Video: Ryan Pretend Play Bugs Catching and learning about insects for kids!!! (Octombrie 2024)
Acum câteva zile, cercetătorii de la firma de securitate elvețiană High-Tech Bridge au raportat despre un simplu experiment. Au petrecut o zi pieptănând site-urile Yahoo pentru bug-uri, au găsit trei grave și le-au trimis la Yahoo, în scopul evaluării programului companiei de recompensare a erorilor. Recompensa lor? 12, 50 USD pe bug, rambursabile numai la magazinul companiei Yahoo. Posibil de rușinat de atenția care vizează această recompensă jalnic mică, Yahoo a ridicat recompensele pentru erori. În funcție de gravitatea problemei raportate, cercetătorii vor primi acum între 150 și 15.000 USD pentru un raport. Și da, asta e în numerar, nu tricouri.
O mulțumire personală
Într-o postare de blog populară de Ramses Martinez, identificată drept „Director, Yahoo Paranoids”, a explicat istoria programului de recompense pentru bug și noua direcție. "Am început să trimit un tricou ca personal" mulțumesc ", a spus Martinez. "Am cumpărat chiar și cămășile cu banii mei." Mai târziu, deoarece unii expeditori au primit deja un tricou, „am început să cumpăr un certificat cadou, pentru a putea primi un alt cadou la alegere”.
Martinez observă că principalul lucru de care au nevoie mulți cercetători în schimbul raportării unei erori este „o scrisoare pe care ar putea să o arate șefului sau clientului”. Tricourile și certificatele cadou au fost doar mulțumiri personale. În ceea ce privește dovada reală, „eu scriu singure aceste scrisori”.
Noua politică de raportare
Pe postarea lui Martinez, Yahoo și-a dat seama deja că politica de recompense a erorilor avea nevoie de un upgrade. "Echipa de securitate punea punctele de vedere ale programului revizuit", a spus el. "În loc să așteptăm mai mult, am decis să previzualizăm un pic mai devreme noua noastră politică de raportare a vulnerabilității."
Puteți citi detalii complete în postarea lui Martinez. Yahoo va eficientiza procesul de raportare, va lucra pentru validarea rapoartelor cât mai curând posibil și va lucra și mai mult pentru a rezolva problemele în timp util. Aceia care raportează erori verificate vor fi contactate „în cel mult paisprezece zile de la depunere (dar de obicei mult mai rapid)” și vor primi recunoașterea oficială de la Yahoo. "Pentru cele mai bine raportate probleme, vom solicita direct de pe site-ul nostru o contribuție individuală într-o" sală a faimei "."
De asemenea, nu mai există tricouri sau swag ca recompense. "Yahoo va recompensa acum persoanele fizice și firmele care identifică ceea ce clasificăm drept noi, unice și / sau probleme cu risc ridicat între 150 - 15.000 USD". În ceea ce privește mărimea recompensei, aceasta va fi „determinată de un sistem clar bazat pe un set de elemente definite care surprind gravitatea problemei”. Această politică va intra în vigoare până la sfârșitul lunii octombrie și va fi retroactivă până la 1 iulie 2013. „Aceasta include, desigur, un control pentru cercetătorii de la High-Tech Bridge care nu le-au plăcut tricoul meu”, a aruncat Martinez.
O îmbunătățire definitivă
„Nu ne-am făcut cercetările pentru bani, așa cum am spus clar la Yahoo în timp ce raportam vulnerabilitățile”, a menționat CEO-ul High-Tech Bridge, Ilia Kolochenko. "Cu toate acestea, ne bucurăm că Yahoo introduce acum noul program Bounty Bug, care va facilita relațiile lor cu cercetătorii în securitate și îi va ajuta să își îmbunătățească securitatea corporativă. Aceasta este o veste bună."
Faptul rămâne totuși că alți jucători importanți plătesc bonuri mult mai mari. Microsoft a menținut mult timp, dar la începutul acestui an a instituit o sumă de până la 100.000 USD. Facebook a plătit peste un milion de dolari în bonuri de eroare, iar Google a plătit peste două milioane. Din partea flip, recompensa Apple pentru cei care găsesc bug-uri semnificative este faima, nimic mai mult. Noul plan al Yahoo se află undeva la mijloc; vom vedea cum funcționează pentru ei.
