Google récompensera ceux qui trouveront des failles de sécurité dans le navigateur Chrome

Djug · 01/02/2010, 10h09

Google récompensera ceux qui trouveront des failles de sécurité dans le navigateur Chrome

Suivant les traces de Mozilla, Google a annoncé sur un billet du blog officiel du projet Chromium le lancement d’un nouveau programme qui consiste à récompenser ceux qui trouveront des failles de sécurité dans le navigateur Chrome, ce qui devrait rendre les hackers à travers le monde heureux.

Alors que Mozilla offre jusqu'à 500 $ par bug, Google va offrir des récompenses allant de 500 à 1337$ (en référence à http://fr.wikipedia.org/wiki/Leet_Speak) pour chaque bug jugé conséquent.

Google demande aux chercheurs de ne pas divulguer les failles publiquement, avant de les signaler et de les enregistrer dans le Chromium bug tracker, parce que dans le cas où plusieurs personnes découvriront le même bug, seul le premier inscrit sur le « bug tracker » sera récompensé.
Google signale que les plugins et les extensions du navigateur ne sont pas concernés par ce programme.

source

Pensez-vous que Google sous-estime ou surestime le niveau de sécurité de son navigateur ?

voir aussi:

Google Chrome 4 est arrivé : vitesse, synchronisation, extensions et API pour les développeurs sont au menu

Lyche · 01/02/2010, 10h20

Je pense qu'avec des effets d'annonces comme ça, ils vont court-circuiter les critiques probables sur les éventuels bugs. "Vous voyez, on est pas sur de faire du 100% et on met tout en œuvre pour corriger".
Je pense aussi que ça leur reviens moins cher que de payer des types toute l'année pour trouver les bugs.

Louis Griffont · 01/02/2010, 10h21

Je pense surtout que c'est une bonne manière de cacher les vices de formes de son navigateurs, puisque pour toucher le jackpot, les trouveurs ne doivent pas les divulguer !

gege2061 · 01/02/2010, 10h39

Citation:

Envoyé par Louis Griffont

Je pense surtout que c'est une bonne manière de cacher les vices de formes de son navigateurs, puisque pour toucher le jackpot, les trouveurs ne doivent pas les divulguer !

Bien sur que si, mais sur le gestionnaire de bug du projet en premier !

dams78 · 01/02/2010, 11h20

Citation:

Envoyé par Louis Griffont

Je pense surtout que c'est une bonne manière de cacher les vices de formes de son navigateurs, puisque pour toucher le jackpot, les trouveurs ne doivent pas les divulguer !

Ce genre de système à fait ces preuves : cf les concours RSA.

Je trouve que c'est une bonne idée, en plus je ne savais pas que Mozilla le faisait, je suis content de l'apprendre.

Louis Griffont · 01/02/2010, 11h25

Citation:

Envoyé par gege2061

Bien sur que si, mais sur le gestionnaire de bug du projet en premier !

En gros, ils veulent éviter ce qu'ils ont fait à Microsoft en criant au scandale après avoir trouvé une faille de sécurité sur IE6 !

Aurait-il peur du retour de bâton ?

shkyo · 01/02/2010, 11h29

Ah la bonne vieille méthode "chasseur de primes" à l'américaine, cela reste discutable, mais bon quand on a un gros portefeuille, ça donne toujours quelques résultats...

Lyche · 01/02/2010, 11h33

Debugger User, laissons aux autres le soin de faire ce que nous ne savons/pouvons/voulons faire.

dams78 · 01/02/2010, 11h49

Citation:

Envoyé par Louis Griffont

En gros, ils veulent éviter ce qu'ils ont fait à Microsoft en criant au scandale après avoir trouvé une faille de sécurité sur IE6 !

Aurait-il peur du retour de bâton ?

Ca peut aussi être une façon de montrer la fiabilité de leur système, je redonne le même exemple avec RSA

.

exodev · 01/02/2010, 12h05

Citation:

Envoyé par Louis Griffont

Je pense surtout que c'est une bonne manière de cacher les vices de formes de son navigateurs, puisque pour toucher le jackpot, les trouveurs ne doivent pas les divulguer !

ah ?

Citation:

Q) Will bugs disclosed publicly without giving Chromium developers an opportunity to fix them first still qualify?
A) We encourage responsible disclosure. Note that we believe responsible disclosure is a two-way street; it's our job to fix serious bugs within a reasonable time frame.

