Chrome : 3133,7 dollars si vous découvrez une faille
Majeure dans le navigateur, Google surenchérit de 133 dollars sur Mozilla
Le 2010-07-22 16:36:50, par Idelways, Expert éminent sénior
Mise à jour du 03/11/2010 par Idelways
Google étend sa récompense à la chasse aux failles (et au trésor vu le montant des récompenses) à ses applications en ligne.
Par conséquent, le géant des services en ligne lève, dans une démarche plutôt audacieuse, l'interdiction d'essayer de pirater les applications en production sur les domaines Google.com, Youtube, Blogger et Orkut.
Évidemment dans le seul et unique but d'y trouver des failles. Les chercheurs en sécurité (ou les amateurs de 12 ans) qui en trouvent seront récompensés.
Le montant des primes va de 500 $ pour un bug à $3,133.7 pour une faille critique trouvée, un chiffre au clin d'œil « so geek » (lire ci-avant).
L'heureux gagnant verra (s'il le veut) son nom publié dans une sorte de « hacking hall of fame ». De quoi embellir sérieusement un CV.
Google reste tout de même prudent et n'autorise qu'une liste restreinte d'attaques.
Exit donc le social engineering ou les attaques par déni de services.
Seuls les attaques de type : XSS, CSRF, XSSI (cross-site script inclusion), les tentatives de déjouer les contrôles d'authentification, exécuter du code du côté serveur ou injecter des commandes sont autorisés.
Ce qui fait déjà beaucoup de possibilités.
Source : blog Google Online Security
Et vous ?
En collaboration avec Gordon Fowler
Google Chrome : 3 133,7 dollars si vous découvrez une faille majeure
Google surenchérit de 133 dollars sur Mozilla
Google s'aligne sur les tarifs de Mozilla, qui vient cette semaine de multiplier par six sa prime pour les découvertes des vulnérabilités critiques dans Firefox. Il surenchérit même de 133.7$ dans le cadre de son programme Chromium Security Reward, une sorte de chasse récompensée aux failles non-corrigée du navigateur web Chrome.
Ce programme, lancé il y a six mois, connait un succès retentissant. Certains participants affirment que c'est grâce à ce programme qu'ils s'impliquent dans la sécurité de Chromium.
Mais ce n’est pas tout, Google annonce que même si elle reste à 500$, la récompense pour la découverte des bugs moins critiques pourrait être revue à la hausse s'ils sont présentés dans des rapports de haute qualité.
Un rapport est considéré de haute-qualité s'il inclut "une analyse précise des causes ou une discussion constructive amenant à la résolution des bugs", affirme Chris Evans sur le blog Google Chrome Security.
Mais pourquoi ce montant aussi précis, demanderez-vous ?
Tout simplement parce qu'en langage Leet (qui remplace les lettres romaines par des caractères ASCII), 3133.7 signifie... « eleet » - autrement dit « Leet ». Un private joke de Geek donc.
Quoiqu'il en soit, à 3 133,7$ le bug, la chasse à la faille devient intéressante, n'est-ce pas?
Mais la sandbox qui isole les processus de Chrome risque de rendre cette quête aussi longue que fastidieuse.
Après, à vous de voir.
Source : Blog Google Chrome Security
Lire aussi :
Les rubriques (actu, forums, tutos) de Développez :
Et vous ?
En collaboration avec Gordon Fowler
Google étend sa récompense à la chasse aux failles (et au trésor vu le montant des récompenses) à ses applications en ligne.
Par conséquent, le géant des services en ligne lève, dans une démarche plutôt audacieuse, l'interdiction d'essayer de pirater les applications en production sur les domaines Google.com, Youtube, Blogger et Orkut.
Évidemment dans le seul et unique but d'y trouver des failles. Les chercheurs en sécurité (ou les amateurs de 12 ans) qui en trouvent seront récompensés.
Le montant des primes va de 500 $ pour un bug à $3,133.7 pour une faille critique trouvée, un chiffre au clin d'œil « so geek » (lire ci-avant).
L'heureux gagnant verra (s'il le veut) son nom publié dans une sorte de « hacking hall of fame ». De quoi embellir sérieusement un CV.
Google reste tout de même prudent et n'autorise qu'une liste restreinte d'attaques.
