Сколько стоит изъян в безопасности? $ 12.50 для Yahoo - Интересное о компьютерах
Yahoo гневаються на исследователей в области безопасности после того, как выплатили им жалкие $ 12,50 за каждый недостаток, который они обнаружили на веб-сайтах.
Компании програмного обеспечения и веб-компании предлагают, так называемые, щедрые ошибки, выделяя деньги сторонним исследователям безопасности, из-за недостатков, которые они находят на своих сайтах. Google, например, регулярно выплачивает сотни или даже тысячи долларов.
Охранная фирма High-Tech Bridge решила посмотреть, сколько времени потребуется, чтобы найти изьян на известном сайте и можно ли это исправить, и сколько это будет стоить.
В прошлом месяце, они нашли ошибку cross-Site Scripting (XSS) на сайте по маркетингу Yahoo – на это потребовалось всего 45 минут.
Yahoo, ответили на сообщение электронной почты в течение 24 часов, но сказали, что об этом недостатке им уже сообщали, так что никакой награды не будет.
High-Tech Bridge попробовали еще раз, и нашли еще два XSS.
На этот раз Yahoo ответили, что предлагают вознаграждение в размере $ 12,50 для каждого.
Фирма возразила Yahoo, что они должны лучше относиться к исследователям безопасности, которые работают на них. «Платеж в несколько долларов за ошибки — плохая идея. Это не будет призывать людей говорить о их недостатках», — сказал Илья Колоченко, генеральный директор High-Tech Bridge.
Колоченко признался, что деньги не единственная мотивация, и предложил Yahoo следовать примеру Google. «Если Yahoo не может позволить себе тратить деньги на свою корпоративную безопасность, он должен хотя бы попытаться привлечь исследователей в области безопасности другими средствами».
Консультант по безопасности, Graham Cluley подтвердил, что деньги не единственный способ привлечь к себе исследователей. «Но такая смешная награда вряд ли показывает Yahoo с хорошей стороны.»
Yahoo до сих пор не дали комментарий.