Mozilla beloont bugjagers
Vijfhonderd dollar per lek
03 augustus 2004 | Jamie Biesemans
Bugs, ze blijven de nagel aan de doodkist van menig ontwikkelaar. Vooral als die ontwikkelaar aan een veel gebruikt stukje software werkt. De Mozilla Foundation heeft nu een nieuwe methode bedacht om het opsporen van fouten aan te moedigen: beloningen. Sneller bugs opsporen én de voordelen van de openbronfilosofie zijn de bedoeling.
Het
Mozilla Security Bug Bounty Program werd in het leven geroepen na de ontdekking van een reeks kwetsbaarheden in de openbronbrowser. De opzet is eenvoudig: wie een ernstig veiligheidsprobleem meldt, verdient 500 dollar cash. De beloningen worden gesponsord door Linspire (vroeger: Lindows) en de entrepreneur Mark Shuttleworth.
Het initiatief moet ervoor zorgen dat fouten zo snel mogelijk worden gemeld, zodat de ontwikkelaars ze kunnen oplossen. Hoe minder tijd tussen de ontdekking van een lek en het verschijnen van een patch, hoe kleiner de kans op malafide programma's die via de nieuwe kwetsbaarheid binnenbreken. Probleem is dat het heel moeilijk is om een complexe applicatie als een browser door en door na te kijken. Dankzij het beloningssysteem zou het aantal controleurs sterk moeten stijgen, luidt de redenering.
Het Bounty Program staat open voor iedereen - geheel in overeenstemming met de achterliggende Mozilla-filosofie. Volgens Mitchell Baker, president van de Mozilla Foundation, worden hiermee de sterke punten van openbron aangetoond: "Recente gebeurtenissen hebben het nut van zo'n initiatief aangetoond. Want hoewel geen enkele software immuun is voor veiligheidslekken, worden bugs in openbronprojecten sneller geïdentificeerd en opgelost."
Mozilla is niet de enige die probeert z'n browser veiliger te maken. Microsoft, dat in afgelopen weken geconfronteerd werd met de ene waarschuwing na de andere over Internet Explorer, bracht onlangs een nieuwe cumulatieve patch uit om lekken in het programma te dichten. Daarnaast startten de ontwikkelaars van IE ook een weblog op, die wellicht meer een PR-functie heeft, maar waar beveiligingsonderwerpen regelmatig aan bod komen.
Lees meer artikels over :
linspire, internet explorer, ie, mozilla
bron: ZDNet
14/04/2009 23:26:07
Origineel bericht van Seth 03/08/2004
Moeten jullie niets posten over het grote lek dat al vijf jaar bekend is en nog altijd niet opgelost is?
Meer info: http://www.tweakers.net/nieuws/33635
Persoonlijk vind ik dit stukken erger dan de laatste lekken in IE tesamen.
Anyway, ik vind dit een verspilling van geld en totaal geen stijl hebben.
Dat bugs sneller opgelost worden in openbronsoftware is ook weer subjectief, kijk maar naar Opera.
14/04/2009 23:26:07
Origineel bericht van guest 03/08/2004
Dit is niet echt een bug te noemen maar meer een exploit van een feature, nml het opbouwen van de interface dmv XUL.
Er zal waarschijnlijk een whitelist komen van betrouwbare servers ofzo.
Dat dit erger is dan de laatste is wat overdreven, maar een oplettende gebruiker ziet duidelijk dat er en een ander scheelt aan de interface. Wil je op zeker spelen doe dan volgende:
Tools>Options...>web features>advanced>change statusbar text afzetten.
Dit verhindert javascript de statusbar te manipuleren.
14/04/2009 23:26:06
Origineel bericht van Seth 03/08/2004
Een exploit dan. Ik vind het wel stukken erger, je kan gewoon de complete *werkende* interface faken en zo zelfs een SSL-verbinding nabootsen. :/
Een whitelist is ook maar een zwakke oplossing, gewoon omdat ze niet weten wat anders doen. :s
En de doorsnee internetgebruiker is jammergenoeg niet zo oplettend. 
En door als de statusbar niet gemanipuleert kan worden, dan zijn er nog altijd genoeg kwade dingen die uitgehaald kunnen worden.
Maar dat dit weeral niet op ZDNet komt, vind ik weeral wegen met twee maten.
14/04/2009 23:26:06
Origineel bericht van guest 03/08/2004
met een beetje will kun je ook hetzelfde doen met IE met html/javascript.
http://w3irdn3rd.no-ip.org/bug/paypaal/
Dit voorbeeld zal natuurlijk meer echt overkomen indien het verder zou uitgewerkt zijn.
Ik denk trouwen dat dit soort van 'exploit' moeilijk te verhinderen is. Maar die whitelist verhindert wel dat men het via XUL zou doen.
Het is idd de mensen beter op de hoogte te houden van dit soort praktijken.
14/04/2009 23:26:06
Origineel bericht van Seth 04/08/2004
Hehe, dat is alles behalve hetzelfde. Dat kan je met elke browser, wat screenshotjes nemen en ze in een pagina plakken. :p
In Mozilla is alles functioneel. 
En die interface is maar een voorbeeld van wat je kunt doen met XUL.
14/04/2009 23:26:06
Origineel bericht van guest 04/08/2004
met een beetje javascript kun je die buttons ook klikbaar maken. Hetzelfde als een doodgewone image button.
Als je bij FireFox op de knopjes drukt zul je merken dat deze ook niet echt functioneel zijn.
Kwestie van hoever de uitbuiter wilt gaan.
14/04/2009 23:26:06
Origineel bericht van Seth 04/08/2004
Ze zijn niet functioneel omdat de maker geen zin had dat te doen, maar het is perfect mogelijk.
En je weet perfect dat een screenshotje nemen helemaal wat anders is dan XUL.
Dat bedoel ik nu met het minimaliseren van deze exploit.
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
lees meer »
in de kijker »
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
lees meer »
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
lees meer »
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
