Gemeinschaft::Organisationen
Mozilla erneuert das Bug Bounty-Programm für Webseiten
Die Mozilla Foundation hat ihre Initiative für das Auffinden von Sicherheitslücken weiter verstärkt. Sie bezieht sich nun auf mehr Webseiten und mehr Fehlerklassen und definiert genau, wieviel Geld für gemeldete Fehler bezahlt wird.
Mozilla
Schon seit 2004
zahlte die Mozilla Foundation eine Prämie für jeden Hinweis auf sicherheitskritische Fehler. Dieses »
Bug Bounty Program« soll die Untersuchung der Sicherheit der Mozilla-Software fördern und die Software letztlich sicherer machen. Die anfängliche Finanzierung des Programms kam von Linspire (später
von Xandros übernommen und
kurz darauf eingestellt) und Mark Shuttleworth, dem Gründer von Ubuntu.
Anfänglich belief sich die Prämie auf 500 US-Dollar pro Fehler. 2010 wurde sie auf 3.000 US-Dollar und ein T-Shirt erhöht. Hintergrund war wohl, dass Informationen über Sicherheitslücken oftmals unter Internet-Kriminellen gehandelt werden, statt sie bekannt zu geben.
Im Dezember des gleichen Jahres wurde begonnen, auch für Lücken in Webseiten Prämien von 500 bis 3000 US-Dollar zu zahlen. Alles in allem sieht Mozilla das Programm als großen Erfolg an und hat nach eigenen Angaben bereits hunderttausende von US-Dollar gezahlt. Allerdings hatte es laut der aktuellen Mitteilung von Mozilla auch einige Schwächen. Durch die steigende Zahl von Webseiten, die Mozilla anbietet, wurden Lücken zahlreicher. Mozilla war jedoch nicht gewillt, für Lücken auf Webseiten, die es für weniger wichtig hält, genausoviel zu zahlen wie für Lücken auf zentralen Seiten. Dies führte zu »Schwierigkeiten in der Kommunikation« mit dem Prämienjägern, wie es Mozilla ausdrückt. Die Zahlungen entsprachen demnach nicht immer den Erwartungen der Prämienjäger.
Mit einer expliziten Auflistung will Mozilla nun Klarheit schaffen. Die Auflistung ist in zwei Dimensionen unterteilt, zum einen nach der Klasse und damit Schwere der entdeckten Lücke und zum anderen nach der Klasse der Webseite. Für kritische Webseiten wird gut das Doppelte bezahlt (bis zu 5.000 US-Dollar) wie für wichtige, aber nicht als kritisch eingestufte Seiten. Daneben gibt es weitere weniger wichtige Seiten, bei denen ein gemeldeter Fehler überwiegend nicht vergütet, sondern nur mit einem Eintrag in der Bug Bounty Hall of Fame gewürdigt werden.
){kind=logo}
