A szoftver bonyolultsága miatt nehéz biztosítani, hogy ne legyenek hibák. Egyszerűen ez az emberi tervezésű és rendkívül összetett dolgok módja. A probléma minimalizálása érdekében a szoftverfejlesztő cégek szoftverfejlesztési életciklusukba belefoglalják a kódellenőrzéseket. De még a gondos szakértői felülvizsgálat sem képes mindent megfogni. A nagyon valós idejű és költségvetési korlátok ezt súlyosbítják. Emiatt a hibák eljutnak az éles rendszerekbe. Egyes hibák csekély vagy semmilyen hatással nem járnak, mások viszont csúnya biztonsági réseket vezethetnek be.
A biztonsági rés olyan hibaosztály, amely valamilyen módon befolyásolja a rendszer biztonságát. A lehetséges eredmények széles skálája létezik, de végül minden biztonsági rés mindenki számára rossz. Sajnos a hibák keresése nehéz és időigényes lehet. Míg a fejlesztők csak korlátozott időt tölthetnek a hibák tesztelésével, egy másik csoport együttesen sokkal több időt tölt az alkalmazás használatával – a felhasználók.
Egy rendszer felhasználói együttvéve sokkal több időt töltenek egy rendszeren, mint amennyit a rendszer fejlesztői valaha is tudtak volna. Ezenkívül sokkal szélesebb körű eszközöket használnak. Ez együttesen tökéletes környezetet biztosít a hibák – sok szem és szélső tok – megtalálásához.
A felhasználók munkába állítása
A felhasználók használatának hagyományos módja a hibák megoldásának az, hogy valamilyen hibajelentési funkciót használnak, amely lehetővé teszi a felhasználók számára, hogy jelentsék a talált hibákat. A fejlesztők ezt az információt felhasználhatják a probléma megismétlésére, azonosítására és orvoslására. A probléma az, hogy a felhasználó minimális ösztönzést jelent a problémák bejelentésére. Ez egy olyan folyamat, amely időt vesz igénybe, potenciális adatvédelmi vonatkozásai vannak, és általában nem eredményez visszajelzést, még akkor sem, ha a probléma megoldódott.
A biztonsági rések még rosszabbak. A rosszindulatú felhasználó dönthet úgy, hogy aktívan használja az általa talált biztonsági rést. A kérdéstől függően előfordulhat, hogy akár a feketepiacon, akár váltságdíjjal vagy zsarolással hozzá lehet jutni valami értékeshez. Alternatív megoldásként a sebezhetőségről szerzett tudást eladhatja a feketepiacon. Akárhogy is, a felhasználókat nem ösztönzik a hibák bejelentésére, és nem ösztönzik őket arra, hogy jelentsék a biztonsági réseket.
Az asztalok forgatása
A bug bounty rendszer egy módja annak, hogy megfordítsuk az asztalokat, és ösztönözzük a biztonsági problémák aktív jelentését. A módszer egyszerű, jutalmazza őket. A szokásos módszer a pénzbeli jutalom kifizetése és a hozzájárulás nyilvános elismerése. Ez közvetlenül jutalmazza a felhasználókat a biztonsági rés bejelentéséért, és a helyes cselekvésre ösztönzi őket.
A bug bounty rendszerek jellemzően bárki számára nyitottak. Bármely felhasználó, aki biztonsági rést észlel, jelentheti azt, és fizetést kaphat. Van azonban néhány figyelmeztetés. Ahhoz, hogy fizetést kapjon, általában Önnek kell az első személynek jelentenie a problémát, bár néha kivételes körülmények között vannak ritka kivételek. A szabályokat is be kell tartani.
A bug bounty rendszer szabályai átfogó védelmet nyújtanak a jogi lépésekkel szemben, ha ezeken belül maradsz. Gyakran részletesek, de viszonylag egyszerűek. Ne férjen hozzá mások adataihoz, ne használja fel rosszindulatúan a sebezhetőségeket, és ne fedje fel azokat privát és felelősségteljes módon. Lehetnek olyan dolgok is, amelyeket tiltottnak tekintenek.
Milyenek a jutalmak?
Valójában a jutalmak a jóindulaton alapulnak. Van egy olyan elem is, hogy „ha ez adatszivárgást okozott, sokkal nagyobb bírságot kellene fizetnünk”. Általában a cég viszonylag alacsony összeget fizet érte. Ez azonban sok lehet a riporternek. Egyes hibákért kevesebb mint száz dollárért lehet fizetni. Szélsőséges esetekben azonban egyes cégek százezer dollárt fizettek komoly sebezhetőségért. Természetesen a legtöbb jutalom ennél jóval alacsonyabb.
