Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties

Mozilla betaalt ontdekkers van gevaarlijke beveiligingslekken inmiddels fors meer dan enkele jaren geleden. Tegenwoordig krijgen vinders van gaten in de beveiliging drieduizend dollar. Dat was vroeger zeshonderd dollar.

Firefox-logoDe beloning die Mozilla voor de ontdekking van lekken betaalt, geldt alleen voor ernstige lekken die door aanvallers van buitenaf te misbruiken zijn. Dat zei Chris Hofman, director of engineering bij Mozilla, op de Hack in the Box-conferentie in Amsterdam.

Hofman erkent dat sommige andere partijen veel meer voor een lek betalen, zo meldt Security.nl, dat bij de presentatie was. In voorkomende gevallen wordt zelfs tot 100.000 dollar uitbetaald, maar voor dergelijke bedragen moet er een werkende exploit worden meegeleverd, stelt Hofman, en dat hoeft bij Mozilla niet.

Volgens de topman moet het proces van het melden en repareren van lekken beter worden gestroomlijnd. "We bevinden ons nu in het Wilde Westen", aldus Hofman. "In plaats van wapens zijn er exploits, en iedereen schiet ermee."

Hofman is wel te spreken over het update-mechanisme van Firefox. Daardoor zou 90 procent van de gebruikers binnen twee weken na een update over de nieuwste versie beschikken. Hofman werkt momenteel aan Firefox 4; onder andere de html 5-parser en css transitions zouden al in de browser verwerkt zijn. Mozilla werkt momenteel aan een build voor 64bit-platforms.

Moderatie-faq Wijzig weergave

Reacties (36)

Belachelijk dat Mozilla 3000 euro betaald om hun browser te hacken .
Nou, niet echt. 3000 dollar is wat minder dan loon van meerdere ongemotiveerde programmeurs. Programmeurs/bugtesters moet je sowieso betalen, mensen die het gewoon doen betaal je pas als je echt een lek hebt gevonden. En elke lek minder, is een punte meer voor betrouwbaareid, en dat lokt meer gebruikers, wat er tot leidt dat Firefox meer marktaandeel krijgt.
Ohja want mensen zijn machines en schrijven onhackbare code.
Foutjes komen nu eenmaal voor die mogelijk helemaal niet tevoorschijn komen voordat er daadwerkelijk een bug is. Dan gaat men spelen met de bug en kan er een exploit komen. Code wordt geschreven door mensen, mensen maken fouten ergo code bevatten fouten.

Iedereen die code schrijft snapt dat, vaak hebben mensen te maken met deadlines en wordt security er als een laag bijgedouwd, echter moet vanaf het begin al security in het model zitten, ook al denk ik zeker dat mozilla dit heeft, erger kunnen er nog altijd bugs inzitten die te exploiten zijn. Na loop van tijd wordt er meer bekend over dingen en dan zie je wel een mogelijke attack vector :)
Dus wat je zegt klopt niet, je kan niet verwachten van mensen dat ze foutloze code schrijven niet iedereen is security minded.
echter moet vanaf het begin al security in het model zitten

alleen dat is heel lastig aangezien je op dat moment ook maar een bepaalde knowledge hebt mbt security.. Dus je zult altijd hebben dat er een extra laag wordt bijgebouwd. maargoed dat is weer mooi voor de volgende rewrite..
Nou, niet echt. 3000 dollar is wat minder dan loon van meerdere ongemotiveerde programmeurs.
In Nederland klopt dit, maar er zijn genoeg landen waar dit heel veel geld is (oude gegevens maar toch:http://www.worldsalaries.org/computerprogrammer.shtml. En zeker voor jongeren die een lek ontdekken kan dit in genoeg landen betekenen dat ze een studie kunnen doen.

Daarnaast is het ook niet bedoeld als salaris maar als extra bonus om mensen te stimuleren fouten door te geven in plaats van ze te gaan gebruiken.
Ik vind het een zeer goed initiatief anders! Door deze beloningen worden mensen getriggerd om te gaan hacken, dit te publiceren en vervolgens kan Mozilla optimale bescherming tegen hacks bieden! Win-Win dus :)
Nu draai je de boel wel weer om, krijgen de zgn white hat hackers een keer een kleine beloning, dan is het weer niet goed.

Mozilla is er niet op uit dat je gaat hacken maar als je het toch doet en een ernstig lek vind,dan willen ze je wel een vergoeding geven. Het einddoel is een veilige(re) browser en daar wordt iedereen beter van. In elk geval de Fx-gebruikers...
Ik zie het niet als hacken, maar integratietesten bij de gebruikers van de browser: doet de software wat ik wil, of is er ongewenst gedrag.
Oh? Want? Misschien kun je dat een beetje onderbouwen.

Ik laat me soms wel inhuren door bedrijven om te proberen hun software of websites te hacken. Ik ben geen super-hacker maar meestal vind ik wel wat mogelijkheden.

En ja, daar krijg ik gewoon voor betaald. Als ik naar het gemiddelde kijk, dan haal ik die 3000 euro per lek echt niet. Dus Mozilla betaalt eigenlijk heel behoorlijk. Aan andere kant, als ik niets vind, dan word ik dus nog steeds betaald - en da's bij Mozilla natuurlijk niet.

