Відео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Вересень 2024)
Пару днів тому дослідники швейцарської охоронної фірми High-Tech Bridge повідомили про простий експеримент. Вони провели день, розчісуючи веб-сайти Yahoo для помилок, знайшли три серйозні та подали їх у Yahoo, щоб оцінити програму компанії за помилки компанії. Їх нагорода? $ 12, 50 за помилку, викуплена лише в магазині компанії Yahoo. Можливо, присоромлений увагою, спрямованою на цю жалюгідну маленьку винагороду, Yahoo підняв щедрості помилок. Залежно від гостроти проблеми, яка повідомляється, дослідники тепер отримуватимуть від 150 до 15 000 доларів за звіт. І так, це готівкою, а не футболками.
Особиста подяка
У фольклорному дописі блогу Рамсеса Мартінеса, визначеного як "Директор, Yahoo Paranoids", роз'яснюється історія програми з виправлення помилок та її новий напрямок. "Я почав надсилати футболку як особисту" подяку ", - сказав Мартинес. "Я навіть купував сорочки власними грошима". Пізніше, оскільки деякі представники вже отримали футболку, "я почав купувати подарунковий сертифікат, щоб вони могли отримати ще один подарунок на свій вибір".
Мартінес зазначає, що головне, що потрібно багатьом дослідникам в обмін на повідомлення про помилку, - це "лист, який вони могли показати своєму начальнику чи клієнту". Футболки та подарункові сертифікати були лише особистою подякою. Що стосується фактичного доказу, то "я сам пишу ці листи".
Нова політика звітування
На посаду Мартінеса Yahoo уже зрозумів, що політика щодо помилок потребує оновлення. "Команда з питань безпеки наголосила на доопрацьованій програмі", - сказав він. "Замість того, щоб більше чекати, ми вирішили переглянути попередню політику звітування про вразливість трохи раніше".
Ви можете прочитати повну інформацію в посту Мартінеса. Yahoo впорядкує процес звітування, працюватиме над тим, щоб якнайшвидше перевірити звіти, а ще посилити зусилля для своєчасного вирішення проблем. Ті, хто повідомляє про підтверджені помилки, зв’язуватимуться "не пізніше ніж через чотирнадцять днів після надсилання (але, як правило, набагато швидше)" і отримають офіційне визнання від Yahoo. "Для найкращих проблем, про які ми повідомляємо, ми безпосередньо викличемо з нашого сайту внесок особистості у" зал слави "."
Крім того, більше не футболок або пуховиків як нагороди. "Yahoo тепер винагородить приватних осіб та фірми, які визначають те, що ми класифікуємо як нові, унікальні та / або проблеми з високим ризиком від 150 до 15 000 доларів". Що стосується розміру виграші, то він "визначатиметься чіткою системою на основі набору визначених елементів, що фіксують гостроту питання". Ця політика набуде чинності до кінця жовтня, і вона матиме зворотну активність до 1 липня 2013 року. "Це, звичайно, включає перевірку для дослідників на високотехнологічному мосту, яким не сподобалась моя футболка", - надихався Мартинес .
Певне поліпшення
"Ми не проводили дослідження за гроші, як ми чітко сказали Yahoo, повідомляючи про вразливості", - зазначив генеральний директор High-Tech Bridge Ілля Колоченко. "Однак ми раді, що зараз Yahoo представляє нову програму Bug Bounty, яка полегшить їхні стосунки з дослідниками безпеки та допоможе їм покращити їх корпоративну безпеку. Це, безумовно, хороша новина".
Однак факт залишається фактом, що інші великі гравці виплачують набагато більші помилки. Microsoft тривалий час тримався, але на початку цього року він створив суму до 100 000 доларів. Facebook заплатив понад мільйон доларів за прихильність помилок, а Google, як повідомляється, заплатив понад два мільйони. З іншого боку, нагорода Apple тим, у кого виявляються значні помилки, є слава, не більше того. Новий план Yahoo потрапляє десь посередині; ми побачимо, як це у них виходить.
