Очередным вендором, который объявил об открытой программе поиска уязвимостей в своих продуктах, стала компания Adobe. Но условия их программы вызывают недоумение.

Условия программы опубликованы на сайте HackerOne, где размещены аналогичные программы многих других компаний. Но, в отличие от других, Adobe ни словом не упоминает о денежном вознаграждении для тех исследователей, которые сообщат об опасных багах.

Кроме того, программа имеет ограниченную направленность. Она распространяется только на уязвимости в веб-сервисах Adobe. Вот что она покрывает.

  • Межсайтовый скриптинг (CSS)
  • Межсайтовая подделка запросов (CSRF) в привилегированном контексте
  • Исполнение кода на стороне сервера
  • Баги аутентификации или авторизации
  • Уязвимости с инъекцией кода
  • Обход директорий (directory traversal)
  • Утечки информации (information disclosure)
  • Серьёзные ошибки в конфигурации

В программу не входят уязвимости с восстановлением забытого пароля, куками, кликджекинг и прочее. К тому же, за рамками остаются Adobe Reader, Acrobat, Flash Player и другие программные продукты.

Отказ выплачивать вознаграждение со стороны Adobe выглядит странно. Эта компания традиционно лидирует по количеству новых уязвимостей, так что в её интересах было бы максимально стимулировать исследователей. Непонятно также, почему в программе не участвует десктопный софт Adobe.

С другой стороны, такую позицию можно понять: Adobe и так получает информацию об огромном количестве багов, которые еле успевает закрывать. Мол, зачем платить за сведения, которые и так поступают бесплатно?

Подписаться
Уведомить о
9 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии