Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties
Bron: Mozilla

MozillaMozilla kondigt vandaag aan dat het premies zal uitloven aan degenen die serieuze beveiligingsfouten in de software melden. Onder de naam Mozilla Security Bug Bounty Program zullen gebruikers die, naar het oordeel van Mozilla zelf, kritische bugs ontdekken en deze via e-mail bekendmaken een geldbedrag van 500 dollar krijgen. Voorwaarden zijn dat de bug nog niet eerder is gemeld, dat deze aanwezig is in de meest recente release van de software en dat de melder niet betrokken is bij de ontwikkeling van de programma's. De premies zullen gedeeltelijk betaald worden uit donaties. Daarnaast heeft Mozilla internetondernemer Mark Shuttleworth en softwareproducent Lindows bereid gevonden geld uit te trekken voor het initiatief. Voor wie niet in geld ge´nteresseerd is: een origineel Mozilla t-shirt is ook onderdeel van de beloning.

Moderatie-faq Wijzig weergave

Reacties (36)

Ik denk dat mensen die in staat zijn bewust naar dit soort bugs te zoeken door in de code te duiken, een beloning van 500 euro te laag vinden. Vaak zijn dit ook mensen die hier met hun werk veel mee te maken hebben, en dit in hun vrije tijd zeker niet willen doen.

Dat Mozilla dit soort dingen doet laat ook maar zien hoeveel mensen er geld doneren.
Ik denk dat mensen die in staat zijn bewust naar dit soort bugs te zoeken door in de code te duiken, een beloning van 500 euro te laag vinden.
Dat kan nog wel eens meevallen. In een grijs verleden heeft Donald Knuth ook beloningen uitgeloofd voor mensen die een tot dan toe onbekende bug in TeX vonden. Dat begon met een bedrag van (ik dacht) $1.28 wat steeds verdubbeld werd. Als je nu een bug in TeX vindt, dan kun je dus $327,68 tegenmoet zien. Die cheques van Knuth zijn zo gewild geworden dat iedereen ze wel wil hebben. Ze worden dan ook eerder aan de muur gehangen van verzilverd. ;)

Knuth heeft trouwens in een interview ook wel eens gezegd:
I think Microsoft should say, "You'll get a check from Bill Gates every time you find an error"
}>
Je moet natuurlijk niet onder "error" "Disk full" verstaan ;)
* Zoveel bandbreedte is er niet om al die emailtjes te vervoeren.
Bandbreedte heeft hier niets mee te maken, omdat dat niet 'op' kan raken. Het is geen opslagmedium.
dan nog er wordt tenminste iets tegenovergesteld waardoor ook mensen die er nog niet zover zijn een reden zien om hier in tijd te steken en zodoende weer meer bijleren over programeren ik vindt het een goede zaak.
Ik had net 2 weken terug 50 dollar aan mozilla gedonate, weet je ook weer waar dat geld heen gaat.

Het heeft me wel een cool mozilla.org shirt opgeleverd :)
@BlackMage: Helemaal mee eens. Bovendien, er staat dat je geen ontwikkelaar mag zijn... hoe wil je dat controleren bij opensource :? ?
Wellicht dat ze bedoelen dat je geen ontwikkelaar mag zijn van Mozilla producten.

Dus: Geen account in bugzilla (naja, dat misschien nog wel) maar vooral geen patches/commits in de CVS repository - anders zou je zelf een bug in de code kunnen stoppen en 'm daarna 'ontdekken'.

edit:
Een opmerking die ongeveer hetzelfde is staat inderdaad ook op de bug-bounty pagina en zoals slaay hieronder al zegt: Je mag geen medewerker van de Mozilla Foundation zijn


* 786562 Little
"de melder niet betrokken is bij de ontwikkeling van de programma's."

Dit zijn mensen die in dienst zijn voor Mozilla of andere aan Mozilla gerelateerde bedrijven.
Het zou dan wel erg makkelijk zijn als zij iets programmeren, een bug laten zitten en bij de release meteen de bug 'ontdekken' en ff 500 dollar kunnen vangen. Dit wil Mozilla dus voorkomen!
Wow, met zo een aktie trek je niet alleen in 1 klap veel meer gebruikers maar je werkt nog eens aan de veiligheid van je programma ook.

Alleen wat zien hun als een 'kritische bug' ? alles waarmee de privacy van de gebruiker in gevaar kan komen?
Hackers, om die buiten de deur te houden. Lijkt me logisch, maar tevens ook een moeilijke opgave.... |:(
Ik denk dat dit een goeie manier is om hackers hun skills eens ten goede te laten komen en ze als bug seekers in te zetten.
BlackHat Hackers, die eigenlijk crackers genoemd kunnen worden.

Hacker = iemand die iets bouwt, onderzoekt
Cracker = iemand die iets kapot maakt, vernietigt

Sommige mensen gebruiken alleen het woord hacker voor beiden, de verdelen het woord Hacker onder in Whitehat hackers en Blackhat hackers. Gebaseerd op het wilde westen waar de 'whitehats' de goeden waren en de 'blackhats' de slechten.

