Mozilla Foundationがセキュリティホール発見に懸賞金

Mozilla Foundationがセキュリティホール発見に懸賞金 71

ストーリー by Oliver 2004年08月03日 21時09分
現代の賞金稼ぎ部門より

sato_rue 曰く、 "　Mozilla Foundation が、深刻なセキュリティホールの発見者には500US$を支払うと発表した。資金は Linspire (旧 Lindows)と、南アフリカの実業家 Mark Shuttleworth氏（宇宙観光旅行に行ったり、SchoolToolプロジェクトを立ち上げる等で著名）が提供するとのこと。
なお、Mozilla(Firefox)は、Internet Explorer において致命的なセキュリティホールが続発する中、「安全なブラウザ」としてシェアを伸ばしつつある。しかし、SSL証明書偽装の脆弱性など問題がまったくない訳ではない。何にしても、ブラウザの安全性が向上することは良いことではある。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索71コメント Log In/Create an Account

IPAも (スコア:2, 興味深い)

by Anonymous Coward on 2004年08月03日 23時02分 (#600850)

IPA [ipa.go.jp]も脆弱性情報集めているので、他のソフトも同時に影響しそうなら、そちらにも連絡してあげてください。
各ベンダで調整後情報公開されるので、開発者側にはいろいろ便利なようです。
類似のことはやってるよ＞MS (スコア:2, 興味深い)

by yanagi (6075) on 2004年08月04日 0時36分 (#600893) ホームページ日記

以前、MyDoom Sasserが出たときにMicrosoftは
犯人逮捕の結びつく情報に対して懸賞金を出してます。
実際、Sasserの犯人はこれで捕まってます。

未知の脆弱性に懸賞金を出すか、
脆弱性を突いた犯人に懸賞金を出すかの違いだけど、
後者の方が安くあがりそうだなぁ（ｗ

--
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
- Re:類似のことはやってるよ＞MS (スコア:1)
  
  by shadowin (23191) on 2004年08月04日 1時16分 (#600917)
  
  犯人に損害賠償請求とかをしたら、安く上がるどころかプラスになりますね。
  
  シェア
  
  親コメント
- Re:類似のことはやってるよ＞MS (スコア:0)
  
  by Anonymous Coward
  
  犯人の情報に対して懸賞金を出すのは
  やられた「後」ですね。
  全体としてみると安あがりではないような。
  
  あ、いっぱいヒトが動いて、
  結果的にカネも動く事を考えると
  安い…のかな？
追加情報 (スコア:1)

by T.MURACHI (15699) <murachiNO@SPAMharapeko.jp> on 2004年08月03日 21時52分 (#600811) ホームページ日記

ITmedia にて記事になってます [itmedia.co.jp]

--
むらちより/あい/をこめて。
深刻.... (スコア:1, 興味深い)

by Anonymous Coward on 2004年08月03日 21時55分 (#600814)

なにを持って深刻なセキュリティホールとするのだろう。
- Re:深刻.... (スコア:3, 参考になる)
  
  by nepherptau (23656) <nepherptau@yahoo.co.jp> on 2004年08月03日 22時42分 (#600842) ホームページ
  
  えー、窓の杜の記事 [impress.co.jp]によれば、
  
  発見者がメールで脆弱性を報告すると、同団体のスタッフがその内容の深刻度を判断して
  本プログラムの対象になるかを決定するという。このときの深刻度は、未報告の脆弱性であること、
  同団体が公開した各ソフトの最新バージョンに存在する脆弱性であること、
  他ソフト（Javaやプラグインなど）の影響を受けて発生する脆弱性でないこと、
  発見者によって記述されたコードが脆弱性に含まれていないこと、
  同団体の職員でないことの合計5項目で判断される。また、
  同内容の脆弱性を複数人が報告した場合、500米ドルを分割する形になるとのこと。
  
  とのことです。ちゃんと問題は検証されるので心配はないようですね。
  
  シェア
  
  親コメント
  - Re:深刻.... (スコア:1)
    
    by itiba (10155) on 2004年08月03日 22時54分 (#600849) ホームページ日記
    
    同内容の脆弱性を複数人が報告した場合、500米ドルを分割する形になるとのこと。
    
    ということは、
    「ユーザのために発見と同時に公開します」
    って人がほかの人に、懸賞金渡さないため脆弱性を報告して黙ってるってことになったりするのかな。
    そういう姿勢の是非は問わないけれども、作ってる側から見ればそうなってくれるとうれしいのかもしれないけどたぶんそこまではかんがえてないだろうな。
    
    # まぁそういう人が懸賞金目当てってことはそう多くはないか・・
    
    シェア
    
    親コメント
  - Re:深刻.... (スコア:1)
    
    by typer (9666) on 2004年08月04日 1時02分 (#600907) 日記
    
    窓の杜の記事だと、あげられている5項目によって「深刻度」が決められるように読めますが、これは報奨金を受け取るのに必要な深刻度以外の条件ってことらしいです。
    詳しくはセキュリティバグ報奨金制度 [mozilla.gr.jp]まで。
    で、深刻度ですが、重大(critical)なものが対象で、具体的には任意のコードが実行できてしまうとか、パスワードやクレジットカードの番号等が漏洩する場合とのこと。
    詳しくはセキュリティバグ報奨金制度 FAQ [mozilla.gr.jp]まで。
    
    シェア
    
    親コメント
- Re:深刻.... (スコア:1, おもしろおかしい)
  
  by Anonymous Coward on 2004年08月03日 22時04分 (#600822)
  
  あなたの心が盗まれるかどうか
  
  シェア
  
  親コメント
  - Re:深刻.... (スコア:4, おもしろおかしい)
    
    by sillywalk (15002) on 2004年08月03日 22時44分 (#600843) ホームページ日記
    
    銭形「奴はとんでもない物を盗んでいきました」
    クラリス「・・・」
    銭形「あなたの個人情報です」
    クラリス「おぢさまっ!(泣)」
    
    --
    And now for something completely different...
    
    シェア
    
    親コメント
    - Re:深刻.... (スコア:2, おもしろおかしい)
      
      by tuneo (2938) on 2004年08月03日 23時18分 (#600863) ホームページ日記
      
      触発されてみました。
      
      「これは大変なセキュリティーホールを発見してしまった。どうしよう」
      「クラッキングはできないけれど、きっと憶えます！」
      「俺たちのディスククォータには大きすぎらぁ」
      
      …意外とアレゲなパロディができるもんですねぇ。
      
      シェア
      
      親コメント
      - Re:深刻.... (スコア:0)
        
        by Anonymous Coward
        
        >「これは大変なセキュリティーホールを発見してしまった。どうしよう」
        これはなんのパロディなんでしょう。素でしりたい。
        
        Re:深刻.... (スコア:0)
        
        by Anonymous Coward
        
        >>「これは大変なセキュリティーホールを発見してしまった。どうしよう」
        >これはなんのパロディなんでしょう。素でしりたい。
        通常24時間以内に発送します。 [amazon.co.jp]
        
        Re:深刻.... (スコア:0)
        
        by Anonymous Coward
        
        マジレス。
        「カリオストロの城」で銭形のとっつぁんがゴート札（各国の偽札）の製造工場に踏み込んだ時の台詞。
        国際問題に発展しかねないからとICPOがゴート札の件から手を引いたのにマジギレして、TVクルー（峰不二子）を引き連れて踏み込むのですわ。
        で、カメラの前で「ルパンを追っているうちに、こんな
        
        Re:深刻.... (スコア:1, すばらしい洞察)
        
        by Anonymous Coward on 2004年08月04日 8時32分 (#600978)
        
        監督があの人だからねぇ。
        
        シェア
        
        親コメント
        
        Re:深刻.... (スコア:0)
        
        by Anonymous Coward
        
        泥棒を善人として描くから無理があるんじゃないのかなぁ？
        
        どんなにスマートな盗みでも窃盗なんだよね。
関連情報 (スコア:1, 参考になる)

by Anonymous Coward on 2004年08月03日 22時01分 (#600818)

CNET Japanの記事 [cnet.com]

窓の杜の記事 [impress.co.jp]

News.comの記事 [com.com]
- Re:もじら組での発表 (スコア:2)
  
  by SassyOS2 (8523) on 2004年08月03日 22時47分 (#600845) ホームページ日記
  
  Mozilla Foundation、セキュリティバグ報奨金制度の創設を発表 [mozilla.gr.jp]
  Mozilla ソフトウェアにセキュリティバグを発見した利用者は、www.mozilla.org/security [mozilla.gr.jp] をご覧ください。このページには、報奨金を受け取る資格があるバグの条件や、報奨金の請求方法に関する情報へのリンクが載っています。
  というわけでセキュリティセンター [mozilla.gr.jp]がオープンしています。
  
  シェア
  
  親コメント
実質的に効果があるとは思えないけど (スコア:1)

by nepherptau (23656) <nepherptau@yahoo.co.jp> on 2004年08月03日 23時15分 (#600860) ホームページ

