רוצים 3,000 דולרים ממוזילה? תתחילו לחפש באגים
מאת אילנה ברודו 18 ביולי 2010. 2 תגובות. שייך לקטגוריות אבטחת מידע, פיתוח, תוכנה
מוזילה מציעים לכם 3,000 דולר על פגיעויות שתמצאו ביישומי מוזילה השונים, ואתם אפילו לא צריכים להחביא את מה שמצאתם מהעולם
לוגו קרן מוזילה
קרן מוזילה הודיעה ביום חמישי האחרון על הגדלת הסכום המוצע למפתחים המוצאים פגיעויות אבטחה בתוכנות מוזילה פי שש לסכום מכובד למדי של 3,000 דולרים, המיועד לפצות מפתחים על השקעת הזמן שלהם בבדיקת מוצרי הקוד הפתוח. פרטים על ציד הפגיעויות והבאגים של מוזילה ניתן למצוא באתר הפרוייקט, הקיים עוד משנת 2004 אז היתה מוזילה הראשונה להציע כסף למשתמשי תוכנות הקוד הפתוח של קרן מוזילה.
מוזילה היא אינה היחידה המציעה תשלום למשתמשים על איתור באגים בתוכנה. גוגל, למשל, מציעה סכום מירבי של 1,337 עבור איתור פגיעויות משמעתיות וסכומים קטנים יותר עבור מציאת באגים קטנים.
רק מה שחשוב
אמנם, קרן מוזילה מציעה את הסכום המדובר רק למוצאי פגיעויות ברמה "קריטית" או "גבוהה". על פי הדירוג של מוזילה, פגיעויות קריטיות מוגדרות ככאלו שיאפשרו הרצת קוד או השתלטות על מחשב המשתמש. פגיעויות ברמת חשיבות "גבוהה" הם באגים שעשויים להוביל לגניבה או חשיפה של פרטיו האישיים של המשתמש, כמו שמות משתמש, סיסמאות ואמצעי תשלום מקוונים.
חשוב לציין שבנוסף להגדלת סכום הפרס, הוסרה מרשימת התוכנות לבדיקה חבילת יישומי מוזילה (Mozilla Suite) שפיתוחה הופסק עוד ב-2005. כמו כן, הוסף סעיף להסבר על תכנית התגמולים המדוברת בו שומרת מוזילה על הזכות שלא לשלם למשתמש שאיתר באג אם המשתמש סיכן בצורה כלשהי את כלל משתמשי מוזילה. עם זאת, בשאלות הנפוצות על התכנית, מצויין כי המשתמש אינו חייב לשמור את הגילוי שלו בסוד ויכול להפיץ את הפגיעות שמצא עוד טרם זו תוקנה. "אנחנו משלמים על איתור הבאג, לא על השתיקה שלכם," נכתב בעמוד השאלות הנפוצות באתר בתגובה לשאלה בנושא.
לשתוק או לא לשתוק?
לאחר שחוקר בגוגל מצא פגיעות במוצר מיקרוסופט ופרסם אותה לעולם טרם שלח אליהם, התעוררו שאלות רבות על האתיקה שבאיתור פגיעויות ומסירת המידע לחברות המפתחות. מצד אחד, אנשי קרן מוזילה צודקים באומרם שאינם רוכשים את שתיקת המשתמשים אלא את המידע על הפגיעות שיוכלו לתקן כעת משזו אותרה. אסטרטגיה זו משאירה מקום לנוצלות מסוג zero-day המשתמשות בבאג שזה עתה התגלה לתקיפת מחשבים והפצת רושעות שונות. בנוסף, הימצאותו של המידע ברשת והאיום הברור על משתמשי היישום, יגרמו לחברה להוציא תיקון עבורו מוקדם יותר ולא להתמהמה.
מאידך גיסא, אם אכן המשתמשים או המפתחים המאתרים את הפגיעויות שומרים על שתיקתם, כלל משתמשי היישום נשארים מוגנים יחסית עד שהחברה מפתחת תיקון לפגיעות או הבעיה. זו היתה טענת מיקרוסופט במקרה של החוקר מגוגל, וזו היא גם טענת חברות נוספות המפעילות תוכניות איתור באגים עבור משתמשים ומפתחים, כמו חברת HP ו-VeriSign.
האם לדעתכם על חוקרי אבטחה ומשתמשים לחשוף פגיעויות שמצאו לציבור הרחב או למסור לחברה כדי שאלו יפיצו תיקון בהקדם ואולי אפילו יזרימו קצת מזומנים לאנשי אבטחת המידע שיידעו אותם?
אילנה ברודו
אשת המילה הכתובה וחובבת טכנולוגיה. גרפומנית, גיקית, גיימרית, בשלנית, ואפילו משוררת לעת מצוא. בימים עיתונאית רשת נעימת הליכות ובלילות לוחמת צדק דיגיטלי חסרת רחמים ובעלת לשון מושחזת היטב. לשעבר כתבת טכנולוגיה ב-ynet ו-walla!.
פוסטים נוספים של אילנה ברודו
![אילן שילוח וקבוצת The-Time משקיעים בניוזגיק [גיוס]](http://www.newsgeek.co.il/wp-content/cache/56x45/2012/04/newsgeek-thetime.jpg){kind=small}
![כיצד תרבות הסמארטפון הרסה את התרבות [דעה]](http://www.newsgeek.co.il/wp-content/cache/56x45/2012/05/4307875855_a7f604af83_o-300x225.jpg){kind=small}
מצד שני, זה יכל להיות האקר בלקהט שגילה את הבאג והיה מחליט להתעלל במספר גדול מאוד של משתמשים ואז באמת היה נזק משמעותי...
בקשר למוזילה, כל הכבוד להם. :)
מיקרוסופט במקרה הזה כנראה המגלה לא היה בסדר ולך תדע אם גוגל קשורה לעניין הם מספיק מלוכלכים בשביל זה אבל מיקרוסופט אל תהיו תינוקיים במקום להתבכיין תוציאו תיקון