Стоит ли платить хакерам за поиск багов?

[Smorpy]

Найдите 10 уникальных багов на нашем сайте и получи $100!
Вот это правильный подход :)

[dab512]

Это подход типа: перекопай огород в 10 соток за 100 рублей

Имхо должно быть: 100$ за небольшой баг с объяснением как защититься
1000$ за критический баг связанный с безопасностью паролей и учетных записей

[Vertex]

а зачем еще нужны проститутки? :)

[jeje]

Было дело недавно, нашел уязвимость в Moneybookers(платежной системе). Написал — хоть бы как-то отреагировали.

[Odes]

Добавили бы копию в вебмани в письме отреагировали мгновенно =)

[jeje]

Вебмани не конкурент манибукерсу ;)

[nekt]

Согласен — зачастую компании не то что не готовы платить за найденные баги… они просто не хотят тратить ресурсы на устранение уже существующих…

[skazkin]

Сколько я ни находил багов на сайтах (в другом как-то не ищутся они :D ) — крайне редко их использовал в чёрных целях — всегда сдавал их владельцам сайтов или же разработчикам тех цмсок.

В итоге за всё время только один (!) человек удосужился мне ответить добрым словом, и попросил проверить новую версию сайта на уязвимости — по доброте душевной сдал ему сразу всё что нашёл за бесплатно)

Все остальные или игнорировали, или тупо ничего не делали.

[lacki]

На одном почтовом сервере зарегистрировал себе ящик root@example.com, ну и всё ошибки крона сыпались мне в почту… а там пароли, пути. В общем написал я им с этого ящика письмо про это, так они не только спасибо не сказали, но ещё и пароль у ящика сменили :(

А вобще да, мне спасибо тоже небольше 2-3 раз говорили :(

[Raz0r]

Обнаружение эксплоитов — тяжелая работа

да не особо сложная… вот к примеру тут их легко обнаружить: milw0rm.com/ ;)

[EiZeRR]

«обнаружение эксплоитов», простите, у меня когнитивный диссонанс, это как эксплоиты можно обнаруживать?

А что — хакеры все законно делают, работа тестеров ведь оплачивается.

[dim88]

Да, вы правы :) Исправил.

[crash]

а нехуй, 90% организаций скорее кинут «белого» и сдадут в органы.

[TKing]

иногда толковых «чёрных» на работу берут, хотя, это тоже после посещения органов

[odessky]

Платить. Однозначно платить.
Причем вычитать из ЗП того кодера, который допустил ляп.

[Kindigo]

хехе… если найти все возможные ошибки — кодеры будет платить работодателю, а не получать зарплату…

[odessky]

Почитайте как пишут ПО для ракет и АЭС

[nekt]

У нас тогда кодеров не останется.
Или стоимость ПО увеличестся на порядок. Если не на два.

[aosodoev]

party — компания, сторона

[atomicxp]

>подписали контакт

Баг или фича?