Video: Yahoo Finance Presents: eBay CEO Jamie Iannone (Oktober 2024)
Pred nekaj dnevi so raziskovalci švicarske varnostne družbe High-Tech Bridge poročali o preprostem poskusu. En dan so prečesali Yahoojeva spletna mesta za napake, našli tri resne in jih oddali Yahooju, da bi ocenili program družbe za hrošče. Njihova nagrada? 12, 50 USD na hrošč, ki ga je mogoče unovčiti samo v trgovini Yahoojeve družbe. Mogoče osramočen zaradi pozornosti, ki je bila usmerjena na to žalostno majhno nagrado, je Yahoo dvignil škodo. Glede na resnost prijavljene težave bodo raziskovalci zdaj za poročilo prejeli od 150 do 15 000 dolarjev. In ja, to je v gotovini, ne v majicah.
Osebna zahvala
V ljudskem postu na spletnem dnevniku Ramsesa Martineza, ki je bil opredeljen kot "režiser, Yahoo Paranoids", je razložil zgodovino programa za hrošča in svojo novo smer. "Majico sem začel pošiljati kot osebno" hvala ", " je dejal Martinez. "Srajce sem celo kupil z lastnim denarjem." Pozneje, ker so nekateri vlagatelji že prejeli majico, "sem začel kupovati darilni bon, da bodo lahko dobili še eno darilo po lastni izbiri."
Martinez ugotavlja, da je glavna stvar, ki jo mnogi raziskovalci potrebujejo v zameno za prijavo hrošča, "pismo, ki bi ga lahko pokazali svojemu šefu ali stranki." Majice in darilni boni so bili samo osebna zahvala. Kar zadeva dejanski dokaz, "sama pišem ta pisma."
Nova politika poročanja
Yahoo je po Martinezovem postu že spoznal, da je potrebna nadgradnja politike napak. "Varnostna skupina je revidiranega programa postavila zaključne točke, " je dejal. "Namesto da bi čakali več, smo se odločili, da bomo predčasno pregledali našo novo politiko poročanja o ranljivosti."
Vse podrobnosti lahko preberete v Martinezovi objavi. Yahoo bo racionaliziral postopek poročanja, si prizadeval za čimprejšnje preverjanje poročil in si še bolj prizadeval za pravočasno reševanje težav. Tisti, ki poročajo o preverjenih napakah, bodo kontaktirani "v največ štirinajstih dneh po oddaji (vendar običajno veliko hitreje)" in od Yahooja bodo prejeli uradno priznanje. "Za najboljše prijavljene zadeve bomo na svojem spletnem mestu neposredno poklicali prispevek posameznika v" dvorani slavnih."
Prav tako ni več majic ali nadomestkov kot nagrad. "Yahoo bo zdaj nagrajeval posameznike in podjetja, ki prepoznajo tisto, kar uvrščamo med nova, edinstvena in / ali vprašanja z visokim tveganjem, med 150 in 15.000 dolarjev." Kar zadeva velikost nagrade, jo bo "določil jasen sistem, ki bo temeljil na naboru opredeljenih elementov, ki zajemajo resnost izdaje". Ta politika začne veljati do konca oktobra in bo retroaktivna do 1. julija 2013. "To seveda vključuje tudi preverjanje raziskovalcev na High-Tech Bridge, ki mi majica ni bila všeč, " je zasmehoval Martinez.
Definitivno izboljšanje
"Nismo delali svojih raziskav za denar, kot smo Yahooju jasno povedali, ko je poročal o ranljivostih, " je opozoril izvršni direktor High-Tech Bridge Ilia Kolochenko. "Vendar smo veseli, da Yahoo zdaj predstavlja nov program Bug Bounty, ki bo olajšal njihove odnose z varnostnimi raziskovalci in jim pomagal izboljšati njihovo korporativno varnost. To je vsekakor dobra novica."
Kljub temu ostaja dejstvo, da drugi veliki igralci plačujejo veliko večje prigode za hrošče. Microsoft se je dolgo zadrževal, vendar je v začetku tega leta nanizal znesek do 100.000 dolarjev. Facebook je plačal več kot milijon dolarjev hroščev hroščev, Google pa je po navedbah plačal več kot dva milijona. Nasprotno je Appleova nagrada tistim, ki najdejo velike hrošče, slava, nič več. Yahoojev novi načrt pade nekje na sredino; videli bomo, kako jim to uspeva.
