B
Size: a a a
2020 April 21
B
)
КР
это всё рептилойды придумали
!!!11100)
А вообще согласен с автором касательно необходимости HITM (hackerone-in-the-middle)
Любой AppSec/инфосек спец может заниматься багбаунти в компании.
!!!11100)
А вообще согласен с автором касательно необходимости HITM (hackerone-in-the-middle)
Любой AppSec/инфосек спец может заниматься багбаунти в компании.
S
за всю историю h1 вроде бы не было случая что кого-то привлекли за то что он выложил что-то в открытий доступ, может это никто и не пробовал сделать
GD
надо делать свою платформу...
КР
надо делать свою платформу...
и будет стопицот багкровдов)))
SB
это открытый рынок
1) хочешь - сдавай, не хочешь - не сдавай, есть публичная оферта под которой ты сам подписался принимая участие
2) если вдруг кто-то из бб програм будет 100% обещать что мы раскрываем все репорты после 90 дней (и такие есть уже) - ну они может получат какой-то большой процент исследователей без поднятия цен. В этом случае у других программ исследователей станет меньше и у них будет выбор - поднимать цены и переманивать баблом или тоже подключатсья к этой практике
другое дело регулирование на гос уровне тут может быть, мол если вы достаточно популярны (>N тыщ посетителей) и у вас обнаружилась уязвимость, даже из бб или аудита, которая позволяла допустить утечку PII вы обязаны провести расследование и проверить сплойтили ли эту дыру, и если да - рассказать обязательно нам. Те раскрытие уязвимостей, но действительно кому это должно быть полезно - государству для защиты данных граждан (в каком-то идеальном мире, конечно)
3-4 человека в сфере заняло позицию что нахер NDA и нахер эти деньги, потому что им эти тысячи долларов никакой роли уже не играют
а то что это возможность заработать на своих навыках в тч в развивающихся странах - ни слова, сколько жизней в лучшую сторону поменяло бб. И получилась статья истеричка от зажратых ребят, которые вертели проблемы остальных
заставь раскрывать компании все баги в х1 - куча компаний уйдет просто, упадет доход у условных индусов и т.д.
в общем шлак, конечно
(это персональное мнение и не позиция компании, если вдруг)
1) хочешь - сдавай, не хочешь - не сдавай, есть публичная оферта под которой ты сам подписался принимая участие
2) если вдруг кто-то из бб програм будет 100% обещать что мы раскрываем все репорты после 90 дней (и такие есть уже) - ну они может получат какой-то большой процент исследователей без поднятия цен. В этом случае у других программ исследователей станет меньше и у них будет выбор - поднимать цены и переманивать баблом или тоже подключатсья к этой практике
другое дело регулирование на гос уровне тут может быть, мол если вы достаточно популярны (>N тыщ посетителей) и у вас обнаружилась уязвимость, даже из бб или аудита, которая позволяла допустить утечку PII вы обязаны провести расследование и проверить сплойтили ли эту дыру, и если да - рассказать обязательно нам. Те раскрытие уязвимостей, но действительно кому это должно быть полезно - государству для защиты данных граждан (в каком-то идеальном мире, конечно)
3-4 человека в сфере заняло позицию что нахер NDA и нахер эти деньги, потому что им эти тысячи долларов никакой роли уже не играют
а то что это возможность заработать на своих навыках в тч в развивающихся странах - ни слова, сколько жизней в лучшую сторону поменяло бб. И получилась статья истеричка от зажратых ребят, которые вертели проблемы остальных
заставь раскрывать компании все баги в х1 - куча компаний уйдет просто, упадет доход у условных индусов и т.д.
в общем шлак, конечно
(это персональное мнение и не позиция компании, если вдруг)
КР
Вообще, в Татарстане разрабатывают такую платформу. будут запускать в 2021 году.
Потому что есть потребность в поиске уязвимостей на критических объектах инфраструктуры.
Предоставьте пжалста кредитную историю, 2ндфл, паспорт и подписку о невыезде
Потому что есть потребность в поиске уязвимостей на критических объектах инфраструктуры.
Предоставьте пжалста кредитную историю, 2ндфл, паспорт и подписку о невыезде
EL
Вообще, в Татарстане разрабатывают такую платформу. будут запускать в 2021 году.
Потому что есть потребность в поиске уязвимостей на критических объектах инфраструктуры.
Предоставьте пжалста кредитную историю, 2ндфл, паспорт и подписку о невыезде
Потому что есть потребность в поиске уязвимостей на критических объектах инфраструктуры.
Предоставьте пжалста кредитную историю, 2ндфл, паспорт и подписку о невыезде
Платить чак-чаком будут?