やはり、最近の相次いでの深刻な脆弱性の発見からの事なんでしょうが、
このセキュリティプログラムを発表するのは良いアピールになると思います。
少し違和感があるのは、本来資金を提供される側はMozilla Foundationだからかな。

しかし、何気にLinspireが資金提供しているのに少し笑いました(笑)
- Re:何気にLinspire (スコア:0, 余計なもの)
  
  by Anonymous Coward
  
  近鉄なんか買ってないで、こっちにも投資よろしく。＞堀江たん
「安全神話」 (スコア:1)

by NOBAX (21937) on 2004年08月04日 6時43分 (#600953)

単に、
1.マイナーなブラウザ
2.クラッカーが相手にしない
3.セキュリティホールが顕在化しない
4.安全と勘違いする

ってことじゃないの。
----------------------------
使わないソフトにバグはない
- Re:「安全神話」 (スコア:1)
  
  by yukichi (12361) on 2004年08月04日 7時05分 (#600957) ホームページ
  
  そもそも、セキュリティがてめぇのとこの宣伝と市場政治の道具に使われている時点で、問題なの。M$にしろ、Mozillaにしろ。
  
  シェア
  
  親コメント
- - Re:「安全神話」 (スコア:2, すばらしい洞察)
    
    by Anonymous Coward on 2004年08月04日 16時06分 (#601170)
    
    それには必ず[今は]という注釈が必要。
    それを書いている所は殆ど無いよ。
    
    # つーかそんな安全、[たまたま]でしかねえんだけどな
    
    シェア
    
    親コメント
    - - Re:「安全神話」 (スコア:1)
        
        by weakness (22246) on 2004年08月04日 17時08分 (#601212)
        
        元ACの人が言いたいことは、
        「今は車がいなくて安全なように見えるけどそれはたまたまであって、
        車は突然やってくるので気をつけてね」
        っていうことじゃないかと。
        たまたまでも安全は安全って、それは本当の意味での安全じゃなくて
        安全なように見えてるだけでは？
        
        --
        --------------------------
        そろそろ時間です。
        
        シェア
        
        親コメント
500$ (スコア:0)

by Anonymous Coward on 2004年08月03日 21時35分 (#600794)

500$って安くない？
MSなら100000$くらいぽんと出しそうだけど。
- Re:500$ (スコア:2, すばらしい洞察)
  
  by dangan (17715) on 2004年08月03日 21時41分 (#600801)
  
  報酬が少ないのもダメかもしれませんが、
  報酬が多すぎると今度はSN比が悪くなりそうな気もします。
  
  シェア
  
  親コメント
- Re:500$ (スコア:2, すばらしい洞察)
  
  by volvox (6843) on 2004年08月03日 22時01分 (#600819)
  
  お金が目的でセキュリティーホールを探す人は、懸賞金を狙うよりその手の業者に売っちゃうんじゃないでしょうか。 $500 は「見つけたけど、知らせるのが色々面倒そう…」という人の背中を適度に押してくれるかも。
  # 実際そんな不精な人が、深刻なセキュリティーホールを発見できるもんなのかは知りませんが。
  
  シェア
  
  親コメント
- Re:500$ (スコア:2, すばらしい洞察)
  
  by j3259 (7093) on 2004年08月04日 0時33分 (#600891) ホームページ日記
  
  オープンでもクローズトでも、プロジェクトのリソースで一番高いのは人件費なんじゃないでしょうか。
  得にオープンの場合は給料を出してあげられないから、開発やりたくて入ってきた人に、テストやれって言えないし、開発者をテストに回すのは、（寄付された）人件費の無駄になるわけで。$500 だと、シニアプログラマだと一日分の給料、新人だと三日分ぐらいなんで、両者が得をする妥当な価格なんじゃないですか。
  人件費を考慮に入れると、（ツールとか web の）自社開発ってのは高いもんだなって思うようになりました。一年数人突っ込んで、結局没だと、千万円単位のロスなわけで。
  
  シェア
  
  親コメント
- 2^x $ (スコア:2)
  
  by takano32 (17535) on 2004年08月04日 0時51分 (#600899) ホームページ日記
  
  額の話題で思い出すのはKnuth先生かな．
  
  TeXのbug発見者の賞金 [2ch.net]
  > TeX の bug を発見すると、作者の Don Knuth から賞金が貰える。
  > その賞金額は直前の bug 発見者の2倍。
  
  --
  旅に出ます．(バグを)探さないで下さい．
  
  シェア
  
  親コメント
  - Re:2^x $ (スコア:3, おもしろおかしい)
    
    by Anonymous Coward on 2004年08月04日 7時18分 (#600962)
    
    そしてバグを報告して小切手もらった人は、記念に大事に保管
    しておこうとするので Kunth の懐は痛まないそうだ。
    
    ほんまかね?
    
