3000 деревянных за баг в Мозилле

http://www.xakep.ru/post/52727/

 

деревянные это рубли.

 

а мужики и не знают (с)

 

что-то там такое туманное определение бага, опять разные хитрые юридические заморочки.
спалиш им свой сплоит, они пофиксят, а потом скажут, что Ваш сплоит вне рамок нашего определения)

 

>>что-то там такое туманное определение бага, опять разные хитрые юридические заморочки.
спалиш им свой сплоит, они пофиксят, а потом скажут, что Ваш сплоит вне рамок нашего определения)

- Ну это как всегда. Куда уж без этого А потом есче вдобавок скажут что их браузер пуленепробиваемый как Арнольд ШвардцеНигер^)

 

Это игра на желании стать известным? Мол hall of fame, зеродей №1723, found by Ivanov.
А сам товарисч Иванов уже настолько потерял интерес к деньгам, что за $1337 сливает то, на чем можно снять, прикрепив к сумме пару нулей справа.
Интересная схема >)

 

deLight, вообще-то смысл поиска багофич в том, чтобы сделать ПО лучше, а не стать "тем чуваком, который нашел баг в мозилле"
не?

 

ИМХО, дешевато как-то... Обычный нанятый тестер получает в месяц наверное более чем 3000 ("там, где офис Мозиллы"), и вряд ли находит каждый месяц по критичной уязвимости. А ведь его зарплата для работодателя это еще +>=20% отчислений и "морс в офисе."

К тому же каждый даже очень продвинутый тестер имеет свой ограниченный набор методик. А тут десятки(?) разноплановых людей.

Наверное бы или продал или в паблик ... Читайте свои сырцы чаще.

 

>> ИМХО, дешевато как-то... Обычный нанятый тестер получает в месяц наверное более чем 3000 ("там, где офис Мозиллы"), и вряд ли находит каждый месяц по критичной уязвимости. А ведь его зарплата для работодателя это еще +>=20% отчислений и "морс в офисе."
К тому же каждый даже очень продвинутый тестер имеет свой ограниченный набор методик. А тут десятки(?) разноплановых людей.

- Вприципе правильно... Хотя кому как... вот парни например с 1nj3ct0r.com (бывший milw0rm.com) работают кстати "for fun ", и денег никаких при этом не срубают. Хотя большинство представленных сплойтов на сайте были выведены так сказать "умным" брутфорсом уязвимостей, если быть точнее clever fuzzing'ом.

 

ну это такие идейныя джентльмены типа клерка ыхых.

с той лишь разницей что клерку не нужны ни известность ни бабке, а ивановам известность нужна ыхых больше бабок хехе.

 

FractalFlame

все это пафос имхо популярен только у идейных нищебродов и у школоты. хацкирскей кодегз чезте, по лутше и прочий бред.

имхо адекватным людям уже давно понятно, что современная индстрия ПО -- это как правило развод на бабке или просто стремление впарить свой продукт как можно большему числу хомяков. на учение Дейкстры наплевано с колокольни, а код пишут хбз как и хбз кто (тем более в случае с мозиллай). новые версии выходят со скоростью с света -- какое тут прочесывание кода с целью его улучшения ?

не я понимаю что ПО ПОу рознь. и что допустим крутой спец найдя баг в TEX'e METAFONT'e и аналогичных труЪ-продуктах, достоянии человечества ыхых так скахзать -- то такой баг естественно передасться авторам.

но тратить личное время, котоое можно и нужно потратить на семью/друзей/образование и т.д., тратить личное время на поиск бага в кривонаписанном приложении типа ФФ, а потом этот баг подарить студентам, подняв своё ЧСВ и """встав""" на одну ступеньку с крутыме экспертаме -- это удел тех же самых школо/студентов.

 

wsd
> что-то там такое туманное определение бага, опять разные хитрые юридические заморочки.
> спалиш им свой сплоит, они пофиксят, а потом скажут, что Ваш сплоит вне рамок нашего определения)
думаю, что они готовы заплатить обозначенные деньги, но тут вспоминается анекдот:
-- гляди, вован какой я себе галстук за $50,000 купил?
-- ты чо?! вот за углом такой же по $50 продается!!!

возьмем расценки контракторов, пишуших сплоиты под известные дыры (при условии, что таких сплоитов еще нет). это грубо $350 за день при работе до недели. иногда больше (в зависимости от крутости сплоита и сложности эксплутации).

эксплоиты под серьезные дыры стоят еще больше. мой коллега продал (легально) сплоит под IE 8/Win7 за $10k, причем он был написан не с нуля, а допилен с учетом особенностей Win7.

на черном рынке за рабочий сплоит под известную дыру в фонтах (адобе выпустила патч, который можно разреверсить) предлогают до $100k, и куча народа работает в этом направлении.

а тут нам предлагают искать неизвестные дыры за смешные суммы. надо ли говорить, что поиск дыры и реверс патчей на предмет выяснения что именно было пофиксено -- находятся в разных весовых категориях? и что реверс патчей это практически гарантированный успех с прогнозируемыми трудозатратами?

 

Guru_of_Zen, всё с тобой ясно далее дискутировать нет смысла

 

мало
пусть сами ищут в этом быдло коде свои глюки

 

если и искать, то для продажи на черном рынке

 

чёрт, теперь мне хочется посмотреть "Хищника" 1987 года .)

вы думаете, всякий хеккер с зиродеем побежит пропивать хек и давить в себе чувство купленной кем-то романтики?
то есть, насколько число тех кто побежал, больше числа тех, кто не стал продавать?
хотя там сыграет "если не продам я, то продаст какой-нибудь хрен с соседнего штата, уж лучше продам я, и этому продажному хмырю не достанется денег!", и даже за триста баксов вскоре все дыры будут залатаны.

 

kaspersky
Я вот не въеду, что дает конкретно реверс патча?
Если этот самый патч вышел, значит это чем-то спровоцировано:
нашли мемберы какой-нибудь блек-хек-крю дыру, начали юзать и вот собственно реакция адобов.
Тоесть дыра уже известна, что реверсить?

 

deLight
Чаще дыры находит девелопер, обрабатывая жалобы юзверей (или своих тестеров). И он сам же их исправляет и выпускает патч.
Далее вступает человеческий фактор (большинству нах не сдались какие то там патчи).
Да и думаю, если инфа до девелопера реальна дошла от кул хацкера, то не всегда эта инфа всплывает.

 

deLight
не все обновляются вовремя, в легальных пентестах эксплоит вполне может быть юзабельным.

где же они? все эти блек-хек-крю? =)

 

T800
Выходит, есть уязвимости не опубликованные, а просто "тихо" пропатченные с очередным апдейтом?
Тогда ясно.

wf_

На улицах с табличкой "продам сплойт " не стоят, факт