Очередным вендором, который объявил об открытой программе поиска уязвимостей в своих продуктах, стала компания Adobe. Но условия их программы вызывают недоумение.
Условия программы опубликованы на сайте HackerOne, где размещены аналогичные программы многих других компаний. Но, в отличие от других, Adobe ни словом не упоминает о денежном вознаграждении для тех исследователей, которые сообщат об опасных багах.
Кроме того, программа имеет ограниченную направленность. Она распространяется только на уязвимости в веб-сервисах Adobe. Вот что она покрывает.
- Межсайтовый скриптинг (CSS)
- Межсайтовая подделка запросов (CSRF) в привилегированном контексте
- Исполнение кода на стороне сервера
- Баги аутентификации или авторизации
- Уязвимости с инъекцией кода
- Обход директорий (directory traversal)
- Утечки информации (information disclosure)
- Серьёзные ошибки в конфигурации
В программу не входят уязвимости с восстановлением забытого пароля, куками, кликджекинг и прочее. К тому же, за рамками остаются Adobe Reader, Acrobat, Flash Player и другие программные продукты.
Отказ выплачивать вознаграждение со стороны Adobe выглядит странно. Эта компания традиционно лидирует по количеству новых уязвимостей, так что в её интересах было бы максимально стимулировать исследователей. Непонятно также, почему в программе не участвует десктопный софт Adobe.
С другой стороны, такую позицию можно понять: Adobe и так получает информацию об огромном количестве багов, которые еле успевает закрывать. Мол, зачем платить за сведения, которые и так поступают бесплатно?
11.03.2015 в 12:14
наверно боятся что если они будут платит за каждую уязвимость то они обанкротятся
11.03.2015 в 12:53
А если ты не начнёшь нормально учиться, то обанкротятся твои родители.
Ну, и славно.
11.03.2015 в 13:26
ну и ладно , язык москалей мне не к чему!
11.03.2015 в 14:55
мнепростоленьнажиматьпробелыиизапятыечтобытебеотвечатьядаже борюсьссобойчтобыэтогонеделатьпотомучтомнепофигнатебяитвоивысеры
11.03.2015 в 16:36
Просто они логично расуждают. Если до сих пор некто не кому не чего не обещал и столько багв находили то что произойдет когда они будут обещать что либо в замен багм.
13.03.2015 в 13:15
> некто не кому не чего
Это просто праздник какой-то.
https://vk.com/publicshadowhd
11.03.2015 в 17:02
а про десктопы они ничего не сказали, потому что большинство из них — один большой баг
12.03.2015 в 14:12
Им бы залатать те дыры, которые были найдены прежде.
13.03.2015 в 10:24
Это сделано для ColdFusion, о котором россиянский автор статьи давно забыл, если вообще знал.