Mozilla aumenta la taglia sui bug

I bug hunter verranno meglio ricompensati. Da 500 si passerà a 3mila dollari. Un modo per garantire migliori condizioni a chi tutela la sicurezza degli utenti. Inclusi quelli di Firefox Mobile

Roma – Si tratta di cambiamenti legati ad un più generale aggiornamento del suo Security Bug Bounty Program , lanciato ormai sei anni fa. Mozilla ha così aumentato la ricompensa che spetta a tutti quegli esperti in sicurezza informatica che la aiutano a stanare i più vari bug relativi alla sua schiera di prodotti .

Un aumento significativo , dagli attuali 500 dollari ad una più succulenta cifra di 3mila dollari . Ad annunciarlo, un post apparso sul blog ufficiale della fondazione che ha dato i natali al browser Firefox.

“Molte cose sono cambiate nei sei anni dall’annuncio del nostro programma”, ha spiegato Lucas Adamski, a capo della divisione security engineering di Mozilla. Per questo sarebbero necessarie migliori condizioni economiche per chi fa “la cosa giusta”, ovvero per quegli esperti specializzati nella caccia ai bug.

Adamski ha inoltre annunciato l’allargamento degli ambiti coperti dal meccanismo delle ricompense ai bug hunter . A Firefox e al client di posta elettronica Thunderbird verrà così aggiunto Firefox Mobile , per una migliore tutela di tutti quegli utenti che si connettono in mobilità. Ma gli stessi esperti dovranno stare attenti: nessuna ricompensa verrà garantita nel caso Mozilla ritenga il loro lavoro non in linea con gli interessi degli utenti.

Mauro Vecchio

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Ubunto scrive:
    Mi pare strano...
    Forse più che un tema è una versione di WP modificata e redistribuita sotto diversa licenza?
    • vabhe scrive:
      Re: Mi pare strano...
      no, è un tema estremamente avanzato.il tizio dice delle cose da fuoco, in effetti - tipo che le licenze/ la legge sono stretchable lol (quindi verrebbe da pensare che a lui va bene se la gente scarica il suo tema via torrent)se non chè qualcuno paragona un tema ad un codec per linux che non ha costrizioni di licenza.peròperò è saltato fuori che alcuni dei componenti del tema/framework utilizzano parti consistenti di alcuni file di wordpress stesso, finendo per violare la gpl in modo inequivocabile
  • Nicolaus scrive:
    Qualcuno....
    Qualcuno non ha mai fatto un giro su envato... la di temi non-gpl ce ne sono centinaia e centinaia...
    • daniele_dll scrive:
      Re: Qualcuno....
      Sebbene wordpress sia un prodotto molto usabile, piuttosto che alle cause legali mi concentrerei sul codice perché un CMS che "vuoto" (ovvero appena installato) consuma nel front-end qualcosa come 12 mb di memoria errotti e nel backend arriva a consumare anche 20mb è un CMS che dovrebbe essere riscritto totalmente da zero (srovoliamo sui tempi di esecuzione, anch'essi elevati considerando che ho APC in locale e che tutto sta girando su un Q6600 che non sta facendo nulla a parte questo):cry:
      • Nicolaus scrive:
        Re: Qualcuno....
        infatti non lo vedo bene come CMS... lo vedo bene solo per blogging amatoriale e semiprofessionale...
        • Difensore scrive:
          Re: Qualcuno....
          Alternative???
          • giuffre scrive:
            Re: Qualcuno....
            - Scritto da: Difensore
            Alternative???scriversi un cms o blog da soli partendo da zero e implentando strettamente il minimo necessario per rendere il tutto veloce ed esente da bug nei limiti del possibile.l'utente medio usera' di e no il 5% delle features presenti in un cms con la conseguenza che il sito avendo piu' codice sara' piu' lento e piu' hackabile (perche' ci saranno piu' vettori di attacco)
          • giuffre scrive:
            Re: Qualcuno....
            con questo non dico che wordpress faccia schifo anzi, e' molto comodo e lo uso su molti blog ma non mi affiderei mai ad un cms opensource per progetti critici che riceveranno tentativi di exploit giornalieri, in quei casi sono molto meglio soluzioni create su misura
          • daniele_dll scrive:
            Re: Qualcuno....
            - Scritto da: giuffre
            con questo non dico che wordpress faccia schifo
            anzi, e' molto comodo e lo uso su molti blog ma
            non mi affiderei mai ad un cms opensource per
            progetti critici che riceveranno tentativi di
            exploit giornalieri, in quei casi sono molto
            meglio soluzioni create su
            misurascusami, benché io sia di mentalità molto aperta vedo la motivazione (scusa se lo dico così) un pò "fiacca": i tentativi di exploit giornalieri li riceverai sia con i CMS opensource sia con quelli closed source perché non è l'essere aperto o chiudo che invogliera i cracker a far danno ma sarà la diffusione di quel dato prodotto.Potrei capire se mi dici che non usi prodotti come Drupal perché, che so, l'assistenza commerciale fornita è scadente (per fare un esempio), ma la motivazione che dai, personalmente, non la vedo molto valida.
          • iRoby scrive:
            Re: Qualcuno....
            Neppure io sono d'accordo con giuffre,la caratteristica di essere opensource permette sì al cracker di scovare dentroil codice falle da utilizzare, ma anche alla community che sviluppa quel prodotto di trovarle loro e fornire tempestivamente la patch.Ho usato CMS opensource da tanto tempo. E quello che ho dovuto fare oltre al lavoro di installazione e personalizzazione è stato seguire periodicamente i siti con news e bug fix, magari aggregando i relativi rss.Uscito il bug c'era quasi subito la patch, scaricata ed installata non ho mai avuto defacciamenti, intrusioni o problemi di sorta...
          • giuffre scrive:
            Re: Qualcuno....
            purtroppo e' da anni che periodicamente saltano fuori nuove falle in wordpress a dimostrazione che il codice non e' gestito nel modo migliore o e' ormai diventato troppo ampio. E' un dato di fatto che al crescere delle righe di codice aumentino anche i possibili bug quindi un cms fatto su misura che fa SOLO QUELLO CHE SERVE AL PROPRIO SITO e nulla di piu' (ovviamente se scritto da persone competenti) sia intrinsecamente piu' sicuro di uno 'general purpose'.Un altro punto critico di cms come wordpress o drupal sono i plugin, spesso scritti da ragazzini che non hanno idea di come si scriva del codice sicuro: seguendo bugtraq e mailing list simili se ne vedono di tutti i colori per quanto riguarda gli exploit verso i plugin. Ci sono casi di plugin nei quali non era presente nessun controllo sull'input degli utenti e la community ne e' venuta a conoscenza solo dopo mesi e solo perche' il white hat di turno ha deciso di rendere pubblica la falla. Di fronte a casi del genere chi continua a credere nella maggiore sicurezza dell'opensource mi pare leggermente ingenuo
          • Ubunto scrive:
            Re: Qualcuno....
            - Scritto da: giuffre
            purtroppo e' da anni che periodicamente saltano
            fuori nuove falle in wordpress a dimostrazione
            che il codice non e' gestito nel modo migliore o
            e' ormai diventato troppo ampio. E' un dato di
            fatto che al crescere delle righe di codice
            aumentino anche i possibili bug quindi un cms
            fatto su misura che fa SOLO QUELLO CHE SERVE AL
            PROPRIO SITO e nulla di piu' (ovviamente se
            scritto da persone competenti) sia
            intrinsecamente piu' sicuro di uno 'general
            purpose'.

            Un altro punto critico di cms come wordpress o
            drupal sono i plugin, spesso scritti da ragazzini
            che non hanno idea di come si scriva del codice
            sicuro: seguendo bugtraq e mailing list simili se
            ne vedono di tutti i colori per quanto riguarda
            gli exploit verso i plugin.


            Ci sono casi di plugin nei quali non era presente
            nessun controllo sull'input degli utenti e la
            community ne e' venuta a conoscenza solo dopo
            mesi e solo perche' il white hat di turno ha
            deciso di rendere pubblica la falla. Di fronte a
            casi del genere chi continua a credere nella
            maggiore sicurezza dell'opensource mi pare
            leggermente
            ingenuoA me pare leggermente ingenuo uno che mette plugins fatti da ragazzini senza controllare cosa fanno i plugins.Che un software open source sia insicuro perché "si vede il codice" è un'idiozia. E certo che è un'idiozia, secondo te uno che ti vuole attaccare il sito va a guardare il codice del progetto?Bastano pochi tentativi sulle interfacce di input, e spesso anche banalmente sulle query string di navigazione per identificare la presenza di una falla.Se un'applicazione è fatta male si fa molto prima andando a tentativi e cercando di sfruttare tecniche di attacco note piuttosto che andare a leggere il codice.
          • cognome scrive:
            Re: Qualcuno....
            - Scritto da: giuffre
            - Scritto da: Difensore

            Alternative???

            scriversi un cms o blog da soli partendo da zeroAltra XXXXXXXta... preparati a diversi XSS e SQL injection.Ne vale davvero la pena o è meglio imparare come funziona wordpress e magari modificarlo a seconda delle proprie esigenze?Accetto adesioni a corsi, a pagamento (e molto salati) si intende.
          • non tu scrive:
            Re: Qualcuno....
            resta il fatto che un prodotto sviluppato ad hoc da una persona/team competente é più solido di un prodotto così ampio che integra plugin e parti di terzi.se poi vuoi dirci che siti importanti lo usano dopo aver rattoppato il codice stai proprio ammettendo che un volume di codice del genere è prono a celare errori.
          • ephestione scrive:
            Re: Qualcuno....
            riadattare un lavoro altrui? Per carità.Da professionista in completamente altro ambito, ho imparato php e mysql riadattando forum, blog, e comment-manager altrui. Ho finito per costruire un portale dedicato ad annunci per oggetti riciclati scritto interamente da me, dopo aver perso alcune mezze giornate a cercare tra script già pronti dei quali nessuno faceva tutto quello di cui avevo bisogno.E' follia navigare in mezzo ad centinaia di includes, e di altrettanti script php separati, per scovare quali sono le righe di codice che si occupano di fare proprio quella cosa che te vuoi modificare.E se poi scopri che tutte le funzioni che ruotano attorno a quella cosa ti le avresti scritte in modo diverso? Ti ripassi i centinaia di includes, dipendenze, ricostruisce il "flow" del codice per capire dove mettere mano? Fai prima a scriverti da solo esclusivamente quello che ti serve.Uso wordpress su uno dei miei siti perché volevo una cosa "veloce" da implementare, ed il design che avevo fatto a mano per la prima versione non era un cms, dovevo aggiornare manualmente tutti i menu ogni volta che aggiungevo un articolo; e poi ci sono tanti plugin interessanti proprio perché c'è una comunità molto ampia. Ma forse, avessi il tempo, sarebbe stato meglio scrivere il mio sistema da solo.La mia configurazione, se non attivo 48MB di ram allocabili da PHP, non funziona in backend. Ed avrò una quindicina di plugin.QUARANTOTTO megabytes di ram.Folle.
          • Ubunto scrive:
            Re: Qualcuno....
            Attivando la cache cambia qualcosa?Io per progetti custom, più applicazioni web che "siti", ultimamente mi sto affidando a framework come Yii.
          • ephestione scrive:
            Re: Qualcuno....
            io mi trovo su un hosting condiviso, quindi non ho acXXXXX alle impostazioni del server ;)comunque si tratta di un "problema" urbi et orbi, praticamente tutti quelli che avevano una ram limitata a 32mb (o anche 48 in alcuni casi), con l'installazione di wp3 si sono visti il blog morire, quelli che sono riusciti a cambiare il limite massimo di ram allocabile fino a 50 e qualcosa sono andati avanti, gli altri sono dovuti tornare alla 2.9.7 :(Io per l'ultimo mio progetto ho usato un framework flessibile, ultrapersonalizzato ed estensibile secondo necessità in qualunque momento, si chiama framework di ephestione e lo vedi su www.reecycle.it :p-----------------------------------------------------------Modificato dall' autore il 19 luglio 2010 10.47-----------------------------------------------------------
          • Fai il login o Registrati scrive:
            Re: Qualcuno....
            Ah beh, se poi fai errori del genere...http://www.reecycle.it/404?u=%3C?php%20echo%20$regolamento;?%3Esi sta poco ad hackerarlo :D
          • ephestione scrive:
            Re: Qualcuno....
            ma sei proprio un acaro strabiliante! :pTrovami il modo per sfruttare uno snippet di php rimasto in un template che fa semplicemente riferimento al nome di una variabile e nient'altro, e ti regalo una vacanza.Quell'errore è stato corretto 3 ore fa, ed il link che hai postato non dimostra nulla :D
          • mavala scrive:
            Re: Qualcuno....
            - Scritto da: Difensore
            Alternative???Scriviti tutto direttamente in linguaggio macchina, partendo dal sistema operativo, come fanno tutti i "supermegaguru" che passano tutto il loro tempo a "trollare" su questo sito.
          • Difensore scrive:
            Re: Qualcuno....
            Ah, ora ho capito, grazie, beh, io non ne sono capace, ma loro sicuramente si. Secondo me hanno una tastiera cno solo due tasti:1 e 0, programmano direttamente in binario
        • cognome scrive:
          Re: Qualcuno....
          - Scritto da: Nicolaus
          infatti non lo vedo bene come CMS... lo vedo bene
          solo per blogging amatoriale e
          semiprofessionale...Tu si che hai capito tutto... mai sentito parlare dei vip WP? Techcrunch ti dice niente?Dai vala, come al solito qui si parla tanto per sentito dire.Ma nasconditi.
          • Nicolaus scrive:
            Re: Qualcuno....
            Pagliaccio lo so anche io, ma un conto è diventare "popolari" un conto è diventarlo grazie al cms, techcrunch è diventato popolare per i contenuti non perchè sia grazie a wordpress, se avesse usato drupal, che fra le altre cose è anche meglio sarebbe stato uguale... Sentito dire niente, io faccio da anni il webdesigner e uso tutti sti cms e ci ho messo le mani più di quanto tu possa pensare... sei tu che devi nasconderti che da come parli sei un utente superaccanito di juliusdesign!
      • cognome scrive:
        Re: Qualcuno....
        - Scritto da: daniele_dll
        come 12 mb di memoria errotti e nel backend
        arriva a consumare anche 20mb è un CMS cheAhahahah, ma tu sei una comica umana!Alcuni siti con WP che hanno ben oltre 50 mila post, usano oltre 512MB di ram.Certo, per i sitarelli della domenica dove fai un post al mese, 20 mega sono tanti eh...Ahahahahah, ma siete messi male! Fatevi un corso accelerato, anzi, mi propongo per spiegarvi alcune cosucce interessanti su wordpress.200 euro di iscrizione e 75 euro all'ora.Fatemi sapere.
        • Anonimo Codardo scrive:
          Re: Qualcuno....
          Resta il fatto che WP ha una delle peggiore code base in circolazione.
        • volentieri scrive:
          Re: Qualcuno....
          peccato ma abbiamo già versato la quota a tua mamma..
        • daniele_dll scrive:
          Re: Qualcuno....
          - Scritto da: cognome
          Ahahahah, ma tu sei una comica umana!
          Alcuni siti con WP che hanno ben oltre 50 mila
          post, usano oltre 512MB di
          ram.

