转载

谷歌放大招：谁能黑进Chromebook就奖谁10万美元

　　3 月 16 日消息，据外电报道，从 2010 年推出“捉虫赏金”计划以来，谷歌在六年的时间里已给安全研究员发放了逾 600 万美元奖金（仅在去年一年就发放了 200 多万美元奖金）。该公司现在进一步拓展了它的 Chrome 奖励计划：提高针对 Chromebook 的最高奖励金额以及增加了新的赏金项目。

　　捉虫赏金计划是对公司已有内部安全计划的有益补充。它不仅可以鼓励黑客个人或组织帮助公司寻找漏洞，而且鼓励他们在发现漏洞后通过适当的方式报告给公司，而不是利用这些漏洞进行各种违法活动或将这些漏洞信息出售给其他人牟利。

　　去年，谷歌悬赏 5 万美元，鼓励人们攻击 Chromebook 的访客模式，寻找其中的漏洞。但是，据该公司的安全团队称，迄今为止，它尚未收到任何攻击成功的报告。

　　因此，谷歌将悬赏金额提高了一倍，提高到了 10 万美元。该公司希望有人能够通过黑客手段侵入 Chrome OS。“卓越的研究值得丰厚的回报。因此，我们的六位数字的悬赏金额全年有效，没有名额限制，也没有总奖励金额限制。”谷歌宣称。

　　此外，谷歌还增加了“下载保护绕行”赏金计划。简而言之，只要人们发现可以绕过 Chrome 安全浏览下载保护功能的方法，该公司就会给他们提供奖励。相关奖励规则如下：

　　1. Chrome 浏览器中的安全浏览功能必须开启，而且必须有一个最新的数据库（在安装新的 Chrome 浏览器后，这个数据库可能需要好几个小时才能形成）。

　　2. 网络上的安全浏览服务器必须可以访问。

　　3. 二进制数据必须放在用户可能执行它的地方（例如下载文件夹）。

　　4. 不能要求用户更改文件拓展名或从被阻止的下载目录中恢复它。

　　5. 任何要求用户执行的操作对于大多数用户来说必须是合理的和可能的。不能要求用户执行三个以上的合理操作（例如：点击下载，打开 .zip 压缩包以及执行 .exe 文件）。但这一切将根据具体情况而定。你也不能指望用户忽视警告信息。

　　6. 下载数据不得给安全浏览功能发送下载保护 Ping。你可以查看 chrome://histograms/SBClientDownload.CheckDownloadStats 上的计数器增量来核对下载保护 Ping。如果计数器增加，这说明验证信息已成功发送。（除了计数器#7 除外，它计算的是未发送的验证信息。）

　　7. 二进制数据的托管域名和任何签名不能出现在优良名单上，你可以访问 chrome://histograms/SBClientDownload 进行核对。已签署或列在优良名单上的下载数据不能再增加。

　　安全浏览功能列出了一系列网址，这些网址包含有针对 Chrome、火狐和 Safari 浏览器以及互联网服务提供商的恶意病毒或钓鱼内容。

正文到此结束