Google начинает платить за найденные дыры во всех веб-продуктах

    Обкатав программу вознаграждений за найденные уязвимости на браузере Chromium, компания Google решила распространить её на все свои продукты. Теперь можно получить от $500 до $3133,7 за найденные баги в
    • *.google.com
    • *.youtube.com
    • *.blogger.com
    • *.orkut.com
    Программа вознаграждений не действует только для клиентских приложений (Android, Picasa, Google Desktop и проч.), а так всё остальное в неё включено, в том числе Gmail, Youtube и Google Docs.

    На оплату могут претендовать все серьёзные баги, особенно
    • XSS
    • XSRF / CSRF
    • XSSI (cross-site script inclusion)
    • Обход авторизации (User A получает доступ к приватным данным User B)
    • Исполнение кода на стороне сервера или внедрение кода
    Сообщать о найденной уязвимости можно здесь. Под программу вознаграждений не подпадают баги в технологиях, недавно приобретённых Google, методы чёрной SEO-оптимизации, атаки с помощью социальной инженерии, DoS-атаки и тому подобное.

    Заметим, что кроме Google только Mozilla платит за найденные баги в своих продуктах. Ни Microsoft, ни Adobe, ни Oracle не делают этого. Впрочем, с недавнего времени покупкой информации о свежих уязвимостях занимаются также TippingPoint (программа Zero Day Initiative) и VeriSign (программа iDefense), хотя их тарифы вряд ли дотягивают до тех, какие предлагает чёрный рынок.
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 62
      –28
      Интересно, если на одном из ресурсах google устроить ХабраЭффект, то среди пользователей хабры будет распределено $3133,7?
        +35
        Вы что, всерьёз уверены, что серверы Гугла можно уложить средствами Хабра?
          –27
          Ради интереса попробовать можно было бы. Но не ради того, чтобы положить серваки, а ради того, чтобы оценить поведение системы при повышенной активности пользователей. Может нашли бы какой-нибудь баг, и помогли гуглу его исправить. За что и получили бы эти $3137,7 на всех :)
            +2
            Пользователи хабра для гугла – это капля в море. Все пользователи хабра – это намного меньше 1% от пользователей гугла. О какой повышенной нагрузке может идти речь?
              –12
              ну… возможно я и переоценил количество пользователей хабры, чуть-чуть (:
                +4
                я бы сказал, меньше 1‰
                +4
                www.insight-it.ru/masshtabiruemost/arkhitektura-google/

                При таком построении системы, единственный способ заставить Гугл хотя бы чихнуть — загадить напрочь канал какому-нибудь их датацентру. В этом я лично всё-таки сомневаюсь — мне кажется, они и атаку в 100 Гбит/с выдержат (а вот Яндекс лёг). Да и то, ну отвалится один дата-центр, ну и что? Замедлится доступ, т.к. коннект будет идти к не ближайшему ДЦ. Важно то, что система не ляжет принципиально.
                  0
                  а можно ссылочку на подробности про яндекс
                    +2
                    www.rsdn.ru/forum/life/3991195.flat.aspx

                    Текст там чуть ниже.

                    Статья изначально была опубликована на Хабре, но сейчас находится в черновиках.
                  0
                  поверьте, то, что зайдут все люди хабра, это = людям которые сейчас онлайн на гугле, разделить приблизительно тысяч на 50-100.
                  Ваш КО.
                    0
                    > а ради того, чтобы оценить поведение системы при повышенной активности пользователей
                    мне смешно
                    вы хоть знаете, что такое «повышенная активность пользователей» для Google?
                    наверное, ее можно достигнуть, если только миллиард юзеров со всего мира зарегают себе ящики на gmail и начнут пересылать по 20 мегабайт каждую минуту
                      0
                      Да, согласен, что-то я совсем неоценил масштабы гугл. На работе перегрелся, переполнение буфера :)
                    +2
                    «Под программу вознаграждений не подпадают… DoS-атаки и тому подобное.»
                      –2
                      Не ради DDoS, а ради поиска места необходимой оптимизации. Почему многие сразу подумали о DDoS?
                        –2
                        К чему тогда была приведена сумма в долларах?
                          –1
                          Сумму взял с текста статьи. Мда, что-то я не подумал, что из-за этого смысл комментария может изменить свой смысл. Заработался сегодня совсем, чтож бывает
                      +7
                      лол, если пустить капельку трафика с гугла на хабр, то хабр будет только молить о пощаде.
                      –8
                      Всего Три Штуки за которые в принципе можно и «сесть»? :) Ха! Ищите дураков…

