IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Chrome 15 sort : anti-BEAST et récompense record de 26 500 $
La détection des bogues du navigateur coûte cher à Google

Le , par Idelways

47PARTAGES

1  1 
Mise à jour du 26 octobre 2011 par Idelways

La 15e itération stable du navigateur Chrome vient de sortir, propagée discrètement depuis ce matin via le système de mise automatique.

Les utilisateurs de Chrome remarqueront des remaniements perceptibles de l'écran Nouvel Onglet du navigateur. Des améliorations destinées à mettre plus en avant les applications du Chrome Web Store (boutique d'applications HTML5 et natives pour l'OS et le navigateur Chrome).
Passer des pages souvent visitées aux applications installées ne nécessite plus qu'un clic (voir capture d'écran ci-devant)

Mais cette version réalisée en cinq semaines est essentiellement centrée sur la sécurité.

Le remède anti-BEAST entre en production. Google a pour rappel choisi une technique d'injection de texte aléatoire, destinée à empêcher le décryptage des données transitant par les anciennes versions vulnérables des protocoles SSL/TLS.

Mais si cette vulnérabilité n'est pas spécifique à Chrome, d'autres le sont, et leur détection coûte cher à l'entreprise qui, rappelons-le, récompense généreusement ceux qui en trouvent.

170 000 dollars ont été distribués jusque-là en 2011.

Pour Chrome 15, Google vient de distribuer une prime record de 26,511 $ à quatre chercheurs ayant ensemble détecté 18 vulnérabilités. Le record précédent était à 17K $.

Sergey Glazunov et « miaubiz » (des chasseurs de primes habitués) ont collecté la majorité du pactole avec respectivement 13.674 $ et 10.337 $.

Leurs découvertes ont été combinées dans un seul identifiant CVE du dictionnaire des informations publiques relatives aux vulnérabilités de sécurité. Ce bulletin décrit notamment une faille de violation du principe de la même origine.

Ironiquement, la majeure partie des vulnérabilités sont découvertes à l'aide d'AddressSanitizer, un outil de détection des erreurs mémoires créé par l’équipe du navigateur.

Certains diront que Google paye des chercheurs pour utiliser ses outils !

Télécharger Chrome 15

Source : Hall of Fame sécurité de Chromium

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 27/10/2011 à 11:09
Citation Envoyé par Idelways Voir le message
Mais quand on regarde la liste des gagnants des primes avec les même noms qui reviennent des dizaines de fois et récoltent à chaque passage 1000 dollars, moi je dis que c'est de l'argent facile. Surtout sachant que la plupart des failles sont découvertes avec un outils de détection des erreurs mémoire développé par l'équipe de Chromium.
C'est quand même loin d'être aussi simple, un problème de gestion mémoire n'engendre pas systématiquement une faille, et même si c'est le cas il n'est pas toujours évident de l'exploiter.

S'il suffisait d'utiliser un outil pour découvrir et exploiter les failles, je pense que Google les aurait toutes corrigées depuis longtemps.
2  0 
Avatar de grunk
Modérateur https://www.developpez.com
Le 26/10/2011 à 17:09
Ce sont des pauvres petits malheureux et les autres sont des méchants/profiteurs (bien utiles quand même). Faut changer de comm les gars et arrêter d'être mesquin.
Ce n'est pas Google qui affirme que ça leur coute cher , c'est une extrapolation de la news.

On se doute bien que 170k€ pour Google c'est de la rigolade C'est évident que c'est rentable pour eux. Un développeur lambda doit déjà couté au bas mot 50k€ à une entreprise (charge comprise) alors des expert en sécurité ^^.
T'imagine bien que google est content de leur filer du pognon
2  1 
Avatar de Christophe P.
Membre expérimenté https://www.developpez.com
Le 26/10/2011 à 17:27
developpez.com :
récompense record de 26 500 $, la détection des bogues du navigateur coûte cher à Google
http://investor.google.com/earnings/..._earnings.html :
Google reported revenues of $9.72 billion for the quarter ended September 30, 2011, an increase of 33% compared to the third quarter of 2010.
26 500 sur 9 720 000 000... qu'est-ce que ça coûte cher à Google !
2  1 
Avatar de nicorama
En attente de confirmation mail https://www.developpez.com
Le 27/10/2011 à 10:23
Citation Envoyé par grunk Voir le message
Un développeur lambda doit déjà couté au bas mot 50k€ à une entreprise (charge comprise) alors des expert en sécurité ^^.
Un développeur coûte 100k$ minimum HORS CHARGES et bonus. Et encore, ils font attention à les prendre plutôt jeune.
http://www.geekpedia.com/Report4_Sal...And-Yahoo.html
1  0 
Avatar de Idelways
Expert éminent sénior https://www.developpez.com
Le 26/10/2011 à 19:13
Bonjour,

Je reconnais en effet qu'il s'agit d'une "extrapolation" personnelle pas des plus pertinentes. Mais quand on regarde la liste des gagnants des primes avec les même noms qui reviennent des dizaines de fois et récoltent à chaque passage 1000 dollars, moi je dis que c'est de l'argent facile. Surtout sachant que la plupart des failles sont découvertes avec un outils de détection des erreurs mémoire développé par l'équipe de Chromium.

