רוצים 3,000 דולרים ממוזילה? תתחילו לחפש באגים

מוזילה מציעים לכם 3,000 דולר על פגיעויות שתמצאו ביישומי מוזילה השונים, ואתם אפילו לא צריכים להחביא את מה שמצאתם מהעולם

לוגו קרן מוזילה

קרן מוזילה הודיעה ביום חמישי האחרון על הגדלת הסכום המוצע למפתחים המוצאים פגיעויות אבטחה בתוכנות מוזילה פי שש לסכום מכובד למדי של 3,000 דולרים, המיועד לפצות מפתחים על השקעת הזמן שלהם בבדיקת מוצרי הקוד הפתוח. פרטים על ציד הפגיעויות והבאגים של מוזילה ניתן למצוא באתר הפרוייקט, הקיים עוד משנת 2004 אז היתה מוזילה הראשונה להציע כסף למשתמשי תוכנות הקוד הפתוח של קרן מוזילה.

מוזילה היא אינה היחידה המציעה תשלום למשתמשים על איתור באגים בתוכנה. גוגל, למשל, מציעה סכום מירבי של 1,337 עבור איתור פגיעויות משמעתיות וסכומים קטנים יותר עבור מציאת באגים קטנים.

רק מה שחשוב

אמנם, קרן מוזילה מציעה את הסכום המדובר רק למוצאי פגיעויות ברמה “קריטית” או “גבוהה”. על פי הדירוג של מוזילה, פגיעויות קריטיות מוגדרות ככאלו שיאפשרו הרצת קוד או השתלטות על מחשב המשתמש. פגיעויות ברמת חשיבות “גבוהה” הם באגים שעשויים להוביל לגניבה או חשיפה של פרטיו האישיים של המשתמש, כמו שמות משתמש, סיסמאות ואמצעי תשלום מקוונים.

חשוב לציין שבנוסף להגדלת סכום הפרס, הוסרה מרשימת התוכנות לבדיקה חבילת יישומי מוזילה (Mozilla Suite) שפיתוחה הופסק עוד ב-2005. כמו כן, הוסף סעיף להסבר על תכנית התגמולים המדוברת בו שומרת מוזילה על הזכות שלא לשלם למשתמש שאיתר באג אם המשתמש סיכן בצורה כלשהי את כלל משתמשי מוזילה. עם זאת, בשאלות הנפוצות על התכנית, מצויין כי המשתמש אינו חייב לשמור את הגילוי שלו בסוד ויכול להפיץ את הפגיעות שמצא עוד טרם זו תוקנה. “אנחנו משלמים על איתור הבאג, לא על השתיקה שלכם,” נכתב בעמוד השאלות הנפוצות באתר בתגובה לשאלה בנושא.

לשתוק או לא לשתוק?

לאחר שחוקר בגוגל מצא פגיעות במוצר מיקרוסופט ופרסם אותה לעולם טרם שלח אליהם, התעוררו שאלות רבות על האתיקה שבאיתור פגיעויות ומסירת המידע לחברות המפתחות. מצד אחד, אנשי קרן מוזילה צודקים באומרם שאינם רוכשים את שתיקת המשתמשים אלא את המידע על הפגיעות שיוכלו לתקן כעת משזו אותרה. אסטרטגיה זו משאירה מקום לנוצלות מסוג zero-day המשתמשות בבאג שזה עתה התגלה לתקיפת מחשבים והפצת רושעות שונות. בנוסף, הימצאותו של המידע ברשת והאיום הברור על משתמשי היישום, יגרמו לחברה להוציא תיקון עבורו מוקדם יותר ולא להתמהמה.

מאידך גיסא, אם אכן המשתמשים או המפתחים המאתרים את הפגיעויות שומרים על שתיקתם, כלל משתמשי היישום נשארים מוגנים יחסית עד שהחברה מפתחת תיקון לפגיעות או הבעיה. זו היתה טענת מיקרוסופט במקרה של החוקר מגוגל, וזו היא גם טענת חברות נוספות המפעילות תוכניות איתור באגים עבור משתמשים ומפתחים, כמו חברת HP ו-VeriSign.

האם לדעתכם על חוקרי אבטחה ומשתמשים לחשוף פגיעויות שמצאו לציבור הרחב או למסור לחברה כדי שאלו יפיצו תיקון בהקדם ואולי אפילו יזרימו קצת מזומנים לאנשי אבטחת המידע שיידעו אותם?

אילנה ברודו

אשת המילה הכתובה וחובבת טכנולוגיה. גרפומנית, גיקית, גיימרית, בשלנית, ואפילו משוררת לעת מצוא. בימים עיתונאית רשת נעימת הליכות ובלילות לוחמת צדק דיגיטלי חסרת רחמים ובעלת לשון מושחזת היטב. לשעבר כתבת טכנולוגיה ב-ynet ו-walla!.

הגב

2 תגובות על "רוצים 3,000 דולרים ממוזילה? תתחילו לחפש באגים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אור
Guest

במקרה של מייקרוסופט אותו מפתח מגוגל שיחק משחק מלוכלך, אפילו שזו מייקרוסופט. הוא יכל לתת להם לפחות אזהרה כלשהי לתקן את הבאג. האשמה פה נופלת על מייקרוסופט, ללא ספק. זה שהמדווח התנהג בצורה קצת ילדותית לא פוטר אותם מלהוציא מוצר חסר באגים מהסוג הזה במידת האפשר.
מצד שני, זה יכל להיות האקר בלקהט שגילה את הבאג והיה מחליט להתעלל במספר גדול מאוד של משתמשים ואז באמת היה נזק משמעותי…

בקשר למוזילה, כל הכבוד להם. :)

גיל
Guest

מוזילה כל הכבוד
מיקרוסופט במקרה הזה כנראה המגלה לא היה בסדר ולך תדע אם גוגל קשורה לעניין הם מספיק מלוכלכים בשביל זה אבל מיקרוסופט אל תהיו תינוקיים במקום להתבכיין תוציאו תיקון

wpDiscuz

תגיות לכתבה: