészen a kvantumprogramozásig - 6 klassz téma a HWSW május 21-i nagy Microsoft Azure meetupján. <<

Egyre többet fizet a Google a Chrome-bugokért

Hlács Ferenc, 2015. február 25. 15:40
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Az egynapos Pwnium versenynek búcsút intve, már egész évben komoly pénzjutalmat oszt a Google a Chrome OS rendszerében és hasonló nevű böngészőjében felfedezett hibákért. Az egy bugért kifizethető maximális összeg csökkent, az egy évben összesen kiszórható keret felső határát viszont eltörölte a cég.

Megszünteti évente megrendezett Pwnium eseményét a Google: a Chorme böngésző, illetve a Chrome OS amatőr vagy profi bugvadászai immár egész évben, a versenyt idéző mértékű jutalom reményében jelezhetik az újonnan felfedezett sebezhetőségeket a keresőóriásnak. Az egynapos Pwniumot a vállalat négy évvel ezelőtt rendezte meg először, azóta pedig minden évben ezen a napon osztotta ki a legkomolyabb összegeket a szoftvereiben talált biztonsági hibákért cserébe.

Bár a Google szerint a kezdeményezésnek köszönhetően így is számos sebezhetőséget sikerült lefülelni, annak kiterjesztésével a hibák jóval hamarabb befoltozhatók. A biztonsági szakértőknek komoly motivációt jelentő pénzjutalom nemcsak megmarad, de az arra szánt, eddig jellemzően fix összeghatárt is eltörli a vállalat, így elméletben semmilyen korlát nem vonatkozik rá, hogy egy év alatt mennyi pénzt oszthat ki a biztonsági rések felfedezőinek. Ahogy a cég egyik biztonsági szakértője Tim Willis blogposztjában fogalmazott, a felső határ "∞ millió dollár". Az egyetlen hibáért kapható maximális összege mérete viszont ezzel párhuzamosan csökkent, a cég azt a korábbi, akár 150 ezer dollár helyett 50 ezer dollárnál szabja meg.

A keresőóriás emellett a nehézkes nevezési feltételeken is jócskán lazít. A versenyre jelentkezőknek korábban többek között előre kellett regisztrálni és a rendezvényen is meg kellett jelenni, utóbbi pedig értelemszerűen sokak számára nagyban megnehezítette a részvételt. Az új rendszerben a szakértők bármikor jelezhetik a felfedezett bugokat a Chrome Vulnerability Reward Programon (VRP) keresztül.  Az egész éves jutalomprogram továbbá a hibák visszatartásának is elejét veszi, eddig ugyanis a megtalált bugokat - különösen a nagyobb jutalommal kecsegtető biztonsági réseket - a szakértők hajlamosak voltak a verseny napjáig visszatartani, hogy azok bejelentéséért honoráriumban is részesüljenek. Ez érthető módon sem a vállalat sem pedig a hibák felfedezői számár nem volt előnyös megoldás.

Hogy egy-egy bejelentett buggal kapcsolatban pontosan milyen feltételeknek kell teljesülni, hogy azokért a vállalat pénzjutalmat adjon, azt a cég a fentebb említett VRP oldalán taglalja. Willis bejegyzésének végén ugyanakkor hozzáteszi, hogy a jutalomprogram egyelőre kísérleti státuszban van, azt a Google bármikor visszavonhatja - erre azonban kicsi az esély, jelenleg úgy tűnik, a kezdeményezés a keresőóriás és a bugvadászok számára is jövedelmező lesz.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
6 klassz téma, 6 jó előadó a HWSW május 21-i nagy Microsoft Azure meetupján.