Google zum Bug-Bounty-Programm: Nein, nicht solche Lücken!

Googles erstes Fazit der Erweiterung seines Security Bug Bounty Program fällt nach knapp zwei Wochen durchaus positiv aus; man plane 20.000 US-Dollar für das Finden von Lücken in seinen Diensten auszuzahlen. Dabei habe man die Einreichungen aber ziemlich generös bewertet, obwohl sie eigentlich keinen Preis verdienten. Darum sieht der Internetdienstleister sich gezwungen nochmal klarzustellen, welche Art von Lücken gemeint sind.

Google hatte sein Prämienprogramm zum Suchen von Lücken auf Webdienste erweitert, die in den Domains google.com, youtube.com, blogger.com und orkut.com laufen. Insbesondere das Finden von Cross-Site-Scripting-, Cross-Site-Request-Forgery- und Cross-Site-Script-Inclusion-Lücken soll im Fokus stehen. Aber auch das Austricksen oder Umgehen von Authentifizierungs- und Autorisierungsfunktionen sollen Sicherheitsforscher aufs Korn nehmen.

In einer Klarstellung macht Google nun deutlich, dass Cross-Site-Scripting-Lücken in den Domains googleusercontent.com und gmodules.com vom Programm ausgenommen seien. Diese sogenannten Sandbox-Domains kommen unter anderem beim Übersetzen von Seiten über die Sprachtools zum Einsatz. Dort sei es per Design möglich, Code einzuschleusen. Man wolle jedoch Ausnahmen bei der Bewertung machen, wenn sich zeige, dass sich eine Schwachstelle dort auf die normalen Dienste auswirke.

Auch das Platzieren und Ausführen von JavaScript im eigenen Blog auf blogger.com zählt ebensowenig zu preiswürdigen Schwachstellen wie die Möglichkeit bösartiger Webseiten, Anwender via Cross-Site-Request-Forgery auf anderen Webseiten auszuloggen. Außerdem sind laut Google URL-Weiterleitung respektive Umleitungen und Lücken in Diensten von der Bewertung ausgeschlossen, die erst kürzlich von Google akquiriert wurden. Ein vollständige die Liste der Ausnahmen ist hier zu finden: Vulnerability Reward Program (dab)