Exit donc le social engineering ou les attaques par déni de services.
Seuls les attaques de type : XSS, CSRF, XSSI (cross-site script inclusion), les tentatives de déjouer les contrôles d'authentification, exécuter du code du côté serveur ou injecter des commandes sont autorisés.
Ce qui fait déjà beaucoup de possibilités.
Source : blog Google Online Security
Et vous ?
En collaboration avec Gordon Fowler
Google Chrome : 3 133,7 dollars si vous découvrez une faille majeure
Google surenchérit de 133 dollars sur Mozilla
Google s'aligne sur les tarifs de Mozilla, qui vient cette semaine de multiplier par six sa prime pour les découvertes des vulnérabilités critiques dans Firefox. Il surenchérit même de 133.7$ dans le cadre de son programme Chromium Security Reward, une sorte de chasse récompensée aux failles non-corrigée du navigateur web Chrome.
Ce programme, lancé il y a six mois, connait un succès retentissant. Certains participants affirment que c'est grâce à ce programme qu'ils s'impliquent dans la sécurité de Chromium.
Mais ce n’est pas tout, Google annonce que même si elle reste à 500$, la récompense pour la découverte des bugs moins critiques pourrait être revue à la hausse s'ils sont présentés dans des rapports de haute qualité.
Un rapport est considéré de haute-qualité s'il inclut "une analyse précise des causes ou une discussion constructive amenant à la résolution des bugs", affirme Chris Evans sur le blog Google Chrome Security.
Mais pourquoi ce montant aussi précis, demanderez-vous ?
Tout simplement parce qu'en langage Leet (qui remplace les lettres romaines par des caractères ASCII), 3133.7 signifie... « eleet » - autrement dit « Leet ». Un private joke de Geek donc.
Quoiqu'il en soit, à 3 133,7$ le bug, la chasse à la faille devient intéressante, n'est-ce pas?
Mais la sandbox qui isole les processus de Chrome risque de rendre cette quête aussi longue que fastidieuse.
Après, à vous de voir.
Source : Blog Google Chrome Security
Lire aussi :
Les rubriques (actu, forums, tutos) de Développez :
Et vous ?
En collaboration avec Gordon Fowler
-
doublexMembre confirméOn voit là le bon sens de Google. Ils paient celui qui trouve une faille. En France, pour le même motif, on punit...le 26/07/2010 à 22:16
-
FlaburganModérateurJe l'avais repéré rien qu'en lisant le titre. Je dois me faire soigner ?le 23/07/2010 à 8:47
-
Bryce de MourièsMembre confirméOuais longue vie au 1337 !
J'ai remarqué la même pureté chez |=|233 y a pas longtemps:
http://www.free.fr/adsl/index.html
(indice: la free boîte)le 22/07/2010 à 17:10 -
playfoneMembre actifAh pas mal la petite suptilitéele 22/07/2010 à 17:39
-
GénoceMembre éclairéDe la pub pour g33kle 22/07/2010 à 17:42
-
guilhem91Membre régulierVu comme ça
Quant à dire où ça s'arrêtera, tout dépend de l'entreprise. À mon avis, des grosses boîtes comme Google seraient prêtes à monter encore bien plus haut lorsqu'il est question de sécurité, et de se donner une bonne image...le 22/07/2010 à 21:50 -
hugo123RédacteurAh ben j'avais pas compris
Ça aurait été 1664 j'aurais comprisle 23/07/2010 à 9:18 -
Thes32Expert confirméA mon avis avec 31337 (eleet) google se rapproche de la langue française eleet-élite !
Envoyé par Idelways le 23/07/2010 à 10:08 -
ixpeMembre avertiIl me semble que ce "langage" est (etait?) souvent utilisé par les bidouilleurs / hackeurs qu on appelait 'elites'.
On parle aussi de "elite speak" (« langage de l'élite ») : ben ouais, ils ont souvent la grosse tête
C'est donc un petit clin d oeil à tous les bidouilleurs / hackeurs.
Dommage que la virgule soit utilisée: 3 1337 est plus propre non ? le 23/07/2010 à 12:08 -
amezghalMembre habituéPremier bug le lien vers le blog Google marche pas
hutteeee://googleo....
C'est quoi ce protocole hutteeeele 03/11/2010 à 13:41