Очередным вендором, который объявил об открытой программе поиска уязвимостей в своих продуктах, стала компания Adobe. Но условия их программы вызывают недоумение.

Условия программы опубликованы на сайте HackerOne, где размещены аналогичные программы многих других компаний. Но, в отличие от других, Adobe ни словом не упоминает о денежном вознаграждении для тех исследователей, которые сообщат об опасных багах.

Кроме того, программа имеет ограниченную направленность. Она распространяется только на уязвимости в веб-сервисах Adobe. Вот что она покрывает.

  • Межсайтовый скриптинг (CSS)
  • Межсайтовая подделка запросов (CSRF) в привилегированном контексте
  • Исполнение кода на стороне сервера
  • Баги аутентификации или авторизации
  • Уязвимости с инъекцией кода
  • Обход директорий (directory traversal)
  • Утечки информации (information disclosure)
  • Серьёзные ошибки в конфигурации

В программу не входят уязвимости с восстановлением забытого пароля, куками, кликджекинг и прочее. К тому же, за рамками остаются Adobe Reader, Acrobat, Flash Player и другие программные продукты.

Отказ выплачивать вознаграждение со стороны Adobe выглядит странно. Эта компания традиционно лидирует по количеству новых уязвимостей, так что в её интересах было бы максимально стимулировать исследователей. Непонятно также, почему в программе не участвует десктопный софт Adobe.

С другой стороны, такую позицию можно понять: Adobe и так получает информацию об огромном количестве багов, которые еле успевает закрывать. Мол, зачем платить за сведения, которые и так поступают бесплатно?

9 комментариев

  1. Аватар

    11.03.2015 в 12:14

    наверно боятся что если они будут платит за каждую уязвимость то они обанкротятся

    • Аватар

      11.03.2015 в 12:53

      А если ты не начнёшь нормально учиться, то обанкротятся твои родители.
      Ну, и славно.

      • Аватар

        11.03.2015 в 13:26

        ну и ладно , язык москалей мне не к чему!

      • Аватар

        11.03.2015 в 14:55

        мнепростоленьнажиматьпробелыиизапятыечтобытебеотвечатьядаже борюсьссобойчтобыэтогонеделатьпотомучтомнепофигнатебяитвоивысеры

    • Аватар

      11.03.2015 в 16:36

      Просто они логично расуждают. Если до сих пор некто не кому не чего не обещал и столько багв находили то что произойдет когда они будут обещать что либо в замен багм.

    • Аватар

      https://vk.com/publicshadowhd

      11.03.2015 в 17:02

      а про десктопы они ничего не сказали, потому что большинство из них — один большой баг

  2. Аватар

    12.03.2015 в 14:12

    Им бы залатать те дыры, которые были найдены прежде.

  3. Аватар

    13.03.2015 в 10:24

    Это сделано для ColdFusion, о котором россиянский автор статьи давно забыл, если вообще знал.

Оставить мнение