Een whitehat hacker is ge´nteresseerd in het oplossen van security bugs en ge´nteresseerd in security in het algemeen. Een blackhat hacker is ge´nteresseerd in het binnendringen van systemen om vertrouwelijke gegevens te ontvreemden of systemen te saboteren. De zogenaamde phreakers zijn op eigenwin uit, zoals bijvoorbeeld de systemen te gebruiken om op andermans kosten te bellen etc.

Kleine samenvatting, hoop dat het duidelijk is. :)
doen ze altijd al hoor, enkel ga je nu misschien wat BHH`ers hebben die krap bij kas zitten en een reportje doen
Zoals ik eerder zei en herhaal:

De meeste gebruiken de term hacken idd voor programmeren enzo maar het gaat verder als dat .. hacken is het oplossen van een probleem op een mischien niet zo logische manier .. in theorie zijn we allemaal hackers, je hebt geen handleiding; wat doe je dan? PRUTSEN TOT HET WERKT! Dat vind ik dan meer een hack zetten in het praktische niveau .. op software niveau gaat het van bitneuken tot schellcode in de buffer gooien.

Zeg dus nooit dat een cracker geen hacker is.
(Waar staat BHH voor?)
@Enlightment

Phreakers waren dacht ik iets met telefoons? :P

bij crackers denk ik zelf altijd aan cryptografische dingen. Hoe noem je die lui anders?

hackers opdelen in whitehats en blackhats is nog wel meest duidelijke denk ik. Verder was definitie van hacken zo ruim begrip (kan ref nu niet opzoeken) dat het niet direct betrekking had op beveiliging anyway.
Wat ze in het artikel vermelden gaat het zoiezo om bugs m.b.t. de veiligheid. Ik denk hierbij aan bugs zoals trojan horses, virussen en inderdaad ook privacy-gerelateerde bugs.
Ik vind dit dus geen stijl he. Het is een goed idee, en ze zullen zo denk ik wel wat meer bug submits krijgen. Maar Mozilla is open-source. Het minste wat je kan doen als je een bug vind is die aangeven zodat ze het kunnen verbeteren. Zo help je het project en het feit dat die bug verholpen word is ook in jou voordeel.

Als het nou software was waar je op een of andere manier voor betaald hebt en dat je geld terug krijgt als je een bug vind is veel logischer.
Niet iedereen die een bug vindt kan hem ook oplossen.
Vergeet ook niet dat bij MS je moet _betalen_ om bugs te _mogen_ aanmelden. Dat is echt de wereld op zijn kop.
Het minste wat je kan doen als je een bug vind is die aangeven zodat ze het kunnen verbeteren.
Door er een soort wedstrijd aan te koppelen ga je veel meer mensen (die niet tot de reguliere devs behoren) bereid vinden om te _zoeken_ naar bugs. Vergeet niet dat je niet enkel een bug moet vinden, maar hem ook moet oplossen.
Ik ben het eens met BlackMage. Die ontwikkelaars werken zich vaak rot voor niks, en jij kan als je even een bug submit 500 dollar krijgen.

Ook vind ik dit verspilling van geld. Ik ga dus niets doneren aan die gasten als ze hun geld zo weggooien.
Dat is dus onzin. Zo investeer je met z'n allen in een beter product en motiveer je meer mensen mee te denken en te helpen de qualiteit en betrouwbaarheid te verbeteren. Zo gek is dit dus niet. Zeker nu Mozilla met Firefox steeds meer aandacht krijgt, ook van kwaadwillende.

Ik vind het een goed initiatief!
Als je nou dan ook iets verder kijkt dan je eigen neus lang is zie zie je hier wel degelijk de potentie van in. :z
en dan stuur je een kritische bug in, krijg je als (auto?) reply

thank you for your submission, however we already found that specific bug, so no 500$ is rewarded..................... ;)
Als ms ooit met zo'n actie was gestart zouden hun reserves net iets lager liggen :P
Dan waren ze falliet. :+
Dit is weer een typische Michael Robertson (van Linspire) actie. Ik denk dan ook niet dat mensen bang moeten zijn dat de Mozilla organisatie geld over de balk gooit.

Michael Robertson staat waarschijnlijk achter de schermen gewoon garant.
Dat is dus positief, begrijp ik? Gelukkig :)
Leuke en orginele reactie op het vorige bericht, zo kan het dus ook!

Toch wel een indicatie dat mensen die zeggen dat het met Mozilla toch anders ligt dan bij ... niet helemaal uit hun nek lullen ;)
Het *is* ook anders omdat Mozilla voor iedereen beschikbaar is en iedereen er dus op vooruit gaat ;). Als je een commerciele software maker helpt bij het oplossen van bugs ligt dat gewoon anders en maakt de software maker meer winst door jouw buggezoek. Niet iedereen vindt dat even gepast, zeker niet in het geval van een monopolist.
ze moeten het veranderen in "wie de bug _en_ de oplossing submit verdient een beloning".
dit is anders weggooien van de donaties.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True