Comments | infowatch: Сколько стоит баг?

infowatch

Сколько стоит баг?

Jul 25, 2013 21:52

Это обстоятельство крайне мешает такому полезному предприятию, как оплата доброхакерам за найденные ошибки. На хакерском краудсорсинге можно было бы даже систему государственной сертификации построить, не говоря о банальном предотвращении мошенничества и утечек.

( Read more... )

проекты, НДВ, авторское право, оценка рисков

Comments 36

ru_alterego July 25 2013, 15:11:38 UTC

А вот если бы к примеру у вас на сайте обнаружили уязвимость, показали вам её, как бы вы поступили ? (просто интересно)

slobin July 25 2013, 15:18:47 UTC

Пытаюсь представить себе распространение этой идеи на "реальный" (в смысле вне интернета) мир.

... Носильщик разума ...

crazy_daemon July 25 2013, 15:23:53 UTC

Запатентовать дырку в заборе?

ru_alterego July 25 2013, 15:36:36 UTC

в реальном мире есть система поощрения от яндекса, бадо, гугла.

mixey_undermind July 26 2013, 05:16:27 UTC

системы-то есть, только те, кто находят действительно стОящие публикуются там анонимно, ведь найти такой и проверить его - это ст. 272. Средства для этого лежат рядом с формулировками в 273. А описание - это прямо готовый бланк доноса на себя по вышеуказанным статьям.

Thread 8

vlapin July 25 2013, 15:39:47 UTC

Хватит уже того дурдома с авторскими и смежными правами, который имеем сегодня. Решается проще: вступает посредник - независимый эксперт, который подписывает догор о неразглашении. Жальше он считает, по определенному адгоритму, стоимость уязвимости и обращается к владельцу. Согласен - платит, нет - сливаем в сеть через какой-то промежуток времени, давая его на решение проблемы своими силами.

infowatch July 25 2013, 15:58:53 UTC

Схема с посредником не применяется. Почему? У багоносца нет стимула обращаться к посреднику и заранее обещать принять его оценку.

anonymous July 25 2013, 15:49:30 UTC

Еще вариант - социальная сеть для доброхакеров. Со своим социальным капиталом, который можно монетизировать. А покупатель платит за абонемент, разрешающий обсуждать там его продукцию.

crasher_ July 25 2013, 21:20:36 UTC

Рынок уязвимостей уже существует:
http://www.nytimes.com/2013/07/14/world/europe/nations-buying-as-hackers-sell-computer-flaws.html

ru_alterego July 26 2013, 10:38:57 UTC

или тот же http://1337day.com

anonymous July 25 2013, 15:52:24 UTC

А ваше решение - очень плохое. Найдя уязвимость (допустим, очень опасную) продавец может выжимать любые деньги. Да и как это - запрещается устранять уязвимость? В следующей версии надо следить за ее воспроизведением, как фичи? Или на следующую версию сие не распространяется? В последнем случае, новые версии всего и вся будут появляться раз в месяц.

infowatch July 25 2013, 16:00:03 UTC

Не любые. Никто не заплатит больше, чем потенциальные убытки.

crasher_ July 25 2013, 21:21:19 UTC

И в тоже самое время, уязвимость то захочется продать. Лучше разумная цена, чем ничего.

3seemingmonkeys July 26 2013, 03:33:57 UTC

и никто не захочет запросить больше чем другая сторона способна заплатить?
можно найти критический баг и запросить за него миллиард, это будет равносильно уничтожению продукта. хорошо для конкуренции. раньше компания могла подвергнуться атаке и потеряла бы много денег но в итоге залатала дыру и продолжила получать прибыль, а теперь баг найден и хана, даже атаковать не надо.

идея хорошая но нуждается в доработке имхо :)

Thread 7