Mozilla zvyšuje odměny za hledání chyb ve Firefoxu

19. 7. 2010

Sdílet

Mozilla zvýšila standardní odměny za objevení bezpečnostní zranitelnosti ve Firefoxu (včetně mobilní verze) a Thunderbirdu na 3 000 dolarů. Pro srovnání, standardní odměna Googlu za nalezení zneužitelné chyby v Chrome je 500 dolarů.

Microsoft podobné odměny nevyplácí vůbec, i když zranitelnosti v Internet Exploreru „vykupuje“ např. Tipping Point nebo VeriSign.

Lucas Adamski, ředitel Mozilly pro oblast bezpečnosti, uvedl, že od roku 2004, kdy Mozilla s programem přišla, se leccos změnilo. Vhodnou cestou, jak uživatelům zajistit bezpečnost, je podle něj prostě ekonomická motivace hackerů.

Platí se za chyby, které v terminologii Mozilly mají statut kritických (umožňují spuštění libovolného kódu) nebo vysoce nebezpečných (to se obvykle interpretuje jako kompromitace citlivých informací typu hesel). Zranitelnosti umožňující např. útoky proti dostupnosti služby součástí placeného programu nejsou. Současně byly zrušeny také odměny za objevy chyb v již nepodporovaném balíku aplikací Mozilla Suite.

Mozilla nebude platit lidem, kteří kromě oznámení chyby provedli takové akce, jež mohly ohrozit bezpečnost uživatelů (zveřejnění podrobností apod.). To ovšem nemá znamenat, že by oznámení chyby současně obsahovalo nějaký závazek mlčenlivosti.

bitcoin_skoleni

Tipping Point a VeriSign něco podobného vyžadují, současně ale platí podstatně lépe než Mozilla nebo Google. Americký Computerworld v této souvislosti spekuluje, že ale i přístup obou firem se může brzy změnit. Možným řešením je třeba mlčelivost omezit; pokud oprava nebude vydána k určitému datu, objevitel chyby může zveřejnit podrobnosti a nijak přitom neztrácí nárok na finanční odměnu.