在Chrome抓虫奖励活动中,黑客们没少帮助Google发现Chrome浏览器的安全问题。
现在Google决定将这一活动延伸到自己的网络产品上,包括但不限于:
- *.google.com
- *.youtube.com
- *.blogger.com
- *.orkut.com
不过这次抓虫活动仅限所有Google的在线产品,而不包括客户端应用(比如Android、Picasa、Google Desktop等),不过Google说将来会有的。
另外就是,你把youtube.com通过DNS污染搞到访问不能是无法获奖的(方叫兽内牛满面),捉虫的范围仅限:
- XSS
- XSRF / CSRF
- XSSI(包括跨网站脚本)
- 绕过授权控制(比如用户A可以访问用户B的私有数据)
- 服务器端代码执行或命令注入
出于对所有用户正常访问的考虑,Google请求各位黑客不要使用自动化的测试工具,另外黑客们还需要高抬贵手,避免出现以下情况:
- 攻击Google公司的设施
- 物理攻击和社会化工程
- 拒绝服务漏洞
- 非网页应用漏洞,包括客户端应用的漏洞
- SEO黑帽技术
- 以Google品牌交由第三方运营的网站
- 最近被Google收购的技术里存在的bug
Google还强调,大家只能对自己的账号或测试帐号下手,千万不要入侵爱好摄影的陈老师的个人帐户,搞出新一轮的艳照门就不好玩了。也不要玩大规模拒绝服务攻击之类的低水平手段。
如果你真的发现了漏洞,可以联系Google的安全人员,注意要发对了负责人。一旦你真的找到了漏洞,Google会支付给你500美元奖金,如果漏洞足够重大,奖金甚至会达到3113.7美元之多(由Google安全团队来决定)。一般来说高水平黑客都不在乎钱这种浮云似的东西,所以Google也提供捐献渠道。
高手们赶紧行动起来吧,Google只会支付给第一个发现bug的人,你要是发现晚了就百忙活了。看起来Google对自己网络产品的安全还是很有自信的,当然这还是一个百密一疏的问题,所以这次比赛肯定能帮助Google将自己的安全水平提升到新的级别。
最后说说截图里的事件,这不是Google被黑了,而是Google自己犯下的一个错误(号称是把白名单跟黑名单的判断给搞反了),此事发生在2009年1月31日夜里,谷粉们应该印象深刻,这也是我印象中Google搜索出现的最严重的问题。