Награды за найденные уязвимости на форумах EVE Online

2 октября 2011, 14:43 UTC - Новости

С момента первой попытки разработчиков EVE Online выпустить в свет новые форумы, CCP Sreegs работал над планом, согласно которому игроки, сообщившие о найденной уязвимости, могли бы получать вознаграждения. Это практиковалось и раньше, правда размер вознаграждения определялся в индивидуальном порядке, сейчас же, похоже, настало подходящее время формализовать такой поход. Разработчики планируют давать PLEX в обмен на информацию, хотя размер вознаграждения ещё обсуждается. Всё зависит от мнения сообщества игроков.

Вознаграждения удостаиваются не все отчёты. Чтобы сообщение было ценным, оно должно быть полным. Мало сказать просто о том, что форум дырявый и работает с глюками. Так может сказать любой, не подкрепляя свои слова конкретными доказательствами. Чтобы получить вознаграждение, нужно говорить не только о том, что есть уязвимости, но и о том, как эти уязвимости можно использовать, какие конкретные шаги необходимо проделать, чтобы воспроизвести уязвимость. В том случае, если разработчикам удастся повторить ваши шаги и «взломать» форум, вы получите награду.

Отдельного внимания заслуживает такое понятие, как «ответственное раскрытие информации». Суть его состоит в том, что игрок, нашедший уязвимость, соглашается дать разработчикам время на её устранение, не выкладывая в открытый доступ информацию о том, как эту уязвимость можно воспроизвести. В том случае, если игрок, нашедший уязвимость в функционале форумов EVE Online, не придерживается условий ответственного раскрытия информации, он, скорее всего, не получит вознаграждение. В некоторых случаях, вероятно, это может расцениваться и как попытка взлома, с соответствующими санкциями.

Сообщить об уязвимости можно различными способами. Однако, не все из них эффективны. Например, сообщая об уязвимости с помощью системы петиций, помните, что гейм-мастер, который будет её обрабатывать, скорее всего не является экспертом в области безопасности и может неправильно оценить степень важности вопроса, поэтому такая информация может добираться до ответственных за безопасность работников дольше, чем нужно. Форма отправки информации об ошибке сайта EVE Online обладает такими же недостатками. Помните, что публиковать информацию об уязвимости на официальном форуме игры, чтобы привлечь к проблеме внимание разработчиков — это почти что самая худшая идея, ведь вы даёте возможность злоумышленникам использовать уязвимость до того, как разработчики о ней узнают и примут соответствующие меры. Хуже этого может быть публикация на сторонних ресурсах, где вашу информацию скорее всего не увидят разработчики, но увидят злоумышленники.

Лучший способ сообщения разработчикам о найденной уязвимости форумов EVE Online на данный момент — отправить письмо на адрес [email protected]. В этом случае оно сразу же придёт в руки людей, заинтересованных в устранении подобных проблем. И, несмотря на то, что правила сотрудничества с пользователями ещё не утверждены, CCP Sreegs обещал лично проследить за тем, чтобы каждый, кто сообщил об уязвимости, получил соответствующую награду.