在Chrome抓虫奖励活动中,黑客们没少帮助Google发现Chrome浏览器的安全问题。现在Google决定将这一活动延伸到自己的网络产品上,包括但不限于:
- *.google.com
- *.youtube.com
- *.blogger.com
- *.orkut.com
不过这次抓虫活动仅限所有Google的在线产品,而不包括客户端应用(比如Android、Picasa、Google Desktop等),不过Google说将来会有的。
另外就是,你把youtube.com通过DNS污染搞到访问不能是无法获奖的(方叫兽内牛满面),捉虫的范围仅限:
- XSS
- XSRF / CSRF
- XSSI(包括跨网站脚本)
- 绕过授权控制(比如用户A可以访问用户B的私有数据)
- 服务器端代码执行或命令注入
出于对所有用户正常访问的考虑,Google请求各位黑客不要使用自动化的测试工具,另外黑客们还需要高抬贵手,避免出现以下情况:
- 攻击Google公司的设施
- 物理攻击和社会化工程
- 拒绝服务漏洞
- 非网页应用漏洞,包括客户端应用的漏洞
- SEO黑帽技术
- 以Google品牌交由第三方运营的网站
- 最近被Google收购的技术里存在的bug
Google还强调,大家只能对自己的账号或测试帐号下手,千万不要入侵爱好摄影的陈老师的个人帐户,搞出新一轮的艳照门就不好玩了。也不要玩大规模拒绝服务攻击之类的低水平手段。
如果你真的发现了漏洞,可以联系Google的安全人员,注意要发对了负责人。一旦你真的找到了漏洞,Google会支付给你500美元奖金,如果漏洞足够重大,奖金甚至会达到3113.7美元之多(由Google安全团队来决定)。一般来说高水平黑客都不在乎钱这种浮云似的东西,所以Google也提供捐献渠道。
高手们赶紧行动起来吧,Google只会支付给第一个发现bug的人,你要是发现晚了就百忙活了。看起来Google对自己网络产品的安全还是很有自信的,当然这还是一个百密一疏的问题,所以这次比赛肯定能帮助Google将自己的安全水平提升到新的级别。
最后说说截图里的事件,这不是Google被黑了,而是Google自己犯下的一个错误(号称是把白名单跟黑名单的判断给搞反了),此事发生在2009年1月31日夜里,谷粉们应该印象深刻,这也是我印象中Google搜索出现的最严重的问题。
Via Google Online Security Blog
Pic via 仲子说
Related posts
- Google Apps 将在今年秋季获得更多 Google 产品的支持
- Blogger 动感视图发布 Chrome 扩展
- Pub 和 Sub ,Google 产品正在借助 PubSubHubbub全面提速
- 百毒不收录 Google 官方博客
- Gmail 实验室智能标签功能升级,可探测社会化网站的邮件并分类
- Blogger 新增五款动感视图
- Blogger 实时统计系统正式上线,Blogger in draft 增加两个统计 gadgets
- Google Apps 已经开始测试集成 Google Reader, Blogger 等服务
- 两个 Google 出品的 Chrome 扩展:Quick Scroll 和 BlogThis
- 好吧,其实Google还想让设计达人们免费帮blogger设计模板
没有评论:
发表评论