                      • НЛО прилетело и опубликовало эту надпись здесь
                          +5
                          Это ваша единственная давняя мечта?
                          • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          Интересно, что в Гугле будут делать с сотрудниками — которые допустили эти дыры :)
                            +18
                            Очевидно, станут вычитать из зарплаты указанную сумму.
                              +1
                              опередили :)
                                0
                                Ошибки в программах — нормальное явление, другое дело что QA отдел Гугла видимо работает не идеально.
                                  0
                                  QA отдел я полагаю тоже нормально работает. Просто своим тестерам нужно платить зарплату ;-)
                                    0
                                    Гугл заявлял что у них нет тестеров.
                                    Только юнит-тестирование и peer testing. Что характерно для «бесплатных» проектов (в Facebook та же история)
                                +2
                                ага, а потом злобные голодные программисты будут искать тех, кто нашел их баги и мстить, мстить, мстить…
                                0
                                Заставят оплатить от $500 до $3133,7 человеку который нашел баг ;) И, скорее всего, уволят, если баг серъезный
                                  0
                                  — $3133,7 из зарплаты :)
                                    0
                                    Удерживать с зарплаты от $500 до $3133,7
                                      +29
                                      насрут в карму =)
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        +9
                                        Корпорация бабла $)
                                        0
                                        хроника:
                                        21-й век — догадались платить за найденные баги
                                        22-й век — поняли, что данная мера очень эффективна
                                          +22
                                          23й век. Адоб терпит миллионные убытки после решения платить за найденные баги в их продуктах.
                                          0
                                          Дональд Кнут уже давно это применяет (правда, тут у соискателей премии интерес скорее спортивный): en.wikipedia.org/wiki/Knuth_reward_check
                                            0
                                            > Дональд Кнут уже давно это применяет

                                            Так вот что значит «метод Кнута и пряника»
                                            +1
                                            Что-то мне баг найти захотелось ))
                                            До наших еще идея эта дошла бы, вспомнился пост, в котором камрад описывал как баги на mail.ru отлавливал и какова реакция была
                                              +2
                                              mail.ru бы разорились…
                                              0
                                              Эти деньги будут брать из зарплаты инженеров, которые допустили эти уязвимости =)
                                                +1
                                                Они разорятся купив систему, которая стала бы отслеживать авторов уязвимостей.
                                                0
                                                надо было точку перед семеркой в сумме убрать, тогда точно «элит» получился бы. ))
                                                и желающих искать дыры прибавилось бы, хотя уверен их и так в достаточном количестве.
                                                  –1
                                                  Это баг? (в Хроме круче всего))
                                                  translate.google.com/translate?js=n&prev=_t&hl=ru&ie=UTF-8&layout=2&eotf=1&sl=en&tl=ru&u=http://code.google.com/intl/ru-RU/apis/checkout/developer/index.html&act=url
                                                    0
                                                    В чём вы здесь видите баг? ЗЫ: смотрю в Хроме
                                                      –1
                                                      перевод зацикливается
                                                        +1
                                                        ничего подобного не наблюдается. всё ок.
                                                    0
                                                    *.google.com + *.youtube.com + *.blogger.com + *.orkut.com != все веб-продукты
                                                      +10
                                                      Жду кучу денег от Google. Отписал им об рекурсивном редиректе в случае если человек залогинен в аккаунт Google при заходе на doc.google.com (заметьте DOC, а не DOCS)… Что может привести к падению LoadBalancer если такую ссылку какой то пидорас опубликует к примеру на таком большом проекте как HabraHabr Что то я сомневаюсь в получении денег. )
                                                        +17
                                                        >если такую ссылку какой то пидорас опубликует к примеру на таком большом проекте как HabraHabr

                                                        эээ… Не хочу вас огорчать, но в вашем комментарии как раз нужная ссылка
                                                        +1
                                                        Гугл ответил мне. )

                                                          0
                                                          Ответ дословно:

                                                          Спасибо за письмо.

                                                          Это не ошибка безопасности, хотя это известная проблема, что мы работаем.

                                                          Ура,
                                                          Адам, команда Google безопасности
                                                            0
                                                            тоесть денег не дали?
                                                        +5
                                                        За обход авторизации я могу получить гораздо больше чем 3k долларов.
                                                          0
                                                          Раньше гугл бесплатно чужими руками локализовывал свои сервисы, теперь — почти даром предлагает помочь с qa.
                                                          Следующим шагом будет бесплатное написание кода ;-)
                                                            –1
                                                            первый раз слышу о гугловском orkut.com
                                                              +1
                                                              Это уже давно не новость, нет?
                                                                +1
                                                                Там территорию плотно окупировали бразильцы
                                                                +1
                                                                На большинстве уязвимостей в гугловебпродуктах можно заработать гораздо больше, чем они предлагают, если дружить с головой.
                                                                Be evil, get profit.
                                                                  0
                                                                  скажите им, что в список браузеров, которые поддерживают google maps, все таки стоит вписать google chrome =) Это в документации по google maps api на сайте в русскоязычной версии

                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                  Самое читаемое