Roma – Si tratta di cambiamenti legati ad un più generale aggiornamento del suo Security Bug Bounty Program , lanciato ormai sei anni fa. Mozilla ha così aumentato la ricompensa che spetta a tutti quegli esperti in sicurezza informatica che la aiutano a stanare i più vari bug relativi alla sua schiera di prodotti .
Un aumento significativo , dagli attuali 500 dollari ad una più succulenta cifra di 3mila dollari . Ad annunciarlo, un post apparso sul blog ufficiale della fondazione che ha dato i natali al browser Firefox.
“Molte cose sono cambiate nei sei anni dall’annuncio del nostro programma”, ha spiegato Lucas Adamski, a capo della divisione security engineering di Mozilla. Per questo sarebbero necessarie migliori condizioni economiche per chi fa “la cosa giusta”, ovvero per quegli esperti specializzati nella caccia ai bug.
Adamski ha inoltre annunciato l’allargamento degli ambiti coperti dal meccanismo delle ricompense ai bug hunter . A Firefox e al client di posta elettronica Thunderbird verrà così aggiunto Firefox Mobile , per una migliore tutela di tutti quegli utenti che si connettono in mobilità. Ma gli stessi esperti dovranno stare attenti: nessuna ricompensa verrà garantita nel caso Mozilla ritenga il loro lavoro non in linea con gli interessi degli utenti.
Mauro Vecchio
leggi i 29 commenti
-
Mi pare strano...
Forse più che un tema è una versione di WP modificata e redistribuita sotto diversa licenza?-
Re: Mi pare strano...
no, è un tema estremamente avanzato.il tizio dice delle cose da fuoco, in effetti - tipo che le licenze/ la legge sono stretchable lol (quindi verrebbe da pensare che a lui va bene se la gente scarica il suo tema via torrent)se non chè qualcuno paragona un tema ad un codec per linux che non ha costrizioni di licenza.peròperò è saltato fuori che alcuni dei componenti del tema/framework utilizzano parti consistenti di alcuni file di wordpress stesso, finendo per violare la gpl in modo inequivocabile
-
-
Qualcuno....
Qualcuno non ha mai fatto un giro su envato... la di temi non-gpl ce ne sono centinaia e centinaia...-
Re: Qualcuno....
Sebbene wordpress sia un prodotto molto usabile, piuttosto che alle cause legali mi concentrerei sul codice perché un CMS che "vuoto" (ovvero appena installato) consuma nel front-end qualcosa come 12 mb di memoria errotti e nel backend arriva a consumare anche 20mb è un CMS che dovrebbe essere riscritto totalmente da zero (srovoliamo sui tempi di esecuzione, anch'essi elevati considerando che ho APC in locale e che tutto sta girando su un Q6600 che non sta facendo nulla a parte questo):cry:-
Re: Qualcuno....
infatti non lo vedo bene come CMS... lo vedo bene solo per blogging amatoriale e semiprofessionale...-
Re: Qualcuno....
Alternative???-
Re: Qualcuno....
- Scritto da: Difensore
Alternative???scriversi un cms o blog da soli partendo da zero e implentando strettamente il minimo necessario per rendere il tutto veloce ed esente da bug nei limiti del possibile.l'utente medio usera' di e no il 5% delle features presenti in un cms con la conseguenza che il sito avendo piu' codice sara' piu' lento e piu' hackabile (perche' ci saranno piu' vettori di attacco) -
Re: Qualcuno....
con questo non dico che wordpress faccia schifo anzi, e' molto comodo e lo uso su molti blog ma non mi affiderei mai ad un cms opensource per progetti critici che riceveranno tentativi di exploit giornalieri, in quei casi sono molto meglio soluzioni create su misura -
Re: Qualcuno....
