/ Software-Entwicklung / Mozilla überarbeitet Web and Services Bounty Program

Mozilla überarbeitet Web and Services Bounty Program

reporting-2ca3cda727937ad3.jpeg
Gerfried Steube on May 14, 2017 - 6:42 am in Software-Entwicklung

Der Relaunch des Bounty-Programms soll es Jägern sicherheitskritischer Schwachstellen erleichtern, einzuschätzen, was ihre Bemühungen finanziell bringen, um Enttäuschungen vorzubeugen.

Mozilla hat das 2010 ins Leben gerufene Bounty-Programm für das Melden sicherheitskritischer Fehler in Webanwendungen des Unternehmens neu aufgezogen. Da Hinweise je nach Risikospektrum und Website unterschiedlich wertvoll für es sind, diese Tatsache aber nicht unbedingt für die Prämienjäger ersichtlich war, gibt es nun eine explizite Auflistung aller Klassen, Angebote und den entsprechend zu erwartenden Belohnungen. Dadurch möchte das Unternehmen Enttäuschungen vorbeugen und verhindern, dass es durch Ausnahmen Präzedenzfälle schafft.

Seit 2004 belohnt Mozilla Entwickler, die sicherheitskritische Fehler in der Software des Unternehmens melden, 2010 erweiterte es das Programm auch auf seine Webangebote. In der neuen Payout-Übersicht sind Letztere in kritische Seiten, Kern-Sites und andere unterteilt. In die erste Kategorie fallen unter anderem Add-ons, Bugzilla und die Download-Seiten zur Produktauslieferung. Kernwebsites sind unter anderem zum Task-Ausführungsframework Taskcluster oder zum Oberservatory-Projekt gehörende. Am meisten wert ist das Melden von Schwachstellen, die es erlauben, Code per Remote auszuführen (5000 US-Dollar für Critical Sites, 2500 für Core Sites), gefolgt von Möglichkeiten zum Umgehen von Authentifizierungsmechanismen (3000 bzw. 1500) und SQL-Injektionen (auch 3000 bzw. 1500). Wer auf anderen Angeboten Schwachstellen findet, die nicht unbedingt Remote-Codeausführung bewirken (500 US-Dollar in dem Fall), bekommt zur Würdigung seiner Dienste einen Platz in Mozillas Bug Bounty Hall of Fame. (jul)

Read more on: Source

Comments are disabled