A
это открытый рынок
1) хочешь - сдавай, не хочешь - не сдавай, есть публичная оферта под которой ты сам подписался принимая участие
2) если вдруг кто-то из бб програм будет 100% обещать что мы раскрываем все репорты после 90 дней (и такие есть уже) - ну они может получат какой-то большой процент исследователей без поднятия цен. В этом случае у других программ исследователей станет меньше и у них будет выбор - поднимать цены и переманивать баблом или тоже подключатсья к этой практике
другое дело регулирование на гос уровне тут может быть, мол если вы достаточно популярны (>N тыщ посетителей) и у вас обнаружилась уязвимость, даже из бб или аудита, которая позволяла допустить утечку PII вы обязаны провести расследование и проверить сплойтили ли эту дыру, и если да - рассказать обязательно нам. Те раскрытие уязвимостей, но действительно кому это должно быть полезно - государству для защиты данных граждан (в каком-то идеальном мире, конечно)
3-4 человека в сфере заняло позицию что нахер NDA и нахер эти деньги, потому что им эти тысячи долларов никакой роли уже не играют
а то что это возможность заработать на своих навыках в тч в развивающихся странах - ни слова, сколько жизней в лучшую сторону поменяло бб. И получилась статья истеричка от зажратых ребят, которые вертели проблемы остальных
заставь раскрывать компании все баги в х1 - куча компаний уйдет просто, упадет доход у условных индусов и т.д.
в общем шлак, конечно
(это персональное мнение и не позиция компании, если вдруг)
1) хочешь - сдавай, не хочешь - не сдавай, есть публичная оферта под которой ты сам подписался принимая участие
2) если вдруг кто-то из бб програм будет 100% обещать что мы раскрываем все репорты после 90 дней (и такие есть уже) - ну они может получат какой-то большой процент исследователей без поднятия цен. В этом случае у других программ исследователей станет меньше и у них будет выбор - поднимать цены и переманивать баблом или тоже подключатсья к этой практике
другое дело регулирование на гос уровне тут может быть, мол если вы достаточно популярны (>N тыщ посетителей) и у вас обнаружилась уязвимость, даже из бб или аудита, которая позволяла допустить утечку PII вы обязаны провести расследование и проверить сплойтили ли эту дыру, и если да - рассказать обязательно нам. Те раскрытие уязвимостей, но действительно кому это должно быть полезно - государству для защиты данных граждан (в каком-то идеальном мире, конечно)
3-4 человека в сфере заняло позицию что нахер NDA и нахер эти деньги, потому что им эти тысячи долларов никакой роли уже не играют
а то что это возможность заработать на своих навыках в тч в развивающихся странах - ни слова, сколько жизней в лучшую сторону поменяло бб. И получилась статья истеричка от зажратых ребят, которые вертели проблемы остальных
заставь раскрывать компании все баги в х1 - куча компаний уйдет просто, упадет доход у условных индусов и т.д.
в общем шлак, конечно
(это персональное мнение и не позиция компании, если вдруг)
у меня тоже мысль проскачила, что tavis может не участвовать в бб - денег у него google 0 - вагонами, конечно ему так удобнее - отправил email и его имя работает
MR
"хочешь - сдавай, не хочешь - не сдавай, есть публичная оферта под которой ты сам подписался принимая участие" - this, тут обсуждать по сути и нечего.
какое то очередное нытье.
какое то очередное нытье.
КР
Платить чак-чаком будут?
да нет. тот же х1, только извращенно вписанный в реалии РФ
S
а если запретить hacktivity и любые отчеты и разглашение после 90 дней - это спасет ситуацию?
GD
Так там же идея статьи в том, что этот открытый рынок проявляет себя в негативном ключе
S
вот кстати у убера был случай что они купили молчание через х1
S
22
Кто нить сталкивался с багами 1С? как они реагируют на репорты с проблемами по безопасности в их продуктах? Почему вопрос задаю, сам не багхантер но наткнулись на баг в их софте. Куда лучше репорт отправить кто подскажет?
P
нихера себе. за дубликаты репа снижается, что ли?
B
2 2
Кто нить сталкивался с багами 1С? как они реагируют на репорты с проблемами по безопасности в их продуктах? Почему вопрос задаю, сам не багхантер но наткнулись на баг в их софте. Куда лучше репорт отправить кто подскажет?
Оперативно фиксят
B
2 2
Кто нить сталкивался с багами 1С? как они реагируют на репорты с проблемами по безопасности в их продуктах? Почему вопрос задаю, сам не багхантер но наткнулись на баг в их софте. Куда лучше репорт отправить кто подскажет?
А в каком продукте?