І пізнаєте правду, і правда зробить вас вільними.
(Вiд Iвана 8:32)
Ці слова із Біблії дуже актуальні в наш час. Зокрема в контексті безпеки пошукових систем. Громадськість не знає про реальні загрози, що несуть їй пошукові системи. Та й розробники пошуковців полюбляють запевнювати, що вони слідкують за безпекою (що насправді далеко не так). Тому настав час подивитися правді у вічі, котру я буду намагатися донести до вас.
Головна мета проекту: демонстрація реального стану справ з безпекою в пошукових системах. В пошуковцях є уразливості (що говорить про те, що їх розробники недостатньо приділяють увагу безпеці) і громадськість повинна знати про це. Знаючи правду, кожен користувач Інтернету зможе зробити усвідомлений вибір щодо пошукових систем.
Учасники проекту: найбільш популярні пошукові системи світу, в тому числі Google, Yahoo, MSN. Як глобальні пошукові системи, так і локальні пошуковці, котрі розробники популярних пошуковців пропонують власникам сайтів для встановлення на їх ресурсах.
В світі існують сотні (і тисячі) різноманітних пошукових систем, великих і маленьких. Вибрати з них самих популярних було не просто. На цей вибір я потратив чимало часу. Зазначу, що на даний момент немає інформації про популярність пошуковців в світовому масштабі. Є інформація по популярності пошуковців в деяких країнах (причому ці дані мені переважно відомі), але інформації по світу в цілому немає. Тому й вибірка учасників відносно суб’єктивна. Але кожен з них в своїй категорії займає лідируючі позиції.
Якщо хтось не знайде протягом місяця свого улюбленого пошуковця, то ви не переживайте - і в цьому пошуковці є дірки . Уразливості є в усіх пошуковцях. В своїй практиці соціального секюріті аудита я знаходив чимало дірок в пошукових системах, про що писав в себе на сайті, і про деякі з них я напишу під час Місяця багів. Ще чимало пошуковців, баги в яких я знайшов, не потрапили в фінальних список учасників. В світі багато пошуковців, за місяць про всіх не розповісиш. Мені не важко зробити додатково ще один місяць багів в пошукових системах, та хоч цілий рік багів. Але одного місяця вистачить, щоб звернути увагу інтернет спільноти на цю проблему. А про всі пошуковці, що не ввійшли в список учасників, я буду писати пізніше, в рамках своєї щоденної роботи.
Правила проекту: участь пошукових систем в проекті добровільна. Тобто я добровільно вибрав учасників для проекту . Щодня будуть публікуватися дірки по окремому пошуковцю. Це може бути як одна, так і більше уразливостей. Так буде на протязі 29 днів, а на 30 день я запланував сюрприз (це буде комплексний день багів). А першого липня я підведу підсумки проекту.
Інформування розробників пошукових систем буде специфічне. Воно буде відмінне від моєї загальної практики, коли я знаходжу дірку, роблю анонс (без деталей), потім повідомляю власника сайту, і лише через деякий час (зараз це 3 місяці) я пишу деталі. Це дуже затяжний процес, тому для даного проекту я вибрав іншу форму інформування. Всі деталі будуть публікуватися на сайт без попереднього повідомлення власникам пошуковців (тому їм треба слідкувати за новинами). Це буде наближанням до реального життя - де погані хлопці знаходять дірки і використовують їх, нікому про це не повідомляючи, тому власники пошуковців повинні бути на готові (а не бити байдики). Ласкаво просимо до реального світу. Власники пошуковців повинні зрозуміти, що ніхто не наймався їм повідомляти про щось, вони самі повинні слідкувати за безпекою. І у випадку, якщо хтось інший займається їх безпекою (та їм повідомляє), то треба буди вдячними (про що деякі власники пошуковців забувають). Раз я анонсував цей проект, значить вже власники пошуковців повинні були замислитися над безпекою своїх систем. І враховуючи, що основна моя мета - це безпека, то усім учасникам мого проекту я вишлю офіційне повідомлення (про участь в моєму проекті). І розробникам пошуковців залишиться лише слідкувати за новинами на сайті та виправляти уразливості.
Також у мене пропозиція: давайте виберемо найкращий баг Місяця багів. Пропоную дві номінації: Best bug of MOSEB MustLive Choice та Best bug of MOSEB Visitors Choice. В першій номінації я вже вибрав переможця, тепер треба щоб відвідувачі вибрали переможця у другій номінації. Під час проведення проекту, якщо якийсь баг вам дуже сподобається, то ви в коментарях напишіть відгук (”Cool”, “Nice”, тощо). А в кінці місяця я підрахую голоси. Результати будуть оголошені в підсумках проекту.
Результат проекту: покращення безпеки пошукових систем та Інтернету в цілому.