Mozilla Foundationがセキュリティホール発見に懸賞金 71
ストーリー by Oliver
現代の賞金稼ぎ 部門より
現代の賞金稼ぎ 部門より
sato_rue 曰く、 " Mozilla Foundation が、深刻なセキュリティホールの発見者には500US$を支払うと発表した。資金は Linspire (旧 Lindows)と、南アフリカの実業家 Mark Shuttleworth氏(宇宙観光旅行に行ったり、SchoolToolプロジェクトを立ち上げる等で著名)が提供するとのこと。
なお、Mozilla(Firefox)は、Internet Explorer において致命的なセキュリティホールが続発する中、「安全なブラウザ」としてシェアを伸ばしつつある。しかし、SSL証明書偽装の脆弱性など問題がまったくない訳ではない。何にしても、ブラウザの安全性が向上することは良いことではある。"
IPAも (スコア:2, 興味深い)
各ベンダで調整後情報公開されるので、開発者側にはいろいろ便利なようです。
類似のことはやってるよ>MS (スコア:2, 興味深い)
犯人逮捕の結びつく情報に対して懸賞金を出してます。
実際、Sasserの犯人はこれで捕まってます。
未知の脆弱性に懸賞金を出すか、
脆弱性を突いた犯人に懸賞金を出すかの違いだけど、
後者の方が安くあがりそうだなぁ(w
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:類似のことはやってるよ>MS (スコア:1)
Re:類似のことはやってるよ>MS (スコア:0)
やられた「後」ですね。
全体としてみると安あがりではないような。
あ、いっぱいヒトが動いて、
結果的にカネも動く事を考えると
安い…のかな?
追加情報 (スコア:1)
ITmedia にて記事になってます [itmedia.co.jp]
むらちより/あい/をこめて。
深刻.... (スコア:1, 興味深い)
Re:深刻.... (スコア:3, 参考になる)
とのことです。ちゃんと問題は検証されるので心配はないようですね。
Re:深刻.... (スコア:1)
ということは、
「ユーザのために発見と同時に公開します」
って人がほかの人に、懸賞金渡さないため脆弱性を報告して黙ってるってことになったりするのかな。
そういう姿勢の是非は問わないけれども、作ってる側から見ればそうなってくれるとうれしいのかもしれないけどたぶんそこまではかんがえてないだろうな。
# まぁそういう人が懸賞金目当てってことはそう多くはないか・・
Re:深刻.... (スコア:1)
詳しくはセキュリティバグ報奨金制度 [mozilla.gr.jp]まで。
で、深刻度ですが、重大(critical)なものが対象で、具体的には任意のコードが実行できてしまうとか、パスワードやクレジットカードの番号等が漏洩する場合とのこと。
詳しくはセキュリティバグ報奨金制度 FAQ [mozilla.gr.jp]まで。
Re:深刻.... (スコア:1, おもしろおかしい)
Re:深刻.... (スコア:4, おもしろおかしい)
クラリス「・・・」
銭形「あなたの個人情報です」
クラリス「おぢさまっ!(泣)」
And now for something completely different...
Re:深刻.... (スコア:2, おもしろおかしい)
「これは大変なセキュリティーホールを発見してしまった。どうしよう」
「クラッキングはできないけれど、きっと憶えます!」
「俺たちのディスククォータには大きすぎらぁ」
…意外とアレゲなパロディができるもんですねぇ。
Re:深刻.... (スコア:0)
これはなんのパロディなんでしょう。素でしりたい。
Re:深刻.... (スコア:0)
>これはなんのパロディなんでしょう。素でしりたい。
通常24時間以内に発送します。 [amazon.co.jp]
Re:深刻.... (スコア:0)
「カリオストロの城」で銭形のとっつぁんがゴート札(各国の偽札)の製造工場に踏み込んだ時の台詞。
国際問題に発展しかねないからとICPOがゴート札の件から手を引いたのにマジギレして、TVクルー(峰不二子)を引き連れて踏み込むのですわ。
で、カメラの前で「ルパンを追っているうちに、こんな
Re:深刻.... (スコア:1, すばらしい洞察)
Re:深刻.... (スコア:0)
どんなにスマートな盗みでも窃盗なんだよね。
関連情報 (スコア:1, 参考になる)
窓の杜の記事 [impress.co.jp]
News.comの記事 [com.com]
Re:もじら組での発表 (スコア:2)
実質的に効果があるとは思えないけど (スコア:1)
このセキュリティプログラムを発表するのは良いアピールになると思います。
少し違和感があるのは、本来資金を提供される側はMozilla Foundationだからかな。
しかし、何気にLinspireが資金提供しているのに少し笑いました(笑)
Re:何気にLinspire (スコア:0, 余計なもの)
「安全神話」 (スコア:1)
1.マイナーなブラウザ
2.クラッカーが相手にしない
3.セキュリティホールが顕在化しない
4.安全と勘違いする
ってことじゃないの。
----------------------------
使わないソフトにバグはない
Re:「安全神話」 (スコア:1)
Re:「安全神話」 (スコア:2, すばらしい洞察)
それを書いている所は殆ど無いよ。
# つーかそんな安全、[たまたま]でしかねえんだけどな
Re:「安全神話」 (スコア:1)
「今は車がいなくて安全なように見えるけどそれはたまたまであって、
車は突然やってくるので気をつけてね」
っていうことじゃないかと。
たまたまでも安全は安全って、それは本当の意味での安全じゃなくて
安全なように見えてるだけでは?
--------------------------
そろそろ時間です。
500$ (スコア:0)
MSなら100000$くらいぽんと出しそうだけど。
Re:500$ (スコア:2, すばらしい洞察)
報酬が多すぎると今度はSN比が悪くなりそうな気もします。
Re:500$ (スコア:2, すばらしい洞察)
お金が目的でセキュリティーホールを探す人は、懸賞金を狙うよりその手の業者に売っちゃうんじゃないでしょうか。 $500 は「見つけたけど、知らせるのが色々面倒そう…」という人の背中を適度に押してくれるかも。
# 実際そんな不精な人が、深刻なセキュリティーホールを発見できるもんなのかは知りませんが。
Re:500$ (スコア:2, すばらしい洞察)
得にオープンの場合は給料を出してあげられないから、 開発やりたくて入ってきた人に、テストやれって言えないし、 開発者をテストに回すのは、(寄付された)人件費の無駄になるわけで。$500 だと、シニアプログラマだと一日分の給料、 新人だと三日分ぐらいなんで、両者が得をする妥当な価格なんじゃないですか。
人件費を考慮に入れると、(ツールとか web の)自社開発ってのは高いもんだなって思うようになりました。一年数人突っ込んで、結局没だと、千万円単位のロスなわけで。
2^x $ (スコア:2)
TeXのbug発見者の賞金 [2ch.net]
> TeX の bug を発見すると、作者の Don Knuth から賞金が貰える。
> その賞金額は直前の bug 発見者の2倍。
旅に出ます.(バグを)探さないで下さい.
Re:2^x $ (スコア:3, おもしろおかしい)
しておこうとするので Kunth の懐は痛まないそうだ。
ほんまかね?
Re:500$ (スコア:1, すばらしい洞察)
無数ある可能性があるセキュリティホールに1万ドルも賞金出してたら本来進めるべき開発が出来なくなるっていうことも、わからないのですかねぇ...
たとえMSが報奨金を出したとしても1万ドル出す事はありえないでせう。
#マジレス
Re:500$ (スコア:1, おもしろおかしい)
詳細は教えてやらない。」
と発見者が言い出して、困り果てるとかね。
#どこかで聞いたことのある話だ。デジャヴ?
Re:500$ (スコア:1)
発見して、なおす人もいるのでは
Re:500$ (スコア:1)
発見して、なおすヒトは…出てこないか。
というか、脆弱性を見つけられるような人は、
自分で直してしまったほうがスッキリするかと。
"Stupid risks are what make life worth living!" -- Homer Simpson
Re:500$ (スコア:0)
試してみたら?「セキュリティホール見つけたから懸賞金頂戴」とか。
こんな感じですか? (スコア:2, おもしろおかしい)
こちらで試験的に作成したソフトで、この脆弱性によりクレジットカードの番号が引き出せることを確認しました。
この脆弱性とソフトを、利用者のために公開しようと考えています。
公表に問題がある場合は、xx日までにこの講座に懸賞金100000$を振り込んでください。
#あれ、玄関にお巡りさんが・・・
Re:500$ (スコア:2, 興味深い)
MS特製Tシャツをプレゼントするから連絡してくれって返信が来たぞ。
#結局そのまま放置してしまったがTシャツは微妙に気になった。
Re:500$ (スコア:0)
Re:500$ (スコア:1)
Re:500$ (スコア:0)
何も出さないM$よりは随分マシでしょう。
Re:500$ (スコア:1, おもしろおかしい)
Re:500$ (スコア:0)
1件につきこの金額を払っていたら、門前市をなしそうな気もしたりして。
Re:500$ (スコア:0)
Re:500$ (スコア:0)
とりあえず (スコア:0)
NightlyにFirefox 0.9.3とMozilla 1.7.2のディレクトリが出来てたからそろそろ出るのか?
Netscape Communications も報奨金を出していた (スコア:0)
新たなビジネスモデル (スコア:0)
シェアが伸びてるとは思えない (スコア:0)
アンチMSの妄言に聞こえるんですが。
Re:シェアが伸びてるとは思えない (スコア:3, 参考になる)
ソース
IEの市場シェアに下降傾向――相次ぐ脆弱性が原因か(2004/7/12 ITmedia) [itmedia.co.jp]
IEのシェアが低下--1%の変化は何を示すのか (2004/7/14 CNET Japan) [cnet.com]
たかだか 1% ですが、Internet Explorer のシェアが減るということ自体が異例のためニュースになったようです。