Kurz nach Start der Public-Beta-Phase von Let’s Encrypt hat die Electronic Frontier Foundation (EFF) ein Prämienprogramm für Finder von Sicherheitslücken aufgelegt. Die US-Organisation gehört zusammen mit Cisco, Mozilla, Akamai, dem Zertifikate-Anbieter IdenTrust sowie Forschern der University of Michigan zu den Förderern der Lösung, die eine Umstellung von Websites auf sicheres HTTP erleichtern soll.
Das Programm deckt konkret aber eine ganze Reihe Programme ab, an denen die EFF mitarbeitet, nämlich HTTPS Everywhere, Privacy Badger für Chrome und Firefox, Phantom of the Capitol, Action Center, Let’s Encrypt Agent und Boulder. Zudem können Forscher mit Prämien rechnen, die Fehler in Webservices und anderer öffentlich zugänglicher Software der Organisation finden, etwa im Rahmen der Sites eff.org, savecrypto.org und democracy.io.
Gemeldete Fehler müssen in der jeweils jüngsten Version der Programme auftreten. Die EFF bittet darum, sich auf Cross-Site Request Forgery (CSRF/XSRF), Cross-Site Scripting (XSS), Umgehung von Authentifikationsverfahren, Remote-Codeausführung, SQL Injection und Erhöhung von Rechten zu konzentrieren. Bei anderen Fehlern will sie fallweise entscheiden, ob eine Prämierung möglich ist.
Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
Meldungen sollten an die E-Mail-Adresse vulnerabilities@eff.org gehen und einen bereitgestellten GPG-Schlüssel nutzen. Die Organisation bittet sich 90 Tage Zeit vor Veröffentlichung aus, um die Schwachstelle zu beseitigen.
Reich werden können Teilnehmer an dem Programm derzeit noch nicht. Vielmehr erhalten sie Punkte in einer „EFF Security Hall of Fame“ und Sachpreise wie kostenlose EFF-Mitgliedschaft oder Werbeartikel. „Bugs zu melden hilft nicht nur der EFF und demonstriert Ihre Coolness“, schreibt die Organisation. „Koordinierte Offenlegung hilft uns, die NSA am Ausnutzen von Zero-Day-Lücken wie Heartbleed zu hindern. Als für die Nutzung und Entwicklung freier Software engagierte Organisation können wir zudem direkt mit Software-Entwicklern zusammenarbeiten, um betroffene User mit Fixes zu versorgen.“
Abschließend heißt es noch, das jetzt in den Test gestartete Let’s Encrypt sei besonders wichtig. Die EFF denke daher darüber nach, speziell dafür besonders attraktive Prämien auszuloben.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
1 Kommentar zu EFF startet Bug-Prämienprogramm zu Let’s Encrypt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Besser nicht „Lets encrypt“ :
http://blog.fefe.de/?ts=a89f4ed6
„Ich weiß ja nicht, ob ihr euch mal angeguckt habt, wie das laufen soll. Aus „Vereinfachungsgründen“ stellen die sich vor, dass ich da in meinem Webserver einen Webdienst laufen lasse, der dann aus dem Internet erreichbar sein soll — also mit anderen Worten meine Angriffsoberfläche verdutzendfache! —, und deren Dienst meldet sich dann periodisch bei diesem Webservice und dann updated irgendein Automatismus die Zertifikate. Ja nee, wird nicht passieren.“