- Scritto da: giuffre
con questo non dico che wordpress faccia schifo
anzi, e' molto comodo e lo uso su molti blog ma
non mi affiderei mai ad un cms opensource per
progetti critici che riceveranno tentativi di
exploit giornalieri, in quei casi sono molto
meglio soluzioni create su
misurascusami, benché io sia di mentalità molto aperta vedo la motivazione (scusa se lo dico così) un pò "fiacca": i tentativi di exploit giornalieri li riceverai sia con i CMS opensource sia con quelli closed source perché non è l'essere aperto o chiudo che invogliera i cracker a far danno ma sarà la diffusione di quel dato prodotto.Potrei capire se mi dici che non usi prodotti come Drupal perché, che so, l'assistenza commerciale fornita è scadente (per fare un esempio), ma la motivazione che dai, personalmente, non la vedo molto valida. -
Re: Qualcuno....
purtroppo e' da anni che periodicamente saltano fuori nuove falle in wordpress a dimostrazione che il codice non e' gestito nel modo migliore o e' ormai diventato troppo ampio. E' un dato di fatto che al crescere delle righe di codice aumentino anche i possibili bug quindi un cms fatto su misura che fa SOLO QUELLO CHE SERVE AL PROPRIO SITO e nulla di piu' (ovviamente se scritto da persone competenti) sia intrinsecamente piu' sicuro di uno 'general purpose'.Un altro punto critico di cms come wordpress o drupal sono i plugin, spesso scritti da ragazzini che non hanno idea di come si scriva del codice sicuro: seguendo bugtraq e mailing list simili se ne vedono di tutti i colori per quanto riguarda gli exploit verso i plugin. Ci sono casi di plugin nei quali non era presente nessun controllo sull'input degli utenti e la community ne e' venuta a conoscenza solo dopo mesi e solo perche' il white hat di turno ha deciso di rendere pubblica la falla. Di fronte a casi del genere chi continua a credere nella maggiore sicurezza dell'opensource mi pare leggermente ingenuo -
Re: Qualcuno....
- Scritto da: giuffre
purtroppo e' da anni che periodicamente saltano
fuori nuove falle in wordpress a dimostrazione
che il codice non e' gestito nel modo migliore o
e' ormai diventato troppo ampio. E' un dato di
fatto che al crescere delle righe di codice
aumentino anche i possibili bug quindi un cms
fatto su misura che fa SOLO QUELLO CHE SERVE AL
PROPRIO SITO e nulla di piu' (ovviamente se
scritto da persone competenti) sia
intrinsecamente piu' sicuro di uno 'general
purpose'.
Un altro punto critico di cms come wordpress o
drupal sono i plugin, spesso scritti da ragazzini
che non hanno idea di come si scriva del codice
sicuro: seguendo bugtraq e mailing list simili se
ne vedono di tutti i colori per quanto riguarda
gli exploit verso i plugin.
Ci sono casi di plugin nei quali non era presente
nessun controllo sull'input degli utenti e la
community ne e' venuta a conoscenza solo dopo
mesi e solo perche' il white hat di turno ha
deciso di rendere pubblica la falla. Di fronte a
casi del genere chi continua a credere nella
maggiore sicurezza dell'opensource mi pare
leggermente
ingenuoA me pare leggermente ingenuo uno che mette plugins fatti da ragazzini senza controllare cosa fanno i plugins.Che un software open source sia insicuro perché "si vede il codice" è un'idiozia. E certo che è un'idiozia, secondo te uno che ti vuole attaccare il sito va a guardare il codice del progetto?Bastano pochi tentativi sulle interfacce di input, e spesso anche banalmente sulle query string di navigazione per identificare la presenza di una falla.Se un'applicazione è fatta male si fa molto prima andando a tentativi e cercando di sfruttare tecniche di attacco note piuttosto che andare a leggere il codice. -
Re: Qualcuno....
- Scritto da: giuffre
- Scritto da: Difensore
Alternative???
scriversi un cms o blog da soli partendo da zeroAltra XXXXXXXta... preparati a diversi XSS e SQL injection.Ne vale davvero la pena o è meglio imparare come funziona wordpress e magari modificarlo a seconda delle proprie esigenze?Accetto adesioni a corsi, a pagamento (e molto salati) si intende. -
Re: Qualcuno....
resta il fatto che un prodotto sviluppato ad hoc da una persona/team competente é più solido di un prodotto così ampio che integra plugin e parti di terzi.se poi vuoi dirci che siti importanti lo usano dopo aver rattoppato il codice stai proprio ammettendo che un volume di codice del genere è prono a celare errori. -
Re: Qualcuno....
riadattare un lavoro altrui? Per carità.Da professionista in completamente altro ambito, ho imparato php e mysql riadattando forum, blog, e comment-manager altrui. Ho finito per costruire un portale dedicato ad annunci per oggetti riciclati scritto interamente da me, dopo aver perso alcune mezze giornate a cercare tra script già pronti dei quali nessuno faceva tutto quello di cui avevo bisogno.E' follia navigare in mezzo ad centinaia di includes, e di altrettanti script php separati, per scovare quali sono le righe di codice che si occupano di fare proprio quella cosa che te vuoi modificare.E se poi scopri che tutte le funzioni che ruotano attorno a quella cosa ti le avresti scritte in modo diverso? Ti ripassi i centinaia di includes, dipendenze, ricostruisce il "flow" del codice per capire dove mettere mano? Fai prima a scriverti da solo esclusivamente quello che ti serve.Uso wordpress su uno dei miei siti perché volevo una cosa "veloce" da implementare, ed il design che avevo fatto a mano per la prima versione non era un cms, dovevo aggiornare manualmente tutti i menu ogni volta che aggiungevo un articolo; e poi ci sono tanti plugin interessanti proprio perché c'è una comunità molto ampia. Ma forse, avessi il tempo, sarebbe stato meglio scrivere il mio sistema da solo.La mia configurazione, se non attivo 48MB di ram allocabili da PHP, non funziona in backend. Ed avrò una quindicina di plugin.QUARANTOTTO megabytes di ram.Folle. -
Re: Qualcuno....
Attivando la cache cambia qualcosa?Io per progetti custom, più applicazioni web che "siti", ultimamente mi sto affidando a framework come Yii. -
Re: Qualcuno....
io mi trovo su un hosting condiviso, quindi non ho acXXXXX alle impostazioni del server ;)comunque si tratta di un "problema" urbi et orbi, praticamente tutti quelli che avevano una ram limitata a 32mb (o anche 48 in alcuni casi), con l'installazione di wp3 si sono visti il blog morire, quelli che sono riusciti a cambiare il limite massimo di ram allocabile fino a 50 e qualcosa sono andati avanti, gli altri sono dovuti tornare alla 2.9.7 :(Io per l'ultimo mio progetto ho usato un framework flessibile, ultrapersonalizzato ed estensibile secondo necessità in qualunque momento, si chiama framework di ephestione e lo vedi su www.reecycle.it :p-----------------------------------------------------------Modificato dall' autore il 19 luglio 2010 10.47----------------------------------------------------------- -
Re: Qualcuno....
Ah beh, se poi fai errori del genere...http://www.reecycle.it/404?u=%3C?php%20echo%20$regolamento;?%3Esi sta poco ad hackerarlo :D -
Re: Qualcuno....
ma sei proprio un acaro strabiliante! :pTrovami il modo per sfruttare uno snippet di php rimasto in un template che fa semplicemente riferimento al nome di una variabile e nient'altro, e ti regalo una vacanza.Quell'errore è stato corretto 3 ore fa, ed il link che hai postato non dimostra nulla :D -
Re: Qualcuno....
- Scritto da: Difensore
Alternative???Scriviti tutto direttamente in linguaggio macchina, partendo dal sistema operativo, come fanno tutti i "supermegaguru" che passano tutto il loro tempo a "trollare" su questo sito. -
Re: Qualcuno....
Ah, ora ho capito, grazie, beh, io non ne sono capace, ma loro sicuramente si. Secondo me hanno una tastiera cno solo due tasti:1 e 0, programmano direttamente in binario
-
-
Re: Qualcuno....
- Scritto da: Nicolaus
infatti non lo vedo bene come CMS... lo vedo bene
solo per blogging amatoriale e
semiprofessionale...Tu si che hai capito tutto... mai sentito parlare dei vip WP? Techcrunch ti dice niente?Dai vala, come al solito qui si parla tanto per sentito dire.Ma nasconditi.-
Re: Qualcuno....
Pagliaccio lo so anche io, ma un conto è diventare "popolari" un conto è diventarlo grazie al cms, techcrunch è diventato popolare per i contenuti non perchè sia grazie a wordpress, se avesse usato drupal, che fra le altre cose è anche meglio sarebbe stato uguale... Sentito dire niente, io faccio da anni il webdesigner e uso tutti sti cms e ci ho messo le mani più di quanto tu possa pensare... sei tu che devi nasconderti che da come parli sei un utente superaccanito di juliusdesign!