Q) Do I still qualify if I disclose the problem publicly once fixed?
A) Yes, absolutely. We encourage open collaboration. We will also make sure to credit you in the relevant Google Chrome release notes and nominate you for the Google Security "thank you" section.

Louis Griffont · 01/02/2010, 13h06

De bonnes paroles... Wait and See !

guidav · 01/02/2010, 13h26

500 USD, soit l'équivalent du coût d'une journée de travail pour un programmeur ultra débutant. La grande classe.
Je pense que si je trouvais une vulnérabilité critique, j'exigerais nettement plus que ça.

exodev · 01/02/2010, 13h31

Citation:

Envoyé par guidav

500 USD, soit l'équivalent du coût d'une journée de travail pour un programmeur ultra débutant. La grande classe.
Je pense que si je trouvais une vulnérabilité critique, j'exigerais nettement plus que ça.

Si l'on part sur la base d'un mois de 4 semaines avec 5 jours de travail par semaine, ça nous fait du 500*5*4 = 10.000$ par mois pour un ultra débutant... Ils embauchent dans ton coin ?

Michaël · 01/02/2010, 14h28

500$ pour le coût employeur

c'est pas ce que touche l'employé, loin de là

dams78 · 01/02/2010, 14h42

Citation:

Envoyé par Michaël

500$ pour le coût employeur

c'est pas ce que touche l'employé, loin de là

Un consultant 500€/Jour est loin d'être un débutant.

Barsy · 01/02/2010, 14h48

Citation:

Envoyé par dams78

Un consultant 500€/Jour est loin d'être un débutant.

Si, Un développeur débutant est vendu entre 400 et 500 €/jour.
Bien entendu, le développeur lui est payé entre 100 et 150€/jour (brut bien evidemment).

dams78 · 01/02/2010, 14h57

Citation:

Envoyé par Barsy

Si, Un développeur débutant est vendu entre 400 et 500 €/jour.
Bien entendu, le développeur lui est payé entre 100 et 150€/jour (brut bien evidemment).

Je suis d'accord qu'il y a une différence entre le salaire du dév et ce qu'il est facturé.
Mais 500€ pour moi c'est pas un débutant : dans mon ancien service pour un consultant payé 550€ (dans ces eaux là, je crois) il a fallut l'accord du N+2. Et quand j'en a parlé avec des externes (à l'époque j'étais apprentis, pas trop au courant de ces formalités) eux avec, entre 15 et 30 d'exp étaient facturés dans les 500€.
Et pareil quand j'ai voulus savoir ce que j'étais facturé, en en parlant avec mon oncle (manager à France Telecom) il a supposé que j'étais facturé dans les 350€ (et j'avais 2 ans d'exp).

Enfin bon...

exodev · 01/02/2010, 14h59

Citation:

Envoyé par Michaël

500$ pour le coût employeur

c'est pas ce que touche l'employé, loin de là

En ce mettant à ce niveau c'est plus raisonnable déja effectivement :p

Cela dit dans le cas présent, cette rémunération me semble surtout concerné les gens qui stressent chrome en dehors de leur travail.

Louis Griffont · 01/02/2010, 15h30

Heu, vous montez pas le bourrichon, les mecs, Google n'a encore rien versé !

loufab · 01/02/2010, 15h31

Citation:

Envoyé par dams78

Envoyé par Michaël
500$ pour le coût employeur c'est pas ce que touche l'employé, loin de là

Un consultant 500€/Jour est loin d'être un débutant.

Et il y a une différence entre le dollars US et l'€uro !!!

