Netflix запустил программу bug bounty, а Dropbox обещает не судиться с исследователями - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
23-03-2018, 16:00
Netflix запустил программу bug bounty, а Dropbox обещает не судиться с исследователями - «Новости»
Рейтинг:
Категория: Новости

Netflix


В течение последних пяти лет компания Netflix принимала сообщения об уязвимостях в частном порядке, а с 2016 года также имела закрытую программу bug bounty, недоступную для широкой общественности. За это время исследователи обнаружили в продуктах  Netflix 190 различных багов. Самой крупной выплаченной наградой на сегодня, по данным компании, стало вознаграждение в размере 15 000 долларов США, которое ИБ-эксперты получили за обнаружение неназванной критической проблемы.


Теперь компания, наконец, объявила о запуске публичной программой вознаграждения за уязвимости на платформе Bugcrowd, поучаствовать в которой может любой желающий.


Исследователи могут получить за уязвимости вознаграждения в размере от 100 до 15 000 долларов США. Искать баги можно как на ряде доменов компании, так и в мобильных приложениях для  iOS и Android. К рассмотрению принимаются XSS, CSRF, SQL-инъекции, проблемы аутентификации и авторизации, утечки данных, баги, допускающие удаленное исполнение произвольного кода, проблемы, связанные с редиректами, логикой функционирования, протоколом MSL и мобильным API.


Dropbox


Компания Dropbox запустила свою bug bounty программу еще в 2015 году и до сих пор не ограничила размер максимальной выплаты за обнаруженные баги. За прошедшие годы исследователи нашли более 220 уязвимостей в решениях Dropbox, за что компания суммарно выплатила порядка 200 000 долларов.


Но изменения, анонсированные на этой неделе представителями Dropbox, не касаются размера выплат или изменения типов уязвимостей, принимаемых к рассмотрению в рамках bug bounty. Вместо этого разработчики Dropbox внесли изменения в правила распространения информации об уязвимостях (vulnerability disclosure policy, VDP), стремясь обезопасить исследователей и предоставить ИБ-специалистам гарантии того, что их не будут преследовать в судебном порядке, даже если те случайно нарушат правила программы.


К сожалению, ИБ-специалисты, обнаружившие проблемы в решениях какой-либо компании, действительно нередко подвергаются юридическому преследованию со стороны производителей. Из-за этого эксперты все чаще опасаются проблем и предпочитают вообще не иметь дел с bug bounty.


Представители Dropbox пишут, что специалисты годами подвергались травле, страдали от угроз и оскорблений, и в компании не желают возникновения подобных ситуаций. Dropbox  обещает «не предпринимать правовых действий в отношении исследований безопасности, проводимых в соответствии с политикой [компании], включая дружественное урегулирование случайных нарушений».


Dropbox заверяет, что специалисты могут обнародовать результаты своих исследований, согласно принятым компанией правилам VDP, и в ответ они не получат судебный иск и обвинения в нарушении DMCA (Digital Millennium Copyright Act — Закон об авторском праве в цифровую эпоху) или CFAA (Computer Fraud and Abuse Act –  Закон о компьютерном мошенничестве и злоупотреблении).


Более того, представители Dropbox призывают другие компании поступить так же и задуматься о защите специалистов. Для этого новая версия VDP компании станет свободным от копирайта шаблоном, который смогут использовать все желающие.


Фото: Mark Rain — Flickr


Источник новостиgoogle.com

Netflix В течение последних пяти лет компания Netflix принимала сообщения об уязвимостях в частном порядке, а с 2016 года также имела закрытую программу bug bounty, недоступную для широкой общественности. За это время исследователи обнаружили в продуктах Netflix 190 различных багов. Самой крупной выплаченной наградой на сегодня, по данным компании, стало вознаграждение в размере 15 000 долларов США, которое ИБ-эксперты получили за обнаружение неназванной критической проблемы. Теперь компания, наконец, объявила о запуске публичной программой вознаграждения за уязвимости на платформе Bugcrowd, поучаствовать в которой может любой желающий. Исследователи могут получить за уязвимости вознаграждения в размере от 100 до 15 000 долларов США. Искать баги можно как на ряде доменов компании, так и в мобильных приложениях для iOS и Android. К рассмотрению принимаются XSS, CSRF, SQL-инъекции, проблемы аутентификации и авторизации, утечки данных, баги, допускающие удаленное исполнение произвольного кода, проблемы, связанные с редиректами, логикой функционирования, протоколом MSL и мобильным API. Dropbox Компания Dropbox запустила свою bug bounty программу еще в 2015 году и до сих пор не ограничила размер максимальной выплаты за обнаруженные баги. За прошедшие годы исследователи нашли более 220 уязвимостей в решениях Dropbox, за что компания суммарно выплатила порядка 200 000 долларов. Но изменения, анонсированные на этой неделе представителями Dropbox, не касаются размера выплат или изменения типов уязвимостей, принимаемых к рассмотрению в рамках bug bounty. Вместо этого разработчики Dropbox внесли изменения в правила распространения информации об уязвимостях (vulnerability disclosure policy, VDP), стремясь обезопасить исследователей и предоставить ИБ-специалистам гарантии того, что их не будут преследовать в судебном порядке, даже если те случайно нарушат правила программы. К сожалению, ИБ-специалисты, обнаружившие проблемы в решениях какой-либо компании, действительно нередко подвергаются юридическому преследованию со стороны производителей. Из-за этого эксперты все чаще опасаются проблем и предпочитают вообще не иметь дел с bug bounty. Представители Dropbox пишут, что специалисты годами подвергались травле, страдали от угроз и оскорблений, и в компании не желают возникновения подобных ситуаций. Dropbox обещает «не предпринимать правовых действий в отношении исследований безопасности, проводимых в соответствии с политикой _

Теги: CSS, Dropbox этого программу компании, вознаграждения

Просмотров: 1 036
Комментариев: 0:   23-03-2018, 16:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: