Видео: Email As Unique As You Are w/ Yahoo Mail (Септември 2024)
Преди няколко дни изследователи от швейцарската фирма за сигурност High-Tech Bridge съобщиха за обикновен експеримент. Те прекараха един ден в комбиниране на уебсайтове на Yahoo за грешки, намериха три сериозни и ги изпратиха на Yahoo с цел оценка на програмата на компанията за бъгове. Тяхната награда? 12, 50 долара за бъг, който може да се използва само в магазина на Yahoo. Вероятно засрамен от вниманието, насочено към тази жалко малка награда, Yahoo е повишил печалбата за бъгове. В зависимост от тежестта на докладвания проблем, изследователите вече ще получават от 150 до 15 000 долара за доклад. И да, това е в брой, а не тениски.
Лична благодарност
В фолклорен публикация в блога на Рамзес Мартинес, идентифициран като "Режисьор, Yahoo Paranoids", се обясни историята на програмата за бъгове и нейната нова насока. "Започнах да изпращам тениска като лично" благодаря ", каза Мартинес. "Дори купих ризи със собствени пари." По-късно, тъй като някои податели вече бяха получили тениска, „започнах да купувам сертификат за подарък, за да могат да получат друг подарък по свой избор“.
Мартинес отбелязва, че основното нещо, което много изследователи се нуждаят в замяна на съобщение за грешка, е „писмо, което биха могли да покажат на своя шеф или клиент“. Тениските и подаръчните сертификати бяха само лични благодарности отгоре. Що се отнася до действителното доказателство, „сам пиша тези писма“.
Нова политика за отчитане
По време на публикацията на Мартинес, Yahoo вече беше осъзнал, че политиката за оздравяване на бъгове има нужда от надграждане. "Екипът по сигурността поставяше крайните щрихи върху ревизираната програма", каза той. „Вместо да чакаме повече, решихме да визуализираме малко по-рано нашата нова политика за отчитане на уязвимостта.“
Можете да прочетете пълни подробности в публикацията на Мартинес. Yahoo ще опрости процеса на отчитане, ще работи за валидиране на докладите възможно най-скоро и ще работи още по-трудно за своевременно справяне с проблемите. Тези, които съобщават за проверени бъгове, ще бъдат свързани с "не повече от четиринадесет дни след изпращането (но обикновено много по-бързо)" и ще получат официално признание от Yahoo. "За най-добрите съобщени проблеми, ние директно ще извикаме от нашия сайт принос на индивида в" зала на славата "."
Също така, няма повече тениски или суинг като награди. „Yahoo сега ще възнаграждава лица и фирми, които определят това, което ние класифицираме като нови, уникални и / или проблеми с висок риск между 150 - 15 000 долара.“ Що се отнася до размера на наградата, това „ще се определя от ясна система, базирана на набор от дефинирани елементи, които улавят тежестта на емисията“. Тази политика ще влезе в сила до края на октомври и ще бъде със задна дата до 1 юли 2013 г. "Това включва, разбира се, проверка за изследователите от High-Tech Bridge, които не харесваха моята тениска", отсече Мартинес,
Определено подобрение
"Не правехме проучвания за пари, както ясно казахме на Yahoo, докато съобщавахме за уязвимостите", отбеляза изпълнителният директор на High-Tech Bridge Илия Колоченко. "Въпреки това се радваме, че Yahoo сега представя нова програма за програмни грешки, която ще улесни отношенията им с изследователи по сигурността и ще им помогне да подобрят корпоративната си сигурност. Това определено е добра новина."
Фактът остава, обаче, че други големи играчи плащат много по-големи щети на бъгове. Microsoft се задържа дълго време, но по-рано тази година учреди сума до $ 100 000. Facebook е платил над милион долара в бънти от бъгове, а Google според съобщенията е платил над два милиона. От друга страна, наградата на Apple за тези, които намерят значителни бъгове, е славата, нищо повече. Новият план на Yahoo попада някъде по средата; ще видим как става за тях.
