Zeven lekken in Chrome gedicht
Google wil 'verantwoorde onthulling'
28 juli 2010 | Jeroen Geuens
Vlak voor de start van de securitybeurs Black Hat brengt Google een nieuwe versie van zijn webbrowser uit. Chrome krijgt pleisters op zeven beveiligingslekken in zijn nieuwste stabiele versie. Voor het vinden van de lekken hanteert Google intern een speciaal beloningsysteem.
Google wil de reactietijd van zo’n veiligheidsinterventie voor Chrome drastisch verlagen. Het bedrijf betaalde daarom enkele medewerkers 1.337 dollar voor het vinden van kritieke beveiligingsproblemen. Die kunnen zich manifesteren door zwakke plekken in Windows en de veelgebruikte softwarebibliotheek Glibc, zegt Jason Kersey van Google Chrome in een blogpost.
Het bedrag van 1.337 dollar is een verder betekenisloze, waarschijnlijk grappig bedoelde verwijzing naar de Leet-taal.
Beloningsysteem loont
Googles beleid om het vinden van beveiligingslekken te belonen werpt vruchten af. Werknemers die drie hogeprioriteitslekken vonden, ontvingen een bonus, net als iemand die een minder zwak punt ontdekte. Het ontdekken van problemen met een laag risico leverde helaas geen bonus op.
In juli rommelde het echter in het bonussenbeleid, toen het bedrijf bekendmaakte een bonus van liefst 31.337 dollar uit te loven aan zij die een ernstig beveiligingsprobleem ontdekten. 31.337, dat in de Leet-taal staat voor eleet (elite), is natuurlijk een stuk beter dan het simpele leet van voorheen.
Geen full disclosure
Toch wil Google een andere richting uit dan het betalen van werknemers die lekken vinden: het pleit voor responsible disclosure.
Dat is het melden van een lek aan een softwarefabrikant, die het nieuws dan bekendmaakt wanneer een oplossing klaar is. Het staat in schril contrast met full disclosure, waarbij men het nieuws van een beveiligingslek meteen bekendmaakt.
In dat geval heeft de fabrikant geen tijd om rustig een oplossing te zoeken, maar is de gebruiker wel meteen op de hoogte. Een hacker zou immers het lek kunnen ontdekken en de zwakheden misbruiken voordat de softwarefabrikant een oplossing aanbiedt.
“Wij geloven dat responsible disclosure van twee kanten komt”, zegt Google in een blogpost. “Verkopers en onderzoekers moeten zich verantwoordelijk gedragen. Ernstige problemen moeten relatief snel aangepakt worden. Elk probleem is uniek, maar we geloven dat zestig dagen een redelijke limiet is voor het dichten van lekken in wijdverspreide software.”
bron: ZDNet
Lees verder op ZDNet »
Google dicht elf lekken in Chrome
Chrome Web Store mogelijk in oktober
Google versnelt updatecyclus Chrome
Chrome 6: toevoegingen en afvallers
15 onmisbare extensies voor Google Chrome
Belangrijke updates voor Chrome
Chrome blokkeert verouderde plug-ins
Chrome bouwt pdf-lezer in
Chrome wint opnieuw marktaandeel
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