    シェア
    
    親コメント
- Re:500$ (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2004年08月03日 21時49分 (#600808)
  
  そんなに大金を出すようになると、血眼になって探す人が続出＆大した物では無いバグまでもが専用のフォームにポストされ．．．挙句の果てに報奨金自体が消えるという結果が予想できないのですかねぇ．．．
  
  無数ある可能性があるセキュリティホールに1万ドルも賞金出してたら本来進めるべき開発が出来なくなるっていうことも、わからないのですかねぇ．．．
  
  たとえMSが報奨金を出したとしても1万ドル出す事はありえないでせう。
  
  ＃マジレス
  
  シェア
  
  親コメント
- Re:500$ (スコア:1, おもしろおかしい)
  
  by Anonymous Coward on 2004年08月03日 22時39分 (#600840)
  
  「俺が見つけた脆弱性は、500ドル以上の価値がある。たった500ドルなら、
  詳細は教えてやらない。」
  と発見者が言い出して、困り果てるとかね。
  ＃どこかで聞いたことのある話だ。デジャヴ？
  
  シェア
  
  親コメント
- Re:500$ (スコア:1)
  
  by goumantarou (16435) on 2004年08月04日 1時54分 (#600928)
  
  mozillaなら
  発見して、なおす人もいるのでは
  
  シェア
  
  親コメント
  - Re:500$ (スコア:1)
    
    by mizna (8774) on 2004年08月04日 5時30分 (#600948) 日記
    
    わざわざセキュリティホールを作って、
    発見して、なおすヒトは…出てこないか。
    
    というか、脆弱性を見つけられるような人は、
    自分で直してしまったほうがスッキリするかと。
    
    --
    "Stupid risks are what make life worth living!" -- Homer Simpson
    
    シェア
    
    親コメント
- Re:500$ (スコア:0)
  
  by Anonymous Coward
  
  > MSなら100000$くらいぽんと出しそうだけど。
  
  試してみたら？「セキュリティホール見つけたから懸賞金頂戴」とか。
  - こんな感じですか？ (スコア:2, おもしろおかしい)
    
    by Anonymous Coward on 2004年08月03日 22時06分 (#600823)
    
    貴社のIEにxxの脆弱性を発見しました。
    こちらで試験的に作成したソフトで、この脆弱性によりクレジットカードの番号が引き出せることを確認しました。
    この脆弱性とソフトを、利用者のために公開しようと考えています。
    公表に問題がある場合は、xx日までにこの講座に懸賞金100000$を振り込んでください。
    
    ＃あれ、玄関にお巡りさんが・・・
    
    シェア
    
    親コメント
  - Re:500$ (スコア:2, 興味深い)
    
    by Anonymous Coward on 2004年08月03日 23時30分 (#600870)
    
    数年前にMSにそれなりに重大な脆弱性を報告したら好きなMS製品一つと
    MS特製Tシャツをプレゼントするから連絡してくれって返信が来たぞ。
    ＃結局そのまま放置してしまったがTシャツは微妙に気になった。
    
    シェア
    
    親コメント
    - Re:500$ (スコア:0)
      
      by Anonymous Coward
      
      高価な開発ツールでも貰ってヤフオクで売ればよかったのに
      - Re:500$ (スコア:1)
        
        by Birdhead (16025) <reversethis-{pj.en.noid.3k} {ta} {3enim}> on 2004年08月04日 19時10分 (#601269) 日記
        
        おそらくNFR版がもらえるだけだと思うが･･･。
        
        シェア
        
        親コメント
- Re:500$ (スコア:0)
  
  by Anonymous Coward
  
  いやいや。
  何も出さないM$よりは随分マシでしょう。
  - Re:500$ (スコア:1, おもしろおかしい)
    
    by Anonymous Coward on 2004年08月03日 21時43分 (#600804)
    
