Coe migliorare la sicurezza dei prodotti Mozilla ma anche di tutti i prodotti correlati in qualche modo a Mozilla Firefox ? La risposta viene data quest’oggi da Mozilla che alza il premio riservato ai cacciatori di Bugs. Forse 500$ erano pochi per un ricercatore specializzato nella sicurezza, forse l’aumento del premio è la diretta conseguenza di ciò che è successo quando un plugin firefox rubava le password e veniva bloccato dopo 2000 download. L’importante è che Mozilla abbia agito e il premio del security bounty program passa da 500$ a 3000$ diventando interassante, talmente interessante che potrebbe essere uno stimolo importante per aumentare le persone che analizzano quotidianamente Firefox alla ricerca di Bugs.
Esistono tuttavia dei requisiti per meritare la ricompensa di Mozilla, ecco perchè dovete prendere nota all’indirizzo http://www.mozilla.org/security/bug-bounty-faq.html#eligible-bugs dei “requisiti di partecipazione”, sono:
Reproducible security bugs that are determined to be sg:critical or sg:high are eligible. In general we consider critical security bugs to be those that allow execution of arbitrary code on users’ systems, while high severity security bugs allow access to users’ confidential information. In the latter case we consider bugs to be sg:high only if they potentially expose high-value personal information (e.g., passwords, credit card numbers, and the like); in the context of the bug bounty program we do not consider bugs to be sg:high if they potentially expose only lower-value information (e.g., browsing history) or information that would be useful primarily for other exploits (e.g., the names of files or directories on the user’s system).
Il Cambio del Security Bount Program è interessante poichè consente ai ricercatori un introito finanziario ma anche perchè consente di prendere parte al “Bug Hunt” anche nelle release Beta, note solitamente per una quantità maggiore di Bugs.
Interessanti le considerazioni sul “silenzio dei ricercatori”. Mozilla dice che intende pagare un ricercatore per la ricerca bugs, non per il silenzio ma bugs di pericolosità alta devono seguire un determinato procedimento di segnalazione dando tempo a Mozilla di prendere le opportune contromisure per rilasciare un Fix.
Attenzione ! Abbiamo cambiato dominio !
Prosegui la lettura su Pausa Web !
