яндекс вроде исправляется

Яндексом 99% недовольны))

Вот именно, ничего кроме бана сделать не могут.

Вангую что врядли что-то получится сделать ибо компании это прибыль для h1, могут обидеться и уйти

а вот не уверен, по секьюрити бэкграунд чеку (это тот что дает галочку рядом с аватаркой) ты там подписываешь ряд вещей, за которые попади ты в США, можешь огрести за нарушение

Ну встанешь в топ 10, то можно будет и права качать, а пока нам, простым смертным, нужно довольствоваться тем, что есть)

Просто интересно, сколько примерно (в процентах) "верефицированных" юзеров. Сам в бб не сижу

много раз отметили, это же открытый рынок, не нравится как работает компания ХХХ - не принимай у нее участие

Мне нравится как работает маил)

это же как магазин, если в дикси всегда срач и жесть - не ходишь в дикси
или ходишь, потому что он ближе всего )

спасибо 🙂

https://hackerone.com/reports/835005

вот кстати показательный репорт, там чел сдал похожие баги, в одну и ту же программу, но одну оценили как лоу, вторую как хай. Он прямо тут запросил remediation, но результат мы видим

с точки зрения компании - если она увидит, что она теряет багхантеров у нее много вариантов
- забить на свои процессы и просто дальше винтить цены вверх, например
- пересмотреть свои процессы и стать лучше
- забить на бб программу, везде люди и везде бывают факапы

А бб вообще оправдывает себя? Если не делать, а просто на пентестах жить, будет хуже? Или дорого?

достаточно много, бэкграунд чек может пройти почти любой. Делается в рамках попытки HackerOne стереть грань между пентестом и багбаунти. Многие серьезные клиенты не готовы работать в рамках текущей схемы багбаунти, они хотят чтобы хантеров сначала проверили на криминал, потом чтобы в доках была четко обозначена ответственность за нарушения при тестировании

Багбаунти полностью себя оправдывает. Это hard requirement для любой современной компании, если нет открытой и публичной бб программы и компания крупная - с ней что-то не то в разрезе безопасности. Как бы не казалось, пентесты решают схожую, но другую задачу. Например бб может ответить на вопрос, сколько стоит критичная уязвимость в компании. Выставляем цену в 20к долларов, если присылают раз в 3 месяца - значит примерно столько и стоит. Присылают чаще - значит стоит дешевле, меньше - дороже
Пентест отвечает на вопрос, что Х часов специалистов такого-то уровня могут найти столько-то проблем. Плюс с пентестов можно запросить отчет и понять, что проверенно, что нет, с багхантертов это не спросишь

поэтому сравнивать багбаунти и пентесты не стоит

Это баг баунти-то оправдывает себя?)

более чем)

Ну для компаний - да, оправдывает, если они готовы на это деньги сливать. А вот для вольных хакеров вообще нет