-
-
-
Re: Qualcuno....
- Scritto da: daniele_dll
come 12 mb di memoria errotti e nel backend
arriva a consumare anche 20mb è un CMS cheAhahahah, ma tu sei una comica umana!Alcuni siti con WP che hanno ben oltre 50 mila post, usano oltre 512MB di ram.Certo, per i sitarelli della domenica dove fai un post al mese, 20 mega sono tanti eh...Ahahahahah, ma siete messi male! Fatevi un corso accelerato, anzi, mi propongo per spiegarvi alcune cosucce interessanti su wordpress.200 euro di iscrizione e 75 euro all'ora.Fatemi sapere.-
Re: Qualcuno....
Resta il fatto che WP ha una delle peggiore code base in circolazione. -
Re: Qualcuno....
peccato ma abbiamo già versato la quota a tua mamma.. -
Re: Qualcuno....
- Scritto da: cognome
Ahahahah, ma tu sei una comica umana!
Alcuni siti con WP che hanno ben oltre 50 mila
post, usano oltre 512MB di
ram.
Certo, per i sitarelli della domenica dove fai un
post al mese, 20 mega sono tanti
eh...
Ahahahahah, ma siete messi male! Fatevi un corso
accelerato, anzi, mi propongo per spiegarvi
alcune cosucce interessanti su
wordpress.
200 euro di iscrizione e 75 euro all'ora.
Fatemi sapere.E' sempre divertente leggere questi post perché ti fa capire che, per fortuna, non mi mancherà mai il lavoro ^^. Comunque, tranquillo, non rispondo alle provocazioni o agli insulti ... non ne ho il bisogno :)Se esistono (mettiamo il condizionale perché non ci credo molto) dei siti che consumano più di 512MB a richiesta direi che gli conviene o licenziare quelli che gli hanno realizzato il sito se sono dipendenti e riassumerne dei nuovi più preparati o cambiare l'azienda che gli ha realizzato il sito e farselo rifare.512MB significa che se hai 8 gb di ram (è intendiamoci è una cifra spropositata per un server web che deve gestire un singolo sito ... e lo è per davvero) al massimo puoi tenere 16 richieste contemporanee prima che il server inizi a swappare (ed è una cosa che decisamente va evitata).In base a quello che hai detto, siti come hwupgrade, con vbulletin, avrebbero dei server con centinaia di terabyte di memoria ram perché devono tenere attivi contemporaneamente migliaia di sessioni che significa almeno un centinaio di richieste in contemporanea. Se un server deve gestire 100 richieste in contemporanea e ogni pagina consuma 512 mb di memoria hanno bisogno di 512*100 = 51.200GB di memoria ovvero di 50tb di memoria ... non so a te ma a me sembra un pò troppo costoso anche per HWUpgrade dato che vorrebbe dire avere un server che ti tiene tutti quei tb di memoria ... o per meglio dire avere più server che ti tengono tutti quei tb di memoria.La realtà è che una richiesta non dovrebbe consumare mai più di un paio di mega e non dovrebbe mai eseguire più di 7/8 query per pagina (che già sono tante) perché se lo fa, forse, si dovrebbe ottimizzare il codice e sfruttare sistemi di caching della memoria come APC, memcache, xcache e simili.-
Re: Qualcuno....
non credo intendesse 512MB a richiesta ma piuttosto in totale. -
Re: Qualcuno....
- Scritto da: Mah
non credo intendesse 512MB a richiesta ma
piuttosto in
totale.Se si parla di memoria consumata a richiesta e non si specifica a me pare scontato che si sta continuando a parlare dello stesso argomento.E come se parlando di rape tu prendi e rispondi che non ti piacciono poi interviene un altro e dice "mica sono le rape che non gli piacciono, sono i cavoli!"Se si parla di un argomento si sta parlando di quello non si può rispondere con arroganza (insultandomi, come ha fatto, senza sapere chi sono, senza conoscere la mia preparazione e senza sapere qual'è il mio lavoro) dicendo poi "ma mi riferivo ad un'altra cosa" ^^
-
-
-
-
