发信人: flatbean5 (亮剑太平), 信区: Programming
标 题: Re: 类似这次SSL漏洞,闭源软件有不小优势
发信站: BBS 未名空间站 (Tue Apr 8 23:34:47 2014, 美东)
微软去年下半年才有bounty program吧,扣的跟三孙子似的,能买几个0day。
安全公司或者独立研究人员报的,今年一月份奇虎就报了70个,
看到微软patch之前不知道怎么找漏洞。
0day。
full disclosure这么多年也没见fbi派人去抓,
流行no free bugs运动了。人一个好用的exp能卖60万,干嘛要免费放。
【 在 xiaoju (可爱的龙猫) 的大作中提到: 】
: 0day都是雇人查或者花钱买来的,但这个不重要,
: 你要是网银IT总管,有什么办法防止这事情发生?
: 的hacker都反应过来了,难道把server下线一天?
: 现在不说没有雷锋愿意免费释放值钱的0day,就算有,
发信人: xiaoju (可爱的龙猫), 信区: Programming
标 题: Re: 类似这次SSL漏洞,闭源软件有不小优势
发信站: BBS 未名空间站 (Wed Apr 9 00:09:28 2014, 美东)
那是免费放的东西都不值钱,还不够抓人的经费。
是次要的,首先是社会工程安全。
OpenSSL这种补bug机制,
信人: xiaoju (可爱的龙猫), 信区: Programming
标 题: Re: 类似这次SSL漏洞,闭源软件有不小优势
发信站: BBS 未名空间站 (Wed Apr 9 00:31:10 2014, 美东)
就是时间差的问题。
MS官方Patch一出来,全世界的网管都装上了,
有价值信息。
OpenSSL的补丁一出来,工具几小时就搞定,
【 在 flatbean5 (亮剑太平) 的大作中提到: 】
: 抓人的经费什么时候和放的东西的价值联系上了?
: 这种和patch出来后做binary code diff有什么太大的区别?
http://gengwg.blogspot.com/
标 题: Re: 类似这次SSL漏洞,闭源软件有不小优势
发信站: BBS 未名空间站 (Tue Apr 8 23:34:47 2014, 美东)
微软去年下半年才有bounty program吧,扣的跟三孙子似的,能买几个0day。
安全公司或者独立研究人员报的,今年一月份奇虎就报了70个,
看到微软patch之前不知道怎么找漏洞。
0day。
full disclosure这么多年也没见fbi派人去抓,
流行no free bugs运动了。人一个好用的exp能卖60万,干嘛要免费放。
【 在 xiaoju (可爱的龙猫) 的大作中提到: 】
: 0day都是雇人查或者花钱买来的,但这个不重要,
: 你要是网银IT总管,有什么办法防止这事情发生?
: 的hacker都反应过来了,难道把server下线一天?
: 现在不说没有雷锋愿意免费释放值钱的0day,就算有,
| [ 12 ] |
标 题: Re: 类似这次SSL漏洞,闭源软件有不小优势
发信站: BBS 未名空间站 (Wed Apr 9 00:09:28 2014, 美东)
那是免费放的东西都不值钱,还不够抓人的经费。
是次要的,首先是社会工程安全。
OpenSSL这种补bug机制,
信人: xiaoju (可爱的龙猫), 信区: Programming
标 题: Re: 类似这次SSL漏洞,闭源软件有不小优势
发信站: BBS 未名空间站 (Wed Apr 9 00:31:10 2014, 美东)
就是时间差的问题。
MS官方Patch一出来,全世界的网管都装上了,
有价值信息。
OpenSSL的补丁一出来,工具几小时就搞定,
【 在 flatbean5 (亮剑太平) 的大作中提到: 】
: 抓人的经费什么时候和放的东西的价值联系上了?
: 这种和patch出来后做binary code diff有什么太大的区别?
Comments
Post a Comment
https://gengwg.blogspot.com/