前沿科技信息篇:谷歌为Chromium bug猎人提供三倍奖励

导读 目前最高基准费用为15,000美元,因为Chrome还宣布了加强隐身浏览的更新,白帽黑客和开发者将通过向谷歌的Chromium bug赏金...

目前最高基准费用为15,000美元,因为Chrome还宣布了加强隐身浏览的更新,白帽黑客和开发者将通过向谷歌的Chromium bug赏金计划提交漏洞获得更大的回报。

Chrome漏洞奖励计划将最高基准奖励从5,000美元增加到15,000美元,同时将高质量报告的最高奖励金额从15,000美元增加到30,000美元。这是将使用模糊器识别出的错误奖励加倍到1000美元之上。

高质量奖励被定义为提交,其中包括可以轻松,主动和可靠地对用户征收的漏洞利用。这些报告还应该具有最小化的测试用例,并且很有可能证明利用,以及展示分析以确定根本原因以及其他因素。

该计划于九年前启动,因此研究人员可以为Chromium安全维护做出贡献。2010年符合条件的错误的基本奖励是500美元,与Mozilla通过自己的错误赏金计划付款一致。

相比之下,今天向Mozilla提交关键和高安全级别漏洞的最大奖励是7,500美元,而针对中等安全级别的安全问题支付的最高奖励是2,000美元。谷歌对有效缺陷的最大基线奖励增加了三倍,这些数字超过了这些数字。

对于可能危及Chrome客户模式或Chromebox并在客户模式下持久存在的漏洞利用链的常设奖励也将提高到150,000美元。

与此同时,Google Play安全奖励计划已将远程代码执行错误的奖励从5,000美元提高到20,000美元等等。

Chrome安全团队的工程师项目经理Natasha Pabrai和安全工程师Andrew Whalley说:“铬一直是以安全为核心,由充满激情的全球社区构建,作为Chromium开源项目的一部分。”

“我们很自豪社区包括世界级的安全研究人员,他们帮助保护Chrome和其他基于Chromium的浏览器。”

尽管增长幅度很大,但Google的计划奖励仍然不适合微软和英特尔等公司。

例如,后者根据幽灵和熔毁的缺陷,为那些发现边缘漏洞从10万美元到25万美元的研究人员提高了最高费用。

另一方面,微软为其Azure DevOps平台推出了一个程序,其中有效提交的内容最多可以获得20,000美元。

堵塞Chrome的隐私浏览漏洞

谷歌已经对其漏洞赏金计划进行了这些更改,同时对其Chrome浏览器进行了以隐私为中心的重大调整。

在发布下一个Chrome版本时,该公司将插入一个漏洞,允许网站检测人们在隐身模式下浏览的时间。例如,这使得一些出版商可以阻止人们绕过付费墙。

当人们以隐身模式浏览时,Chrome的FileSystem API通常会被禁用,许多网站都可以检查FileSystem API是否可用。如果发布者在这些检查后收到错误消息,则可以推断出用户正在使用隐私浏览来访问其网站。

Chrome 76将于7月底发布,它将改变FileSystem API的行为,以堵塞这个漏洞并阻止网站确定用户访问其网站的方式。

“这一变化将影响使用FileSystem API拦截隐身模式会话并要求人们登录或切换到正常浏览模式的网站,前提是这些人试图规避计量收费墙,”谷歌新闻合作伙伴开发经理表示和网络合作伙伴Barb Palser。

“与需要人们登录查看任何内容的硬付费墙或登记墙不同,在您必须登录之前,计量表会提供大量免费文章。此模型本质上是漏洞,因为它依赖于网站跟踪网站数量的能力。有人看过的免费文章,通常使用cookies。私密浏览模式是人们用来管理cookie并从而“重置”计量表数量的几种策略之一。

“我们的新闻团队支持具有仪表策略的站点,并认识到减少仪表规避的目标,但是,任何基于隐私浏览检测的方法都会破坏隐身模式的原则。”

上述的内容就为今日小编为大家所分享的关于科技科学方面的一些信息了,希望今天小编为大家分享的关于科技方面的信息对大家有帮助哦。

免责声明:本文由用户上传,如有侵权请联系删除!