    いや、M$なんですから100万$は出さないとだめでしょ？
    
    シェア
    
    親コメント
- Re:500$ (スコア:0)
  
  by Anonymous Coward
  
  本日のレートで11,082,000円ですね。
  1件につきこの金額を払っていたら、門前市をなしそうな気もしたりして。
- Re:500$ (スコア:0)
  
  by Anonymous Coward
  
  一件あたり500$ [itmedia.co.jp]、なんだけど。
- Re:500$ (スコア:0)
  
  by Anonymous Coward
  
  さすがのMSもIEの脆弱性に大盤振る舞いしたら経営傾いちゃうかもね。
とりあえず (スコア:0)

by Anonymous Coward on 2004年08月03日 22時07分 (#600825)

新しい脆弱性に懸賞金とかより先ず既知の脆弱性を直したのをリリースしてくれよ(T_T)
NightlyにFirefox 0.9.3とMozilla 1.7.2のディレクトリが出来てたからそろそろ出るのか？
Netscape Communications も報奨金を出していた (スコア:0)

by Anonymous Coward on 2004年08月03日 23時05分 (#600853)

1997年7月のCNET Newsに、「Bounty attracts bug busters」 [com.com] という記事がありました。1995年から実施していたとか。
新たなビジネスモデル (スコア:0)

by Anonymous Coward on 2004年08月03日 23時25分 (#600865)

セキュリティホールハンティングに懸賞金をかけると、マッチポンプがますます流行りそうだ。
シェアが伸びてるとは思えない (スコア:0)

by Anonymous Coward on 2004年08月04日 8時48分 (#600982)

シェアを伸ばしつつあるって何を根拠に言ってるんでしょう?
アンチMSの妄言に聞こえるんですが。
- Re:シェアが伸びてるとは思えない (スコア:3, 参考になる)
  
  by At.N. (1718) <{kkazhiro} {at} {tls.org}> on 2004年08月04日 9時06分 (#600989)
  
  ソース
  
  IEの市場シェアに下降傾向――相次ぐ脆弱性が原因か(2004/7/12 ITmedia) [itmedia.co.jp]
  IEのシェアが低下--1％の変化は何を示すのか (2004/7/14 CNET Japan) [cnet.com]
  
  たかだか 1% ですが、Internet Explorer のシェアが減るということ自体が異例のためニュースになったようです。
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Mozilla Foundationがセキュリティホール発見に懸賞金 More ログイン

IPAも (スコア:2, 興味深い)

類似のことはやってるよ＞MS (スコア:2, 興味深い)

Re:類似のことはやってるよ＞MS (スコア:1)

Re:類似のことはやってるよ＞MS (スコア:0)

追加情報 (スコア:1)

深刻.... (スコア:1, 興味深い)

Re:深刻.... (スコア:3, 参考になる)

Re:深刻.... (スコア:1)

Re:深刻.... (スコア:1)

Re:深刻.... (スコア:1, おもしろおかしい)

Re:深刻.... (スコア:4, おもしろおかしい)

Re:深刻.... (スコア:2, おもしろおかしい)

Re:深刻.... (スコア:0)

Re:深刻.... (スコア:0)

Re:深刻.... (スコア:0)

Re:深刻.... (スコア:1, すばらしい洞察)

Re:深刻.... (スコア:0)

関連情報 (スコア:1, 参考になる)

Re:もじら組での発表 (スコア:2)

実質的に効果があるとは思えないけど (スコア:1)

Re:何気にLinspire (スコア:0, 余計なもの)

「安全神話」 (スコア:1)

Re:「安全神話」 (スコア:1)

Re:「安全神話」 (スコア:2, すばらしい洞察)

Re:「安全神話」 (スコア:1)

500$ (スコア:0)

Re:500$ (スコア:2, すばらしい洞察)

Re:500$ (スコア:2, すばらしい洞察)

Re:500$ (スコア:2, すばらしい洞察)

2^x $ (スコア:2)

Re:2^x $ (スコア:3, おもしろおかしい)

Re:500$ (スコア:1, すばらしい洞察)

Re:500$ (スコア:1, おもしろおかしい)

Re:500$ (スコア:1)

Re:500$ (スコア:1)

Re:500$ (スコア:0)

こんな感じですか？ (スコア:2, おもしろおかしい)

Re:500$ (スコア:2, 興味深い)

Re:500$ (スコア:0)

Re:500$ (スコア:1)

Re:500$ (スコア:0)

Re:500$ (スコア:1, おもしろおかしい)

Re:500$ (スコア:0)

Re:500$ (スコア:0)

Re:500$ (スコア:0)

とりあえず (スコア:0)

Netscape Communications も報奨金を出していた (スコア:0)

新たなビジネスモデル (スコア:0)

シェアが伸びてるとは思えない (スコア:0)

Re:シェアが伸びてるとは思えない (スコア:3, 参考になる)