Mocht je dus bij Mozilla tegen iets raars aanlopen, bv. een buffer overflow waarna de software raar reageert, dan kun je twee dingen doen: browser restarten en met je eigen bezigheden verder gaan (daar heeft Mozilla helemaal niets aan), of eventjes verder kijken of je het kunt reproduceren en zo ja, of je er daadwerkelijk wat mee kunt. En dan zou Mozilla heel graag zien dat je dit ff naar ze mailt - er kan zomaar een beloning van 3000 euro tegenover staan. Ik zou het wel weten...
Dus...
Als je een "slechterik" bent die erop uit is om iedereen te hacken en via FireFox lekken misbruikt, heb je er zelf maar weinig aan. Buiten wat plezier, maar dat is het. En misschien ook wat geld, op onrechtstreekse manieren, en maar "kans op" geld te krijgen via hacks.

PRO:
- Plezier voor jezelf }> Smiley is erg toepasselijk.

CONTRA:
- "Kans op" geld te verdienen. Misschien veel, maar misschien ook weinig. En misschien niets.


Als je een "goeierik" bent die erop uit is de lekken te melden, krijg je instant money verzekerd door Mozilla.

PRO:
- Overwinningsgevoel voor jezelf en voor anderen O-)
- 3000 dollar zo verdiend, geen zorgen over "mogelijk" geld te verdienen

CONTRA:
- niets :D

Aan welke kant sta jij?
En telt een goed geweten niet dan?
Daarbij is dat soort van "egoisme", om het zo maar even te noemen, 1 van de belangrijkste redenen dat er nog beveiliging nodig is. Als iedereen nou eens met mekaar omging zoals diegeen zelf behandeld wil worden...
Dan nog is er een kans dat een willekeurige beveiliging waar een foutje in zit, door een ongelukje het loodje moet leggen. Het is dus zelfs in een utopisch goede wereld waarin niemand kwade intenties heeft, nog steeds van belang om je "beveiliging" op orde te hebben.

Ik schrijf dit woord tussen aanhalingstekens, omdat exploits gewoon fouten zijn in de software die opgelost dienen te worden, en feitelijk zelfs niets met beveiliging te maken hoeven hebben.

[Reactie gewijzigd door mae-t.net op 3 juli 2010 17:09]

<offtopic>
Ja hallo, duh... als het zo simpel was hadden we niet eens wetten en regels nodig...
</offtopic>
Goeierik, overduidelijk.

Trots en geweten tellen ook ruimschoots mee.
het is wel slim van mozzilla want nu kunnen ze het veiliger maken
Op ajaxian staat een lijstje met nieuwe features voor firefox4. Dat ziet er zeer indrukwekkend uit. Een paar voorbeelden: hardware acceleration, WebGL ( 3d spellen via de browser ), vernieuwde javascript engine en betere SVG support ( svg image als css background bijv. )

Goed om te zien dat ze nog steeds veel aandacht hebben voor de security. Ze zijn goed bezig bij mozilla.
Stel je nou voor dat je een hele slimme hekker bent... Dan plant je eerst een lek in een nieuwe feature die verzocht is via bugzilla. En een weekje later "vindt" je je eigen gemaakte lek! Lucratief lijkt me. Hopelijk hebben ze daar wat slims op verzonnen.
Als je een Firefox bug "fixt" wordt je code eerst gereviewed voordat het wordt gemerged.

Tijdens dat proces wordt zoiets waarschijnlijk wel opgemerkt: als je een beveiligingsbug open en bloot introduceert , dan ziet een expert dat, en als je die bug onherkenbaar maakt door vaagheden en verdoezelingen in de code, dan is je code niet van genoeg kwaliteit voor goedkeuring.
Dat is een aanname. Sommige code fouten zijn zo subtiel, daar snap ik helemaal niks van dat het ook nog uitbuitbaar is.
# Submitter must not be the author of the buggy code nor otherwise involved in its contribution to the Mozilla project (such as by providing check-in reviews).

Het zal dus niet pakken :) En oja dat gaan ze heus wel vinden.
2 accounts gebruiken dan ;)
Waarschijnlijk dat iedereen zijn crimineel brein direct daar aan denkt. Maar dan moet je echt wel heel minutieus te werk gaan en geen enkele fout maken ivm dubbel inloggen en ip-adressen etc. Ik weet sowieso van mezelf dat ik in de fout zou gaan, dus zou ik het niet eens proberen :P

Dan maar ergens anders $ 3k scheppen, of het op een eerlijke manier scheppen denk ik dan.

[Reactie gewijzigd door Precision op 3 juli 2010 00:57]

De 4.0 beta1 release candidate is al uit trouwens.
ik werk zelf ook met FireFox en tot nu geen problemen gehad.

Ik gebruikte eerst google chrome maar dat vind ik niet zo fijn en snel werken al FireFox :P

[Reactie gewijzigd door Hc-Gamer op 2 juli 2010 19:21]

Iemand een adres om naartoe te mailen? Ik heb mogelijk iets gevonden...
nevermind gevonden: security@mozilla.org

[Reactie gewijzigd door Precision op 2 juli 2010 19:24]

Dat zijn wel belangrijke nullen die ze vergeten.
Zonde jammer dom
Ben ik de enige die zich ergert aan al die updates? Lekken moeten dicht, maar mogen de plugins die ik vaak gebruik misschien ook blijven werken?
Dan moet je ff de instelling aanpassen zodat plugins wel werken na een update ...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True