          Certo, per i sitarelli della domenica dove fai un
          post al mese, 20 mega sono tanti
          eh...
          Ahahahahah, ma siete messi male! Fatevi un corso
          accelerato, anzi, mi propongo per spiegarvi
          alcune cosucce interessanti su
          wordpress.
          200 euro di iscrizione e 75 euro all'ora.
          Fatemi sapere.E' sempre divertente leggere questi post perché ti fa capire che, per fortuna, non mi mancherà mai il lavoro ^^. Comunque, tranquillo, non rispondo alle provocazioni o agli insulti ... non ne ho il bisogno :)Se esistono (mettiamo il condizionale perché non ci credo molto) dei siti che consumano più di 512MB a richiesta direi che gli conviene o licenziare quelli che gli hanno realizzato il sito se sono dipendenti e riassumerne dei nuovi più preparati o cambiare l'azienda che gli ha realizzato il sito e farselo rifare.512MB significa che se hai 8 gb di ram (è intendiamoci è una cifra spropositata per un server web che deve gestire un singolo sito ... e lo è per davvero) al massimo puoi tenere 16 richieste contemporanee prima che il server inizi a swappare (ed è una cosa che decisamente va evitata).In base a quello che hai detto, siti come hwupgrade, con vbulletin, avrebbero dei server con centinaia di terabyte di memoria ram perché devono tenere attivi contemporaneamente migliaia di sessioni che significa almeno un centinaio di richieste in contemporanea. Se un server deve gestire 100 richieste in contemporanea e ogni pagina consuma 512 mb di memoria hanno bisogno di 512*100 = 51.200GB di memoria ovvero di 50tb di memoria ... non so a te ma a me sembra un pò troppo costoso anche per HWUpgrade dato che vorrebbe dire avere un server che ti tiene tutti quei tb di memoria ... o per meglio dire avere più server che ti tengono tutti quei tb di memoria.La realtà è che una richiesta non dovrebbe consumare mai più di un paio di mega e non dovrebbe mai eseguire più di 7/8 query per pagina (che già sono tante) perché se lo fa, forse, si dovrebbe ottimizzare il codice e sfruttare sistemi di caching della memoria come APC, memcache, xcache e simili.
          • Mah scrive:
            Re: Qualcuno....
            non credo intendesse 512MB a richiesta ma piuttosto in totale.
          • daniele_dll scrive:
            Re: Qualcuno....
            - Scritto da: Mah
            non credo intendesse 512MB a richiesta ma
            piuttosto in
            totale.Se si parla di memoria consumata a richiesta e non si specifica a me pare scontato che si sta continuando a parlare dello stesso argomento.E come se parlando di rape tu prendi e rispondi che non ti piacciono poi interviene un altro e dice "mica sono le rape che non gli piacciono, sono i cavoli!"Se si parla di un argomento si sta parlando di quello non si può rispondere con arroganza (insultandomi, come ha fatto, senza sapere chi sono, senza conoscere la mia preparazione e senza sapere qual'è il mio lavoro) dicendo poi "ma mi riferivo ad un'altra cosa" ^^
Chiudi i commenti