Nagroda jest obwarowana szeregiem warunków. Błąd musi dotyczyć najnowszej wersji (normalnej lub beta), musi być nieznany, a także nie może być spowodowany przez dodatki albo wtyczki. Z możliwości otrzymania nagrody wykluczeni są także pracownicy fundacji oraz osoby odpowiedzialne za błędny kod. Oprócz tego luka musi należeć do kategorii sg:high lub sg:critical, co w praktyce oznacza, że mógłaby pozwolić na wydobycie potencjalnie cennych informacji z przeglądarki użytkownika lub umożliwić przejęcie nad nią kontroli.
Czasy, kiedy specjaliści zajmujący się bezpieczeństwem zgłaszali błędy za darmo powoli się kończą. Często bardziej opłaca im się opublikować informacje o odkrytej przez nich podatności w programie na sieci (zyskując rozgłos), albo utrzymać ją w tajemnicy i wykorzystać w konkursie oferującym nagrody (np. Pwn2Own ).
Działanie Mozilli pokazuje, że zmienia się także podejście firm, które przyzwyczajają się do faktu, że za informację o poważnych błędach w swoich produktach trzeba płacić. Większa nagroda na pewno wpłynie na bezpieczeństwo użytkowników korzystających z Firefoxa.
[ Mozilla via ArsTechnica ]
Maciej Starzycki