D'où l'ouverture de l'article. Mais un titre "Google jette-t-il son argent par la fenêtre" aurait été encore moins pertinent.

Ça y est, je n'extrapolerai plus

Cordialement
Idelways
1  1 
Avatar de SurferIX
Membre chevronné https://www.developpez.com
Le 02/11/2011 à 9:51
Marrant parce que pour tout ce qui est refonte de trucs personnalisés, je ne les vois jamais : pour information je lance Chrome avec cette ligne de commande :

"C:\Users\xxx\AppData\Local\Google\Chrome\Application\chrome.exe --start-maximized --incognito"

Ainsi il est lancé en mode privé, donc lorsque je quitte aucune trace, et il est lancé en mode "fenetre maximisée", ce qui est différent du mode "plein écran".

En espérant que cela puisse être utile à certains au travail...
0  0 
Avatar de vampirella
Membre éclairé https://www.developpez.com
Le 26/10/2011 à 17:27
Citation Envoyé par Idelways Voir le message
Les utilisateurs de Chrome remarqueront des remaniements perceptibles de l'écran Nouvel Onglet du navigateur. Des améliorations destinées à mettre plus en avant les applications du Chrome Web Store (boutique d'applications HTML5 et natives pour l'OS et le navigateur Chrome).
Hmmm ... ça tombe bien, j'ai installé une belle extension pour rediriger les nouveaux onglets vers une page principale.
Depuis le temps d'ailleurs, je suis surpris que cela ne soit pas en option de base dans les options de Chrome. Sans doute pour mieux nous vendre / rediriger vers leurs produits ou ceux de leurs associés

Remarque, en matière de redirection pour les nouveaux onglets, la concurrence (je pense à Firefox) ne fait pas forcément mieux de ce côté-là ...

Quant à la sécurité, ma foi ... tant qu'il y aura des gens du "domaine public" qui sont suffisamment motivé par le montant de la prime / par la chasse aux failles, la prime restera inférieur à ce qu'ils pourraient dépenser pour un expert en sécurité. En un sens, c'est logique.
0  1 
Avatar de rawsrc
Expert éminent sénior https://www.developpez.com
Le 26/10/2011 à 19:06
Citation Envoyé par grunk Voir le message
Ce n'est pas Google qui affirme que ça leur coute cher , c'est une extrapolation de la news.
Euh, je n'aurais jamais pensé qu'Idelways extrapole dans ses news, par contre, j'aurais bien vu un service de comm poser ce genre de qualificatif totalement absurde voire stupide.
Et puis cela coûte cher par rapport à quoi ? Parce que si l'on prend pour dénominateur l'océan de profits qu'engendre Google, j'en rigole encore. Merci à Christophe P. pour son lien.

Pour le reste, je maintiens totalement ce que j'ai dit.
Google a bâti son empire sur l'intelligence individuelle et collective et connait parfaitement le niveau interne de ses équipes ainsi que le savoir, les compétences et l'expérience nécéssaires pour arriver à faire tomber leurs produits.
Personnellement, je trouve que vu les niveaux de rémunérations de ces exploits (parce qu'il s'agit bien d'exploits), Google se moque ouvertement des chercheurs qui contribuent à sécuriser lesdits produits. Pour leur image, ils devraient s'abstenir de communiquer sur ces primes. Ils ont l'image d'être une société élitiste en matière de développement et jusqu'à maintenant il m'a toujours semblé y voir une forme de prime à l'intelligence, au génie, là je dois dire que c'est pas trop le cas. Ils ne devraient pas s'éloigner des fondamentaux surtout dans leur position.
0  2 
Avatar de rawsrc
Expert éminent sénior https://www.developpez.com
Le 26/10/2011 à 16:38
Citation Envoyé par Idelways Voir le message
170 000 dollars ont été distribués jusque-là en 2011.

Pour Chrome 15, Google vient de distribuer une prime record de 26,511 $ à quatre chercheurs ayant ensemble détecté 18 vulnérabilités. Le record précédent était à 17K $.

Sergey Glazunov et « miaubiz » (des chasseurs de primes habitués) ont collecté la majorité du pactole avec respectivement 13.674 $ et 10.337 $.
Communication merdique.
J'ose à peine imaginer la valeur marchande en terme de marketing ciblé de toutes les infos collectées par Google quand on fait usage de Chrome et ils trouvent que la découverte de failles leur revient cher ! Quand on lance carrément un défi à la communauté en annonçant que son navigateur est le plus sûr de tous, il faut savoir récompenser à sa juste valeur le travail des chercheurs qui arrivent à percer les défenses.
Parce que $26 511 pour 4 chercheurs, cela fait du $6 627 par bonhomme et $1 472 par faille -> c'est ridicule en comparaison du coût potentiel de l'exploitation de ces failles dans le monde de l'entreprise.
Et je suis prêt à mettre ma main à couper qu'un chercheur salarié chez Google touche bien plus que $6 627 mensuels.

Ce sont des pauvres petits malheureux et les autres sont des méchants/profiteurs (bien utiles quand même). Faut changer de comm les gars et arrêter d'être mesquin.
0  6