01/02/2010, 10h09	#1
Djug Coordinateur publications Inscription : mai 2007 Messages : 2 909 Détails du profil Informations personnelles : Sexe : Âge : 25 Localisation : Algérie Informations forums : Inscription : mai 2007 Messages : 2 909 Points : 13 772 Points : 13 772	Google récompensera ceux qui trouveront des failles de sécurité dans le navigateur Chrome Google récompensera ceux qui trouveront des failles de sécurité dans le navigateur Chrome Suivant les traces de Mozilla, Google a annoncé sur un billet du blog officiel du projet Chromium le lancement d’un nouveau programme qui consiste à récompenser ceux qui trouveront des failles de sécurité dans le navigateur Chrome, ce qui devrait rendre les hackers à travers le monde heureux. Alors que Mozilla offre jusqu'à 500 $ par bug, Google va offrir des récompenses allant de 500 à 1337$ (en référence à http://fr.wikipedia.org/wiki/Leet_Speak) pour chaque bug jugé conséquent. Google demande aux chercheurs de ne pas divulguer les failles publiquement, avant de les signaler et de les enregistrer dans le Chromium bug tracker, parce que dans le cas où plusieurs personnes découvriront le même bug, seul le premier inscrit sur le « bug tracker » sera récompensé. Google signale que les plugins et les extensions du navigateur ne sont pas concernés par ce programme. source Pensez-vous que Google sous-estime ou surestime le niveau de sécurité de son navigateur ? voir aussi: Google Chrome 4 est arrivé : vitesse, synchronisation, extensions et API pour les développeurs sont au menu __________________ Tweet more than 140 characters with long-tweets.com Tutoriels JADE (Java Agent DEvelopment Framework) http://djug.developpez.com Je ne réponds pas aux questions techniques par Messages privés: les forums sont faits pour ça
	00

01/02/2010, 11h29	#7
shkyo Membre chevronné Administrateur systèmes et réseaux - Développeur VB Inscription : juin 2003 Messages : 607 Détails du profil Informations personnelles : Sexe : Âge : 38 Informations professionnelles : Activité : Administrateur systèmes et réseaux - Développeur VB Informations forums : Inscription : juin 2003 Messages : 607 Points : 749 Points : 749	Ah la bonne vieille méthode "chasseur de primes" à l'américaine, cela reste discutable, mais bon quand on a un gros portefeuille, ça donne toujours quelques résultats... __________________ L'homme sage apprend de ses erreurs, l'homme plus sage apprend des erreurs des autres. - Confucius - Si vous avez quelques minutes, passez donc voir mon site http://www.photospicsandco.com/ Envie de tee-shirts (et goodies!) originaux et sympa ? Visitez mon site... http://www.zazzle.com/shkyo30
	00

01/02/2010, 14h28	#14
Michaël Rédacteur/Modérateur Michaël Todorovic Ingénieur systèmes et réseaux Inscription : juillet 2003 Messages : 3 470 Détails du profil Informations personnelles : Nom : Michaël Todorovic Âge : 24 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Informations forums : Inscription : juillet 2003 Messages : 3 470 Points : 5 808 Points : 5 808	500$ pour le coût employeur c'est pas ce que touche l'employé, loin de là __________________ - Installation et configuration de Exchange 2010 new! - Installation d'Office Communications Server (OCS) 2007 R2 Standard - Présentation de Microsoft Online Services - Installation d'Active Directory sous Windows Server 2008 R2 - Mon blog sur Windows Server, Exchange, OCS et AD \| Mes articles
	00

01/02/2010, 10h21	#3
Louis Griffont Inactif Inscription : février 2003 Messages : 4 343 Détails du profil Informations forums : Inscription : février 2003 Messages : 4 343 Points : 4 079 Points : 4 079	Je pense surtout que c'est une bonne manière de cacher les vices de formes de son navigateurs, puisque pour toucher le jackpot, les trouveurs ne doivent pas les divulguer !
	00

01/02/2010, 13h06	#11
Louis Griffont Inactif Inscription : février 2003 Messages : 4 343 Détails du profil Informations forums : Inscription : février 2003 Messages : 4 343 Points : 4 079 Points : 4 079	De bonnes paroles... Wait and See !
	00

01/02/2010, 13h26	#12
guidav Membre chevronné Inscription : janvier 2006 Messages : 891 Détails du profil Informations forums : Inscription : janvier 2006 Messages : 891 Points : 687 Points : 687	500 USD, soit l'équivalent du coût d'une journée de travail pour un programmeur ultra débutant. La grande classe. Je pense que si je trouvais une vulnérabilité critique, j'exigerais nettement plus que ça.
	00

01/02/2010, 15h30	#19
Louis Griffont Inactif Inscription : février 2003 Messages : 4 343 Détails du profil Informations forums : Inscription : février 2003 Messages : 4 343 Points : 4 079 Points : 4 079	Heu, vous montez pas le bourrichon, les mecs, Google n'a encore rien versé !
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email