Durante un tiempo, muchas personas dedicadas al análisis de seguridad de software se han visto en una encrucijada. Si yo descubro un fallo de seguridad importante en una aplicación determinada, ¿debo comunicárselo a la compañía y esperar a que lo arreglen sin llevarme un duro, o mejor vendo ese conocimiento a una empresa que pueda aprovechar ese fallo en su propio interés?
Esto ha sido durante bastante tiempo la pregunta a la que se han enfrentado muchas de estas personas. Con el propósito de evitar de todas las formas posibles el llegar a esa situación, Mozilla y Google llevan ya tiempo trabajando en lo que se conoce como bug bounty: un sistema a través del cual aquella persona que encuentre un fallo de seguridad de este tipo podrá llevarse una buena suma de dinero.
Obviamente, descubrir este tipo de errores no está al alcance de todos ni tampoco se acepta cualquier tipo de problema como válido. En los principales blogs de ambas compañías se pueden encontrar amplia serie de requisitos que estos bugs deberán cumplir para que puedan ser considerados dentro de la categoría de Severity Security Bugs.
En cuanto a las cantidades se refiere, que es parte de la curiosidad de este tipo de iniciativas, Mozilla subió hace escasos días su oferta hasta $3000 dólares, dependiendo de la importancia que desde la propia empresa le den a un bug en concreto.
Viendo este movimiento, y como no puede ser de otra forma, Google se ha apuntado al carro de las subidas en las últimas horas y ofrece ahora $3133.7 dólares. ¿La diferencia entre una cantidad y otra? 133,7, leet para el resto de los mortales. De todas formas, y dejando las bromas aparte, toda iniciativa que tenga como fin el mejorar la seguridad del software que usamos a diario será, en principio, bienvenida.
Vía | Mozilla Blog y Chromium Blog
Requisitos a cumplir por el bug | Mozilla Blog y Google’s Severity Guidelines for Security Issues
Ver 26 comentarios
26 comentarios
Pedro
Sera que uso la calculadora en Windows, pero:
3113.7-3000 != 1337
3113.7-3000 = 133.7
Asi a lo tonto le das a Google una ventaja de 1203.3 euros mas de premio.
pante
y por errores en las entradas de los blogs cuando pagan :D
ejner69
Más que una técnica para aumentar la seguridad (o como quieran llamarla ustedes), yo considero esto una guerra de egos: ofrecen sumas altas por que cada empresa está segura que su navegador es más seguro (valga la redundancia) que el de la competencia. El tortazo que se darán será EPIC cuando alguien descubra un bug de los grandotes y deban pagar esa suma.
Y uso Firefox, por si alguien me pregunta.
Jhonatan Palencia
Una pregunta.. Google, pues tiene forma de ofrecer U$3117... Pero Mozilla de donde saca esos U$3000 ¿?
abismo456
facil uno podria crear su propío bug y soltarlo por la red asi google te pagaria; dinero facil
lrefra
"¿La diferencia entre una cantidad y otra? 1337,"
Move la , xD
lrefra
Sorry, fui muy escueto con mi primer comentario, es que estaba algo apurado.
57895
Voy a ser el unico que cuando tiene que firmar un documento o trabajar con paginas que usen el certificado digital tienen que usar el explorer porque al firefox se le atraganta todo eso? Venga pacá esos 3000 euros