Történelmileg a hibajavítások jóval alacsonyabbak voltak, és néha inkább egy egyszerű köszönöm. Például ingyenes póló kiküldése vagy ingyenes, életre szóló előfizetés biztosítása a szolgáltatásra. A nagy technológiai cégek azonban fellendítették a piacot, csakúgy, mint a bug bounty platformok megjelenése. A bug bounty platformok olyan webhelyek, amelyek számos ügyfél bug bounty programját tartalmazzák. Mindent egy helyre csoportosítanak. Ez sokkal könnyebbé teszi egy kisebb szervezet számára a hibajavító rendszer működtetését. Ennek egyik módja a folyamat szabványosítása.
Természetesen a bug bounty jutalom sokkal kisebb, mint amit a hiba feketepiaci eladásával lehetne elérni. A koncepció bízik abban, hogy általában a legtöbb ember helyesen akar cselekedni. Vagy legalábbis nem akarják, hogy a törvénysértés kockázata visszatérjen rájuk.
Következtetés
A bug bounty egy olyan rendszer, amely jutalmat fizet a biztonsági rés megtalálásáért és felelősségteljes feltárásáért. Aktívan arra ösztönzi a felhasználókat, hogy teszteljék és javítsák a termékek biztonságát. Sok új pillantást vet a tesztelési folyamatba, mindezt minimális költséggel a vállalat számára. Természetesen, mint valaki, aki részt vesz egy bug bounty rendszerben, elengedhetetlen az óvatosság és a szabályok megértése.
A hackelés illegális; a bug bounty program lehetővé teszi bizonyos dolgok tesztelését, de jellemzően korlátozásokat tartalmaz. Ha nem tartja be a szabályokat, büntetőjogi felelősségre vonható. Ha betartja a szabályokat, hibát talál és jelent, szép kifizetést kaphat, és növelheti saját és más felhasználók biztonságát.
A Chrome alapértelmezés szerint nem mutatja meg a teljes URL-t. Lehet, hogy nem törődik túl sokat ezzel a részlettel, de ha valamilyen oknál fogva meg kell jelenítenie a teljes URL-t, lásd: Részletes utasítások arról, hogyan állíthatja be a Google Chrome-ot a teljes URL-cím megjelenítésére a címsávban.
A Reddit 2024 januárjában ismét megváltoztatta a dizájnt. Az újratervezést az asztali böngészők felhasználói láthatják, és szűkíti a fő hírfolyamot, miközben linkeket biztosít
Problémákat tapasztal a Starbucks alkalmazás használatával Apple iPhone vagy Android telefonján? Előfordulhat, hogy az alkalmazásban technikai hibák vannak, vagy az internetkapcsolat nem működik.
Izgatottan várod a ChatGPT-t, az OpenAI által kifejlesztett forradalmian új mesterséges intelligencia (AI) chatbotot? Ha regisztrál egy ChatGPT-fiókra, akkor kihasználhatja ezt a hihetetlen nyelvi modell erejét, és felfedezheti annak végtelen lehetőségeit.
Érdemes lehet YouTube-videóit megosztani az Instagramon, hogy növelje márkáját és elköteleződést generáljon, de hogyan oszthatja meg YouTube-videóit az Instagram Story-ban. Nem lehet közvetlenül megosztani YouTube-videót az Instagram Story-ban, de van mód ennek megkerülésére.
Néha csak egy GIF segítségével érheti el, hogy mit szeretne mondani, és a megfelelő kiválasztása mulatságos eredményeket hozhat. Valószínűleg már tudja, hogyan kell GIF-eket küldeni a Snapchaten, és hogyan kell GIF-et közzétenni a Facebookon, az Instagramon, a Redditen és a Twitteren, de tudtad, hogy az Instagram-bejegyzésekhez is használhatsz megjegyzés GIF-eket.
Ha a Steam kliens elakad a „Steam fiók csatlakoztatása” oldalon, akkor azt fogod tapasztalni, hogy nem tudsz túllépni ezen a képernyőn, bármit is csinálsz. A Steam különböző okok miatt jeleníti meg ezt a hibát, beleértve az alkalmazás saját rossz fájljait is.
A Google Pay megkönnyíti az érintés nélküli fizetést azáltal, hogy otthon hagyhatja a pénztárcáját, és Google Pixel készülékével fizethet. A probléma az, hogy a Google Pay időnként leáll.
Képzelje el a legrosszabb forgatókönyvet: egy teljes harc kellős közepén áll, és csapattársaival együtt kinyírja az ellenségeket balról, jobbról és középről, majd… a PS5 DualSense kontroller akkumulátora lemerül. Ha csak egy kontrollere van, akkor vezetékes módban kell játszania, vagy meg kell várnia, amíg a kontroller feltöltődik.
Azt mondják, a kíváncsiság ölte meg a macskát, de néha szeretné tudni, hogy ki nézte meg Facebook-profilját, fényképeit, bejegyzéseit és személyes adatait. Szeretné tudni, hogyan nézheti meg, ki üldözi a Facebook-profilját.
