Comments 20
Тоже надеюсь, но Apple печально известна своей историей взаимодействия с такими ребятами :( Если не ошибаюсь, не первый раз по похожему поводу поднимались волны дерьма в их сторону.
Это стандартная фраза, которую они пишут перед тем как сказать что-то, что по их мнению может угрожать безопасности пользователям. Судя по всему, у них нет отдельного протокола для обработки уязвимостей, которые уже стали достоянием общественности. Возможно, если бы они не просили не разглашать содержимое письма, это помогло бы их репутации. Но это их выбор, я опубликую его после того, как они упомянут о том, что они исправили эту уязвимость. А на деньги я уже особо не рассчитываю, вряд ли они заплатят за то, что я опубликовал до исправления.
Раз корпорация считает нормальным вытирать ноги об человека который проделал такую важную работу имеет смысл отдавать подобные уязвимости тому кто оценит их по достоинству.
ОТДАВАТЬ?! В принципе, можно немножко попросить денег, те же NSO Group могут заплатить за уязвимость и продавать свои инструменты взлома. Главное - чтобы об уязвимости никто не знал. На будущее человек будет искать и продавать уязвимости, если это его хоть чему-то научило.
P.S.: "крайне может быть", что продавать уязвимости начнёт не только он, раз уж такое...
ОТДАВАТЬ?!
Я ж не сказал бесплатно :) Я сказал тем кто оценит)
Ну зачем меня, даже на пару минут, переключать в зануду?! :) Я негодую :)
немного, очень незначительно
<zanuda_mode_on>
"Отдавать" - несовершенный вид глагола "отдать", то есть, без явного указания на возмездный характер сделки, передавать безвозмездно.
<zanuda_mode_off>
А ведь
имеет смысл отдавать подобные уязвимости тому кто оценит их по достоинству
оценить по достоинству можно и то, что получил бесплатно :)
Пример: получить от человека в подарок "просто цветной/блестящий камешек", который потом окажется драгоценным камнем и будет стоит "условные миллионы".
Казалось бы - для имиджа корпорации будет только плюс если отблагодарить человека и исправить уязвимость.
Но, нет...
+1 в Карму Дениса (хотел + 100 но могу только 1), -100 в карму Apple
А потом такие люди, отправив 100-е письмо с вопросом "какого хруна??", скачивают Tor и идут искать достойное вознаграждение туда. Добавьте сюда гнев на компанию, умноженную на кол-во обращений и получите чувака, который и хотел бы всё нормально утрести, но рано или поздно приходит усталость и искушение становится всё сильнее.
Я вообще за то, чтобы была официальная платформа для продажи уязвимостей.
Чтобы багхантер, когда находит уязвимость, на калькуляторе CVSS высчитывал её оценку, плюс распространённость системы и т. д.
Далее указывал владельца системы и выкладывал заявление об уязвимости в магазин, на всеобщее обозрение.
У владельца есть единоличный приоритет на покупку на первые 90 дней.
Дальше её может купить любой желающий.
Всё, никаких гнилых переписок и "давайте по-хорошему". Хотите нормально, ок, нет, тоже ок в принципе.
Идея с аукционом хорошая, но это прям кладезь для мошенников. И есть некоторые сложности. Вот как дать понять, что за уязвимость, и не раскрыть деталей? Как быть уверенным, что уязвимость не пофиксили?
Сам площадка по продажам-покупкам уязвимостей может быть посредником между нашедшим ее продавцом и покупателем. Продал уязвимость, деньги еще не получаешь, а у покупателя есть какое-то время заявить, что уязвимость липовая или пофикшена, ну или принять ее. Ну и сама площадка имеет процентик со сделки
По тому как затягивают "лечение" уязвимостей создается впечатление, что тут бюрократии добавляют спецслужбы, которые, возможно, эти уязвимости используют.
Apple незаметно закрыла уязвимость, на которую жаловался пользователь «Хабра»