Попробую уточнить свой ответ, все люди будут работать, все будут искать уязвимости и присылать Яндексу, а поощрит Яндекс только одного.
Яндекс же не платит зарплату только самому лучшему специалисту? Конкурс полностью закрытый, наличие субъективного фактора в правилах, все это не очень честно по отношению к тем, кто потратит свое время на поиск, и что самое главное найдет уязвимость.
Целевая аудитория конкурса, те, кто и так получает кайф от «процесса исследования системы». Скорее всего у них уже все в порядке с признанием и хорошей работой.
Я за то, чтобы было все по-честному. Если Яндекс платит собственным сотрудникам зарплату? У них есть план по поиску узявимостей? Необходимо разделить среднюю зарплату на среднее кол-во найденных уязвимостей и платить, скажем, на Яндекс.Деньги. Даже главный приз не нужен, лучше уж его разделить, на всех, а из критериев оставить только CVSS + популярность сервиса и убрать «субъективный фактор», который написан в правилах («уровень сложности обнаружения»). Что за комиссия, как она будет его оценивать?
По гуглу писал им очень давно, кстати до сих пор не исправили. А по поводу конкурса, я просто пытался намекнуть, что надо платить хотя-бы 1000 рублей за уязвимость, тогда есть смысл писать на конкурс, ведь в нем условие 90 дней не публиковать. А так, написал в сапорт яндекса, подождал месяц и статью на хабр, 1000 рублей в кармане. А вероятность, что твоя уязвимость победит практически нулевая.
По-моему, намного выгодней некритичные уязвимости описывать в блоге Информационная безопасность и получать за каждую статью 1000 рублей :) Кстати, CSRF уже один нашел, убивает все настройки одного очень даже популярного сервиса yandex…
Вы несовсем поняли цель моей статьи, если бы я хотел сделать универсальную штуковину, я бы здесь ничего не писал. Цель всех моих статей — помочь разработчикам быстрей исправлять недостатки в их системах.
Что-то подсказывает мне, что токен, это AES криптованный блок с временем создания и идентификатором показанной каптчи, возможно даже с IP пользователя и скорее всего он уникален в пределах пяти часов хранения. Точнее смогут сказать только разработчики reCaptcha.
Яндекс же не платит зарплату только самому лучшему специалисту? Конкурс полностью закрытый, наличие субъективного фактора в правилах, все это не очень честно по отношению к тем, кто потратит свое время на поиск, и что самое главное найдет уязвимость.
Я за то, чтобы было все по-честному. Если Яндекс платит собственным сотрудникам зарплату? У них есть план по поиску узявимостей? Необходимо разделить среднюю зарплату на среднее кол-во найденных уязвимостей и платить, скажем, на Яндекс.Деньги. Даже главный приз не нужен, лучше уж его разделить, на всех, а из критериев оставить только CVSS + популярность сервиса и убрать «субъективный фактор», который написан в правилах («уровень сложности обнаружения»). Что за комиссия, как она будет его оценивать?
#cd /usr/ports/misc/zoneinfo
#sudo make install clean
#sudo tzsetup
И установить зону заноово.