"Яндекс" следует за Google: уязвимость будут искать пользователи

Российская интернет-компания "Яндекс" готова вручить приз в размере 5000 долларов тому, кто найдет самую критическую уязвимость в поисковике "Яндекса" и сопутствующих сервисах. Приоритет будет даваться "дырам", которые могут привести к нарушению конфиденциальности, целостности или доступности данных пользователей. А вот сообщения об ошибках в сетевой инфраструктуре "Яндекса", а также в сервисе "Яндекс.Деньги" к участию в конкурсе приниматься не будут.

"Яндекс" предлагает сообщать обо всем, что делает возможными следующие виды атак: межсайтовый скриптинг (XSS), межсайтовая подделка запросов (CSRF), небезопасное управление сессией, различного рода инъекции, ошибки в механизмах аутентификации и авторизации, способствующие обходу этих механизмов.

Письма с отчетами конкурсанты будут отправлять по адресу security-report@yandex-team.ru. Потенциальные победители конкурса должны не разглашать информацию о найденных уязвимостях на протяжении 90 дней после отправки письма.

Практику выплаты вознаграждения за найденные в своих продуктах уязвимости ввели у себя многие ИТ-компании, в том числе Google и Mozilla Foundation - они премируют пользователей за сообщения об ошибках в браузере Chrome и Firefox. За найденные 18 уязвимостей в только что вышедшей версии Chrome 15 компания Google выплатила четырем специалистам рекордную сумму - 26 511 долларов.



Источник: DailyComm