Durante un tiempo, muchas personas dedicadas al análisis de seguridad de software se han visto en una encrucijada. Si yo descubro un fallo de seguridad importante en una aplicación determinada, ¿debo comunicárselo a la compañía y esperar a que lo arreglen sin llevarme un duro, o mejor vendo ese conocimiento a una empresa que pueda aprovechar ese fallo en su propio interés?
Esto ha sido durante bastante tiempo la pregunta a la que se han enfrentado muchas de estas personas. Con el propósito de evitar de todas las formas posibles el llegar a esa situación, Mozilla y Google llevan ya tiempo trabajando en lo que se conoce como bug bounty: un sistema a través del cual aquella persona que encuentre un fallo de seguridad de este tipo podrá llevarse una buena suma de dinero.
Obviamente, descubrir este tipo de errores no está al alcance de todos ni tampoco se acepta cualquier tipo de problema como válido. En los principales blogs de ambas compañías se pueden encontrar amplia serie de requisitos que estos bugs deberán cumplir para que puedan ser considerados dentro de la categoría de Severity Security Bugs.
En cuanto a las cantidades se refiere, que es parte de la curiosidad de este tipo de iniciativas, Mozilla subió hace escasos días su oferta hasta $3000 dólares, dependiendo de la importancia que desde la propia empresa le den a un bug en concreto.
Viendo este movimiento, y como no puede ser de otra forma, Google se ha apuntado al carro de las subidas en las últimas horas y ofrece ahora $3133.7 dólares. ¿La diferencia entre una cantidad y otra? 133,7, leet para el resto de los mortales. De todas formas, y dejando las bromas aparte, toda iniciativa que tenga como fin el mejorar la seguridad del software que usamos a diario será, en principio, bienvenida.
Vía | Mozilla Blog y Chromium Blog
Requisitos a cumplir por el bug | Mozilla Blog y Google’s Severity Guidelines for Security Issues
Comentarios
"¿La diferencia entre una cantidad y otra? 1337,"
Move la , xD
Una pregunta.. Google, pues tiene forma de ofrecer U$3117... Pero Mozilla de donde saca esos U$3000 ¿?
En la sección de la web de Mozilla donde hablan del bug bounty apenas dan detalles de la procedencia del dinero. Sólo se limitan a darle las gracias "Linspire and Mark Shuttleworth, who provided start-up funding for this endeavor."
de Google que les provee el 90% de sus ingresos, o eso creo
En el 2005 la Fundación Mozilla y la Corporación Mozilla obtuvieron ingresos combinados de 52,9 millones US$, con aproximadamente el 95% derivado de las regalías de motores de búsqueda.81 82 En el 2006 la Fundación Mozilla y la Corporación Mozilla obtuvieron ingresos combinados de 66,9 millones US$, con aproximadamente el 90% derivado de las regalías de motores de búsqueda.81 83
-- editado por última vez a las 16:54
sí, por eso cuando Google sacó su propio navegador, Chrome, en Mozilla se hicieron caca, porque se podían acabar sus donaciones altruistas a un navegador OpenSource
muy bien Nahuel en #, con referencias y todo.
Sera que uso la calculadora en Windows, pero:
3113.7-3000 != 1337
3113.7-3000 = 133.7
Asi a lo tonto le das a Google una ventaja de 1203.3 euros mas de premio.
-- editado por última vez a las 15:49
Cómo sois con las comas eh :P
Gracias de todas formas! Y también a Oblid, que antes ya lo comentó pero no entendía bien qué quería decir en el comentario.
Encima que os ayudamos... Nos deberíais dar un premio, estilo Google o Mozilla...XD
No hombre, pero si veo un error, pues os lo digo, solo es eso.
P.D.: Yo tampoco entendí el comentario de Oblid XD.
Oblid quería decir: "Mueve (mové en sudamericano) la coma (,)"
¿Qué calculadora usas? Porque en mi pueblo 3113.7 - 3000 = 113.7, no 133.7.
Parece que aquí la gente no sabe restar.
De acuerdo contigo. Cuanto ofrece genbeta por bug? :P
@martian, en realidad esas formas de conjugación que pueden resultados algo extrañas tienen que ver con el fenómeno lingüistico llamado voceo. En mi país no se usa, casi nunca se usa el vos sino el usted, pero en Argentina y otros países es la regla para dirigirse respetuosamente a la segunda persona gramatical.
FAIL Jose Manuel, es voseo no voceo, hasta en el link está voseo pero en la palabra pusiste voceo :p
"fenómeno lingüistico"? por? porque no es el tipo que usan en tu país?
:S
Eso pasa por escribir de madrugada xD, me crucé, lo confieso; me confundí con voceo, de vocear.
Sobre el uso de la palabra fenómeno, que yo sepa, no tiene connotaciones negativas. Y parece que la RAE está de acuerdo, porque es la primera acepción registrada:
-- editado por última vez a las 09:18
10 Comentario moderado
-120ya te digo que ni todos los lectores juntos, horas y horas, delante del código encontraríamos muchos bugs. si dan ese dinero es porque es realmente difícil.
PD: la publicidad creo que sobra...
y por errores en las entradas de los blogs cuando pagan :D
Sorry, fui muy escueto con mi primer comentario, es que estaba algo apurado.
Más que una técnica para aumentar la seguridad (o como quieran llamarla ustedes), yo considero esto una guerra de egos: ofrecen sumas altas por que cada empresa está segura que su navegador es más seguro (valga la redundancia) que el de la competencia. El tortazo que se darán será EPIC cuando alguien descubra un bug de los grandotes y deban pagar esa suma.
Y uso Firefox, por si alguien me pregunta.
¿Por qué se darán un tortazo? Ponen esa suma expresamente para que les encuentren los bugs.
Porque ellos confían en que sus navegadores no tienen bugs de esa magnitud. Microsoft, por ejemplo, ni de idiota hubiese puesto recompenzas por esas sumas a quien encontrase un bug en IE (cualquier version).
Ahora, si un usuario encuentra un bug grave, cobrará la suma. Perfecto. Pero créeme, pasará mucha agua bajo el puente antes de que veamos "Pepito cobra los $3.000 a Google/Firefox". esto, querido amigo, es una simple guerra de egos.
No, simplemente se ofrece esa suma para lograr de una forma, tener el navegador con 0 bug grave, es decir, un navegador muy seguro, por el cual pagan ese precio para conseguirlo. El hecho de que seas cerrado y pienses que es solo por ego, me parece que dice mucho de vos...
Otro factor a tomar en cuenta es que también hay un mercado negro para estos bugs, a nosotros los pagos que ofrecen Google o Mozilla pueden parecernos atractivos pero me imagino que un bug que pueda usarse para robar información, por ejemplo, debe dar más ganancias que $3.000.
Voy a ser el unico que cuando tiene que firmar un documento o trabajar con paginas que usen el certificado digital tienen que usar el explorer porque al firefox se le atraganta todo eso? Venga pacá esos 3000 euros
pues no se que harás mal, yo no tengo ningún problema con los certificados en firefox, al revés me va de perlas.
Por cierto, si no me equivoco el lenguaje de la foto es PHP.
¿y? ¿que problema hay?
Que yo sepa ningún navegador es programado en PHP.
será otro fail de genbeta? xd
facil uno podria crear su propío bug y soltarlo por la red asi google te pagaria; dinero facil
Emm, siento desilusionarte pero creo que se refiere al navegador de Google, Google Chrome (Chromium).
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect