mikrocontroller.net

Forum: Ausbildung, Studium & Beruf Lohnen sich bugbounty-Programme?


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Stefan H. (Firma: dm2sh) (stefan_helmert)


Bewertung
3 lesenswert
nicht lesenswert
Hallo,

es gibt Plattformen, auf welchen Software-Hersteller ein Honorar für das 
Finden von Fehlern ausschreiben.

Der Vorteil dieser Tätigkeit ist, dass es hier um technische Fähigkeiten 
geht. Es ist egal wie lange oder ob man studiert hat. Es ist auch egal, 
wie gut man sich verkaufen kann.

Wer von euch hat soetwas einmal gemacht? Lohnt es sich? Auf welcher 
Plattform habt ohr die Aufträge angenommen?

von Wühlhase (Gast)


Bewertung
2 lesenswert
nicht lesenswert
Soweit ich weiß nimmt man nicht einfach teil und bekommt dafür Geld.

Sondern man nimmt daran teil, indem man eine Sicherheitslücke gefunden 
hat und diese meldet. Und bekommt dann Geld. Vielleicht.

Und nur darum ist es egal, ob du studiert hast oder nicht. Bezahlt wird 
quasi nur nach Leistung. Wer nichts kann, hat auch nichts zum Abliefern 
und ist damit von vornherein ausgeschlossen.

Jedenfalls bei dem, was ich so kenne.

von Emil Epsilon (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Stefan H. schrieb:
> Hallo,
>
> es gibt Plattformen, auf welchen Software-Hersteller ein Honorar für das
> Finden von Fehlern ausschreiben.
>
> Der Vorteil dieser Tätigkeit ist, dass es hier um technische Fähigkeiten
> geht. Es ist egal wie lange oder ob man studiert hat.

Nein, es ist nicht egal, das man kein Grundlagenwissen hat, denn so 
manches was ein Laie an einem Spezialprogramm für einen Bug hält, ist 
für den Spezialisten eine falsche Erwartungshaltung oder gar ein 
Feature.

So wird wohl jeder Nichtfotograf die Menü-punkte "Abwedeln" oder 
"Entsättigen" als Übersetzungsfehler für "zu-hell-Korrektur" oder 
"Grau-Konverter" halten.

von HeinrichDerFünfhundertste (Gast)


Bewertung
2 lesenswert
nicht lesenswert
Emil Epsilon schrieb:
> Nein, es ist nicht egal, das man kein Grundlagenwissen hat, denn so
> manches was ein Laie an einem Spezialprogramm für einen Bug hält, ist
> für den Spezialisten eine falsche Erwartungshaltung oder gar ein
> Feature.
>
> So wird wohl jeder Nichtfotograf die Menü-punkte "Abwedeln" oder
> "Entsättigen" als Übersetzungsfehler für "zu-hell-Korrektur" oder
> "Grau-Konverter" halten.

Geht es dabei etwa um alle Bugs? Ich dachte bis jetzt es geht bei diesen 
Bugbounty Programmen nur um Bugs die eine Sicherheitslücke darstellen.

von Emil Epsilon (Gast)


Bewertung
0 lesenswert
nicht lesenswert
HeinrichDerFünfhundertste schrieb:
> Emil Epsilon schrieb:

> Geht es dabei etwa um alle Bugs? Ich dachte bis jetzt es geht bei diesen
> Bugbounty Programmen nur um Bugs die eine Sicherheitslücke darstellen.

Du denkst falsch, der "Grossvater aller Bug bounties" des legendären 
Donald Knuth schliesst inhaltliche und historische Fehler ein:

https://en.wikipedia.org/wiki/Knuth_reward_check

Und da es keine standardisierte Definition von Bug bounty gibt, muss man 
alles Kleingedruckte lesen um zwischen Belohnung und Abmahnung 
unterscheiden zu können. Wäre nicht das erste Mal, das einem 
übermotivierten Freiberufler statt einem 
Scheck/Dienstleistungsbestellung ein Abmahnschreiben ins Haus flattert:

https://www.heise.de/security/meldung/Magix-verhindert-Exploit-Veroeffentlichung-1235123.html

von vgh (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Ich habe Bug Bounty Programme immer als Anreiz gesehen, um beim 
zufälligen Entdecken einer Sicherheitslücke einen Grund haben den zu 
melden, statt ihn für zwielichtige Zwecke zu nutzen.

Es wäre mir neue dass Leute aktiv der Belohnung wegen suchen, das kann 
sich doch nicht lohnen?!

von HeinrichDerFünfhundertste (Gast)


Bewertung
0 lesenswert
nicht lesenswert
vgh schrieb:
> Es wäre mir neue dass Leute aktiv der Belohnung wegen suchen, das kann
> sich doch nicht lohnen?!

Und wie sich das lohnen kann: 
https://www.hackerone.com/press-release/teen-becomes-worlds-first-1-million-bug-bounty-hacker-hackerone

von Hannes J. (pnuebergang)


Bewertung
0 lesenswert
nicht lesenswert
Stefan H. schrieb:
> Es ist auch egal,
> wie gut man sich verkaufen kann.

Nein, ist es nicht. Wenn du glaubst du könntest einem Auslober einfach 
irgendwie einen Fund vor die Füße kotzen, dann liegst du falsch. Du 
musst deine Entdeckung dem Auslober schmackhaft machen, unter Einhaltung 
meist strenger Regeln, in Form vom verständlicher Dokumentation und 
Information. Der Auslober der Belohnung muss dir auch glauben, dass du 
was gefunden hast. Der hat keine Glaskugel in der er deine technische 
Brillanz erkennt.

> Lohnt es sich?

Stell dir eine Pyramide vor. Ganz oben tummeln sich wenige die viel 
verdienen. Ein paar leben sogar davon. Für die lohnt es sich. Um da oben 
zu sein braucht man neben viel Können auch Glück.

Ganz unten tummeln sich viele die strampeln um mal ein paar Krümel 
abzubekommen. Für die vielen unten lohnt es sich nicht. Dazwischen gibt 
es viele Abstufungen.

Was glaubst du, wo du dich in der Pyramide wiederfinden wirst? Haaaalt, 
nicht so schnell. Sei dir bewusst dass alle die unten strampeln Anspruch 
auf die wenigen Plätze oben erheben.

> Auf welcher
> Plattform habt ohr die Aufträge angenommen?

Aufträge annehmen? Das sind keine fest vergebenen Aufträge. Wer zuerst 
ein Problem findet gewinnt.

von Emil Epsilon (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
HeinrichDerFünfhundertste schrieb:
> vgh schrieb:
>> Es wäre mir neue dass Leute aktiv der Belohnung wegen suchen, das kann
>> sich doch nicht lohnen?!
>
> Und wie sich das lohnen kann:
> 
https://www.hackerone.com/press-release/teen-becomes-worlds-first-1-million-bug-bounty-hacker-hackerone

Billigste website-werbung für "HackerOne", siehe letzten Abschnitt:

For more on Santiago Lopez’s journey to becoming the top earning 
hacker on HackerOne, read the latest Q&A with him here.
To get involved and start hacking, HackerOne is now offering Hacker101 
— a free collection of videos, resources, and hands-on activities that 
will teach everything needed to operate as a bug bounty hunter.
To join the world’s largest hacker community who, in 2018 alone, 
earned more than $19M in bounty awards for their contributions, sign up 
for HackerOne here":

Fast den gleichen Wortlaut verwendet man für 'Online-Ca$inos' oder 
'Online-P0ker', was ein Indiz dafür ist, das "Bounting-Hunting" und 
Glücksspiel nur zwei Seiten des selben "Falschen Fuffzigers" sind.

von HeinrichDerFünfhundertste (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Emil Epsilon schrieb:
> HeinrichDerFünfhundertste schrieb:
>> vgh schrieb:
>>> Es wäre mir neue dass Leute aktiv der Belohnung wegen suchen, das kann
>>> sich doch nicht lohnen?!
>>
>> Und wie sich das lohnen kann:
>>
> 
https://www.hackerone.com/press-release/teen-becomes-worlds-first-1-million-bug-bounty-hacker-hackerone
>
> Billigste website-werbung für "HackerOne", siehe letzten Abschnitt:
>
> For more on Santiago Lopez’s journey to becoming the top earning
...

Was soll das jetzt beweisen, auf was möchtest du damit hinaus? Dass das 
alles in dem Artikel gelogen ist?
Sry aber deine Beiträge sind etwas wirr.

von vn nn (Gast)


Bewertung
1 lesenswert
nicht lesenswert
HeinrichDerFünfhundertste schrieb:
> vgh schrieb:
>> Es wäre mir neue dass Leute aktiv der Belohnung wegen suchen, das kann
>> sich doch nicht lohnen?!
>
> Und wie sich das lohnen kann:
> 
https://www.hackerone.com/press-release/teen-becomes-worlds-first-1-million-bug-bounty-hacker-hackerone

Lohnt sich finanziell trotzdem nicht, kriminelle Interessenten oder 
Geheimdienste (also eigentlich ja eh so ziemlich das gleiche) zahlen für 
die richtig guten Exploits üblicherweise mehr als die Hersteller.

von Hakim (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
vn nn schrieb:

> ... kriminelle Interessenten oder Geheimdienste (also eigentlich ja eh so
> ziemlich das gleiche) ...

In welcher kranken Blase muss man leben, um so einen Stuss zu schreiben?

von vn nn (Gast)


Bewertung
2 lesenswert
nicht lesenswert
In der Realität?
Diverse Dienste, inkl. fallen regelmäßig durch Missachtung der 
Grundrechte auf (was sie ja auch gern gesetzlich legitimieren würden, 
Stichwort Bundestrojaner und Co.). Illegale Massenüüberwachung gehört ja 
quasi zum guten Ton. Und dann noch der Verfassungsschutz mit seinen 
komischen Verstrickungen in die NSU-Morde, die bis heute nicht 
aufgeklärt wurden. Von den Morden, in die russische und amerikanische 
(um die in dieser hinsicht populärsten zu nennen) regelmäßig verstrickt 
sind, ganz zu schweigen.
Ja, denen kann man absolut vertrauen.

Aber du kannst dein flegelhaftes, inhaltsleeres Posting doch sicher auch 
mit Argumenten untermauern, oder? Nein? Na dann zieh Leine.

von Emil Epsilon (Gast)


Bewertung
-2 lesenswert
nicht lesenswert
HeinrichDerFünfhundertste schrieb:
> Emil Epsilon schrieb:
>> HeinrichDerFünfhundertste schrieb:
>>> vgh schrieb:
>>>> Es wäre mir neue dass Leute aktiv der Belohnung wegen suchen, das kann
>>>> sich doch nicht lohnen?!
>>>
>>> Und wie sich das lohnen kann:
>>>
>>
> 
https://www.hackerone.com/press-release/teen-becomes-worlds-first-1-million-bug-bounty-hacker-hackerone
>>
>> Billigste website-werbung für "HackerOne", siehe letzten Abschnitt:
>>
>> For more on Santiago Lopez’s journey to becoming the top earning
> ...
>
> Was soll das jetzt beweisen, auf was möchtest du damit hinaus? Dass das
> alles in dem Artikel gelogen ist?
> Sry aber deine Beiträge sind etwas wirr.

Naja, wenn das Zitat von HackerOne für Dich unverständlich ist, dann 
liegt es offensichtlich nicht an mir sondern an HackerOne. Vielleicht 
liegt es auch daran, das meine Erfahrung mit der Arbeit von 
Computer-Sicherheits-Consultants sich prinzipiell von der Darstellung 
diese Website unterscheidet. Für mich hört sich das alles nach 
"Gamefication" an, aber nicht nach ehrlicher (versteuerter) Arbeit eines 
IT-Freiberuflers. Da bezweifle ich doch stark, das da ein  "$1 million 
in bounty awards" echte 1 Million US-Dollar Umsatz in den Taschen des 
Website-Users sind - denn irgendwie will sich die HackerOne Website auch 
finanzieren.

Schliesslich erinnert mich das Ganze an einen Freund, der mal bei der 
Deutschland - Meisterschaft eines Trading Cards Games den ersten Preis 
-"im Wert von 10000€" - gewann, aber keine 10000€ auf die Hand bekamm 
sondern sondern ca. 1000€ mit der Verpflichtung zur Weltmeisterschaft 
nach Las Vegas zu reisen (also teilweise Reisespesenvorschuß) und einen 
Druckbogen Trading Card, der wohl Liebhaberpreise erzielen sollte, aber 
tatsächlich bei ihm im Keller als Erinnerungsstück verstaubt.

"Echtes Einkommen" ist für mich was anderes. Und da hätte ich gern einen 
Link zu den Zahlungsmodalitäten etc von diesen Bugs Bounties um mal eine 
realistische Kosten/Nutzen Rechnung ableiten zu können.

von vgh (Gast)


Bewertung
4 lesenswert
nicht lesenswert
HeinrichDerFünfhundertste schrieb:
> Und wie sich das lohnen kann:
> 
https://www.hackerone.com/press-release/teen-becomes-worlds-first-1-million-bug-bounty-hacker-hackerone

So gesehen "lohnt" sich Lottospielen auch. Es ist trotzdem keine gute 
Idee den Lebensunterhalt davon abhängig zu machen, ob man gewinnt (bzw. 
einen signifikanten Bug findet)

von vn nn (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Emil Epsilon schrieb:
> Da bezweifle ich doch stark, das da ein  "$1 million
> in bounty awards" echte 1 Million US-Dollar Umsatz in den Taschen des
> Website-Users sind - denn irgendwie will sich die HackerOne Website auch
> finanzieren.

HackerOne wird von den Kunden finanziert. Und ja, natürlich bekommst du 
als Finder einer Lücke den Betrag ausbezahlt, sonst würde wohl keiner da 
mitmachen, sondern einfach an Geheimdienste/Kriminelle verkaufen, was 
ohnehin mehr Geld einbringt.
Allerdings lohnen sich die meisten Lücken natürlich deutlich weniger, 
die meisten werden sowas eher als nette Möglichkeit, mit ihrem Hobby ein 
paar Euro dazuzuverdienen, sehen.

von Sklavenvermittler (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Mach bei google summer of code mit. Leider ist gerade Winter.

von Emil Epsilon (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
vn nn schrieb:
> Emil Epsilon schrieb:
>> Da bezweifle ich doch stark, das da ein  "$1 million
>> in bounty awards" echte 1 Million US-Dollar Umsatz in den Taschen des
>> Website-Users sind - denn irgendwie will sich die HackerOne Website auch
>> finanzieren.
>
> HackerOne wird von den Kunden finanziert. Und ja, natürlich bekommst du
> als Finder einer Lücke den Betrag ausbezahlt, sonst würde wohl keiner da
> mitmachen, sondern einfach an Geheimdienste/Kriminelle verkaufen, was
> ohnehin mehr Geld einbringt.

Welcher Betrag wird ausgezahlt? Wieviel Cash kommt konkret dabei rum?
Wieviel Cash würde man bekommen wenn man direkt mit dem Kunden abrechnet 
und nicht über einer WebSite, die Marketing, hundert Mitarbaiter und 
weiteres an mitzufinanzierten BaseCosts mitschlappt?

Es ist halt so wie beim Handyvertrag, da wird auch versprochen, das man 
einen Treue-Bonus von 200€ bekommt - in Cash bekommt man aber garnichts, 
lediglich die Benutzungsgebühren werden einem gesenkt - was ein plumber 
Händlertrick ist: man überteuert das erste Angebot um sich dann beim 
Kunden mit einem vermeintlichen Rabatt einzuschleimen.

von vn nn (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Emil Epsilon schrieb:
> Welcher Betrag wird ausgezahlt? Wieviel Cash kommt konkret dabei rum?

Natürlich der ausgelobte.
Weißt du was, google doch einfach selbst. Du musst dir nicht alles 
vorkauen lassen.

Emil Epsilon schrieb:
> Wieviel Cash würde man bekommen wenn man direkt mit dem Kunden abrechnet
> und nicht über einer WebSite, die Marketing, hundert Mitarbaiter und
> weiteres an mitzufinanzierten BaseCosts mitschlappt?

Unnötige Frage. Sie machen das nun mal über diese Plattform, Punkt. 
Viele Hersteller hätten ohne vielleicht auch gar kein 
Bug-Bounty-Programm.
Und vom fragwürdigen Nutzen dieser Programme im Allgemeinen hab ich ja 
schon geschrieben, ich muss dir deren Existenz nicht rechtfertigen.

Emil Epsilon schrieb:
> Es ist halt so wie beim Handyvertrag, da wird auch versprochen, das man
> einen Treue-Bonus von 200€ bekommt - in Cash bekommt man aber garnichts,
> lediglich die Benutzungsgebühren werden einem gesenkt - was ein plumber
> Händlertrick ist: man überteuert das erste Angebot um sich dann beim
> Kunden mit einem vermeintlichen Rabatt einzuschleimen.

Äh, welche Benutzungsgebühr? Welcher Rabatt? Welcher Bonus?

Aber danke, mit diesem Schwachsinns-Vergleich hast du dich als völlig 
ahnungslos geoutet. Die Plattform ist vielmehr vergleichbar mit einem 
Handlesplatz wie Amazon Marketplace oder eBay: der Hersteller kauft 
Sicherheitslücken und drückt dafür eine Provision an den 
Plattformbetreiber ab.
Natürlich würde die Welt auch ohne Handelsplattformen (oder auch z.B. 
Crowdworking-Plattformen) funktionieren, und trotzdem sind sie da. Das 
Geschäftsmodell "Provision kassieren und im Gegenzug Käufer und 
Verkäufer zusammenbringen" funktioniert halt.

von Dave4 (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Das Dumme ist ja, dass sobald es eine Bugbounty vom $$$$ gibt, irgendein 
"Unternehmer" mit wenig Ahnung aber viel Entrepreneurship dahergelaufen 
kommt und meint mit einem Invest von $$$ daran Geld verdienen zu müssen.

von Emil Epsilon (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
vn nn schrieb:
> Emil Epsilon schrieb:
>> Welcher Betrag wird ausgezahlt? Wieviel Cash kommt konkret dabei rum?
>
> Natürlich der ausgelobte.
> Weißt du was, google doch einfach selbst. Du musst dir nicht alles
> vorkauen lassen.

Hab ich doch, da kommst schnurstracke an eine Registrierungspflicht 
bevor man Vertragsdetails und deren kleingedruckte vorgelegt bekommt.

> Äh, welche Benutzungsgebühr? Welcher Rabatt? Welcher Bonus?

Ja eben die Gebühr für die Website, das diese das Geschäft zwischen 
Kunden (Softwarefirna) und Dienstleister (Bugfinder) vermittelt. und 
gegencheckt. und in Rechnung stellt. und Support leistet. Und Steuer 
abwickelt. Und und und. Und mit Bonus ist der "bounty awards" der 
Website gemeint. Hast Du inzwischen begriffen, welchen Unterschied es 
zwischen "award" und "cash" gibt?!?


> Aber danke, mit diesem Schwachsinns-Vergleich hast du dich als völlig
> ahnungslos geoutet. Die Plattform ist vielmehr vergleichbar mit einem
> Handlesplatz wie Amazon Marketplace oder eBay: der Hersteller kauft
> Sicherheitslücken und drückt dafür eine Provision an den
> Plattformbetreiber ab.

Nein es geht hier nicht um Warenlogistik (materiell) sondern um 
Dienstleistung (imateriell) -

Sorry, aber du bist komplett ungebildet, wenn es um 
IT-freelance-Tätigkeiten geht. Wahrscheinlich hast du noch nie ne 
Rechnung geschrieben, ne Steuernummer beantragt oder bist sonstwie 
gewinnorientiert am Markt aktiv gewesen - ein 0815 Consument eben. Halt 
Dich bitte raus, wenn sich Profis" unterhalten. Erst recht solltest Du 
geschäftlich unmündig so dass, so dass du noch unter §110 BGB 
(Taschengeld-paragraph) fällst. Dein infantiles Benehmen lässt das 
jedenfalls vermuten.

von unbunt (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Sorry Emil Epsilon, aber du bist scheinbar da irgendwo in den 80er 
hängegeblieben geistig, musst nicht andere beleidigen, nur weil du das 
System nicht verstehst.

Die BugBounty-Anbieter sind Dienstleister für den Software-Anbieter 
(Abwickeln eines BugBounty-Programms) und zugleich für die 
WhiteHat-Hacker ein (relativ) vertrauenswürdige Mittler (Ansprechpartner 
haben gewisses Kompetenzniveau und sind auch für Security zuständig 
(kein Verweis an die Endkundenhotline), wenn man sich an die Regeln hält 
gibt es geld und keine Klage und was sonst so an schlechten Erfahrungen 
gerade bei kleinen und mittleren Firmen so gemacht werden konnte).
Dazu ein zentraler Anlaufpunkt, wo es überhaup solche Programme gibt.
Also hat die Plattform definitiv einen Wert.

von unbunt (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Nachtrag: Mit deinen Fähigkeiten Informationen zu beschaffen, befürchte 
ich, dass du nicht zur Zielgruppe gehörst...

von vn nn (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Emil Epsilon schrieb:
> Ja eben die Gebühr für die Website, das diese das Geschäft zwischen
> Kunden (Softwarefirna) und Dienstleister (Bugfinder) vermittelt. und
> gegencheckt. und in Rechnung stellt. und Support leistet. Und Steuer
> abwickelt. Und und und.

Falls du es immer noch nicht verstanden hast: das bezahlt das 
Unternehmen, dass die Dinge dafür nicht mehr selbst abwickeln muss (was 
ja auch regelmäßig nach hinten losgeht, wenn Unternehmen nicht richtig 
auf disclosures reagieren und plötzlich ein PR-Gau daraus wird).

Emil Epsilon schrieb:
> Hab ich doch, da kommst schnurstracke an eine Registrierungspflicht
> bevor man Vertragsdetails und deren kleingedruckte vorgelegt bekommt.

Natürlich musst du dich registrieren, wenn du dort mitmachen willst. Bei 
Amazon oder eBay musst du dich auch registrieren, ob du es glaubst oder 
nicht.
Leider war das keine Antwort auf meine Frage.

Emil Epsilon schrieb:
> Und mit Bonus ist der "bounty awards" der
> Website gemeint. Hast Du inzwischen begriffen, welchen Unterschied es
> zwischen "award" und "cash" gibt?!?

Welcher Unterschied soll da bestehen?
Oder kannst du dich nur nicht klar ausdrücken, und meinst das?
https://docs.hackerone.com/programs/bonuses.html#difference-between-a-bounty-and-a-bonus

Emil Epsilon schrieb:
> Nein es geht hier nicht um Warenlogistik (materiell) sondern um
> Dienstleistung (imateriell) -

Ja, und stell dir vor, seit Anfang des 21. Jahrhunderts kann man doch 
tatsächlich Dienstleistungen auch auf Webseiten anbieten (oder 
bestellen), die im großen und Ganzen genau gleich funktionieren wie 
Handelsplattformen. Scheinbar ist das aber zu dir noch nicht 
vorgedrungen. Macht nix, irgendwer muss immer der letzte sein.

Emil Epsilon schrieb:
> Sorry, aber du bist komplett ungebildet, wenn es um
> IT-freelance-Tätigkeiten geht.

Süß. Du kannst mir sicher erklären, woraus du das schließt.

Emil Epsilon schrieb:
> Wahrscheinlich hast du noch nie ne
> Rechnung geschrieben, ne Steuernummer beantragt oder bist sonstwie
> gewinnorientiert am Markt aktiv gewesen - ein 0815 Consument eben.

Süß. Und nun kannst du sicher erklären, was Steuerformalitäten mit der 
funktionsweise von Online-Dienstleistungsplattformen zu tun haben.

Emil Epsilon schrieb:
> alt
> Dich bitte raus, wenn sich Profis" unterhalten. Erst recht solltest Du
> geschäftlich unmündig so dass, so dass du noch unter §110 BGB
> (Taschengeld-paragraph) fällst. Dein infantiles Benehmen lässt das
> jedenfalls vermuten.

Deine komplette Ahnungslosigkeit wird aufgedeckt, und du musst 
ausfallend werden. Bezeichnend. Wofür genau bist du nochmal "Profi", 
wenn die Existenz von Dienstleistungsplattformen im Netz an dir 
vorübergegangen ist, und du sowas mit einem Handyvertrag vergleichst?

von Emil Epsilon (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
vn nn schrieb:
> Emil Epsilon schrieb:
>> Ja eben die Gebühr für die Website, das diese das Geschäft zwischen
>> Kunden (Softwarefirna) und Dienstleister (Bugfinder) vermittelt. und
>> gegencheckt. und in Rechnung stellt. und Support leistet. Und Steuer
>> abwickelt. Und und und.
>
> Falls du es immer noch nicht verstanden hast: das bezahlt das
> Unternehmen, dass die Dinge dafür nicht mehr selbst abwickeln muss (was
> ja auch regelmäßig nach hinten losgeht, wenn Unternehmen nicht richtig
> auf disclosures reagieren und plötzlich ein PR-Gau daraus wird).

Ja die Firma zahlt das HackOne, aber wieviel zahlt die Firma dem 
HackOne-User???


> Emil Epsilon schrieb:
>> Hab ich doch, da kommst schnurstracke an eine Registrierungspflicht
>> bevor man Vertragsdetails und deren kleingedruckte vorgelegt bekommt.
>
> Natürlich musst du dich registrieren, wenn du dort mitmachen willst. Bei
> Amazon oder eBay musst du dich auch registrieren, ob du es glaubst oder
> nicht.

Bevor man mitmacht, will man aber erst mal die regeln/Preise kennen. Und 
die kann man bei Amazon, eBay auch ohne Mirgliedschaft in Erfahrung 
bringen.

> Emil Epsilon schrieb:
>> Und mit Bonus ist der "bounty awards" der
>> Website gemeint. Hast Du inzwischen begriffen, welchen Unterschied es
>> zwischen "award" und "cash" gibt?!?
>
> Welcher Unterschied soll da bestehen?
> Oder kannst du dich nur nicht klar ausdrücken, und meinst das?
> 
https://docs.hackerone.com/programs/bonuses.html#difference-between-a-bounty-and-a-bonus



Da steht genaus das worauf ich die ganze Zeit hinweise, Bounty ist 
ungleich Bargeld - Bounty ist lediglich eine "Scheinwährung" im Sinne 
der Gamification.

"Bounty amounts are used to determine how important a report is. The 
hacker will be given an adjusted amount of reputation based on the 
bounty amount."

Also der Hacker bekommt  Anerkennung, Ruhm und Ehre (engl. reputation), 
von Bargeld ist da nicht die Rede.

Und somit ist wiederholt klargestellt das der zur Beginn verlinkte 
Beitrag zu "HackOne" lediglich Werbung ist aber keinesfalls ein Beleg 
ist, das man per HackOne zum Miilionär wird.

Aber ich seh schon bei deinem Leseverständniss ist Hopfen und Malz 
verloren. Aber ich habe Hoffnung, das Du noch im Lernprozess steckst.

>Deine komplette Ahnungslosigkeit wird aufgedeckt, und du musst
>ausfallend werden. Bezeichnend. Wofür genau bist du nochmal "Profi",
>wenn die Existenz von Dienstleistungsplattformen im Netz an dir
>vorübergegangen ist,

Ist sie nicht, ich akquiriere regelmäßig Aufträge über 
Projektvermittlerwebsites wie Gulp und Co.. Leistung gegen Stundensatz - 
so funktioniert Freiberuflerei.

von vn nn (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Emil Epsilon schrieb:
> Ja die Firma zahlt das HackOne, aber wieviel zahlt die Firma dem
> HackOne-User???

Soviel es ihr halt Wert ist. Angebot und Nachfrage, Marktwirtschaft, das 
sind dir Begriffe?

Emil Epsilon schrieb:
> Bevor man mitmacht, will man aber erst mal die regeln/Preise kennen. Und
> die kann man bei Amazon, eBay auch ohne Mirgliedschaft in Erfahrung
> bringen.

Die Preise hängen, halt dich fest, vom Unternehmen und auch von der 
Brisanz der Lücke ab.
Und stell dir vor, wenn du eine Lücke direkt an den Hersteller 
reportest, weißt du auch vorher nicht, was du bekommen wirst, Skandal!
Scheinbar dürfte dir während deiner professionellen Selbstständigkeit 
entgangen sein, dass Honorare Verhandlungssache sind.
Ach ja, und nein, bei einer eBay-Auktion weiß ich auch den Preis vorher 
nicht. Skandal!

Emil Epsilon schrieb:
> Da steht genaus das worauf ich die ganze Zeit hinweise, Bounty ist
> ungleich Bargeld - Bounty ist lediglich eine "Scheinwährung" im Sinne
> der Gamification.
>
> "Bounty amounts are used to determine how important a report is. The
> hacker will be given an adjusted amount of reputation based on the
> bounty amount."
>
> Also der Hacker bekommt  Anerkennung, Ruhm und Ehre (engl. reputation),
> von Bargeld ist da nicht die Rede.

Nö. Du verstehst nur nix.
https://docs.hackerone.com/programs/bounties.html
Es handelt sich nach wir vor um keine Scheinwährung, sondern um 
US-Dollar (außer, du willst diese als solche sehen).

Emil Epsilon schrieb:
> Ist sie nicht, ich akquiriere regelmäßig Aufträge über
> Projektvermittlerwebsites wie Gulp und Co.. Leistung gegen Stundensatz -
> so funktioniert Freiberuflerei.

Es geht hier um Exploits, nicht um projektbasierende Jobs. Sag ich doch, 
du hast bis jetzt nicht gerafft, was eigentlich das Thema ist und wie 
das eigentlich funktioniert, wenn du eine Lücke an einen Hersteller 
reportest (sei  es jetzt mit irgendwelchen komischen Plattformen oder 
direkt).
Aber du kannst ja gern erklären, wie du das stundenbasierend 
verrechnest. Und wer das deiner Meinung nach noch so betreibt.
Siehs ein, du verstehst einfach nicht, wie das schon seit Jahren (lang 
vor irgendwelchen komischen Plattformen dazwischen) existiertende System 
"Sicherheitslücke gefunden, gebt mir Geld dann verrat ich euch wie sie 
aussieht" funktioniert.

Emil Epsilon schrieb:
> Aber ich seh schon bei deinem Leseverständniss ist Hopfen und Malz
> verloren. Aber ich habe Hoffnung, das Du noch im Lernprozess steckst.

Süß. Natürlich kannst du deine stumpfsinnige Beleidigung nach wie vor 
nicht begründen, oder?

von vn nn (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Emil Epsilon schrieb:
> Leistung gegen Stundensatz -
> so funktioniert Freiberuflerei.

Vor allem scheint dir der Begriff eines Werksvertrages - Fixbetrag gegen 
Erbringung von Leistung - ebenso wenig bekannt zu sein.

von Udo K. (udok)


Bewertung
0 lesenswert
nicht lesenswert
@ vn nn (Gast)

Du redest ja sehr gescheit daher.

Aber hast du konkrete Erfahrung mit der Bug Bounty Firma,
oder bist du nur sehr von dir überzeugt?

von vn nn (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hast du auch eine konkrete Frage, oder willst du nur stumpfsinnig 
stänkern?

Ich wüsste nicht, warum ich sonderlich stark von mir überzeugt sein 
müsste, es reicht schon zu wissen was in der Branche üblich ist, und 
lesen zu können.
Und nein, mit HackerOne hab ich keine Erfahrung, und hab ja die 
Sinnhaftigkeit derartiger Plattformen schon mehrfach in Frage gestellt.

von Emil Epsilon (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
vn nn schrieb:
> Emil Epsilon schrieb:
>> Leistung gegen Stundensatz -
>> so funktioniert Freiberuflerei.
>
> Vor allem scheint dir der Begriff eines Werksvertrages - Fixbetrag gegen
> Erbringung von Leistung - ebenso wenig bekannt zu sein.

Doch mir sind die Unterschiede zwischen Dienst- und Werkvertrag sehr 
wohl bekannt, du dagegen vermischst die beiden Definitionen 
unzulässigerweise. Ebenso der Unterschiede zwischen Gewerbe und Freier 
Beruf.

von Emil Epsilon (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
vn nn schrieb:
> Emil Epsilon schrieb:
>> Ja die Firma zahlt das HackOne, aber wieviel zahlt die Firma dem
>> HackOne-User???
>
> Soviel es ihr halt Wert ist. Angebot und Nachfrage, Marktwirtschaft, das
> sind dir Begriffe?

Sorry, es ist hier nicht nach Wirtschaftsschuleinmaleins-blabla gefragt 
sondern nach konkreten Zahlen. Wieviel Euro bekommt ein HackOne User 
ausgezahlt? Wievielo hat er davon an Steuer etc. abzuführen resü. zu 
deklarieren?. (Oh, da fällt mir ein, heut ist wieder der Zehnte eines 
Monats, gleich mal "Elster" starten...).



> Emil Epsilon schrieb:
>> Bevor man mitmacht, will man aber erst mal die regeln/Preise kennen. Und
>> die kann man bei Amazon, eBay auch ohne Mirgliedschaft in Erfahrung
>> bringen.
>
> Die Preise hängen, halt dich fest, vom Unternehmen und auch von der
> Brisanz der Lücke ab.
> Und stell dir vor, wenn du eine Lücke direkt an den Hersteller
> reportest, weißt du auch vorher nicht, was du bekommen wirst, Skandal!
> Scheinbar dürfte dir während deiner professionellen Selbstständigkeit
> entgangen sein, dass Honorare Verhandlungssache sind.

Stundensatz, schrieb ich bereits.

> Ach ja, und nein, bei einer eBay-Auktion weiß ich auch den Preis vorher
> nicht. Skandal!
Nix Skandal, man kann sich ja für SofortKauf entscheiden. Oder 
ebay-Kleinanzeigen, da hat es eine Obergrenze, und bei Auktionen, eine 
Untergrenze. Und der Preis richtet sich nach meinem Gebot, Aber eben 
nicht der Zuschlag ... hm welches Höchstalter für den Gegenüber kann man 
ansetzen, wenn man dem ebay erklären muß? 10 Jahre? Allgeimen reife?, 
NRW-Abitur? ;-)

> Emil Epsilon schrieb:
>> Da steht genaus das worauf ich die ganze Zeit hinweise, Bounty ist
>> ungleich Bargeld - Bounty ist lediglich eine "Scheinwährung" im Sinne
>> der Gamification.
>>
>> "Bounty amounts are used to determine how important a report is. The
>> hacker will be given an adjusted amount of reputation based on the
>> bounty amount."
>>
>> Also der Hacker bekommt  Anerkennung, Ruhm und Ehre (engl. reputation),
>> von Bargeld ist da nicht die Rede.
>
> Nö. Du verstehst nur nix.
> https://docs.hackerone.com/programs/bounties.html
> Es handelt sich nach wir vor um keine Scheinwährung, sondern um
> US-Dollar (außer, du willst diese als solche sehen).

Das steht nix von 'US$' nur '$'. Und da steht auch nicht wie dieser 
Bounty an den User kommt. Oder welcher Anteil. Und es ist auch kein 
objektiver Bericht  von einer unabhängigen Institutuion, sondern reine 
Selbstdarstellung.Und es wäre nicht das erste Mal das Transfer-Gebühren 
einen gehörigen teil der übertragenen Summe "auffressen". Schon mal 
geschaut, was es kostet, bspw. Geld in die Schweiz zu transferieren.




> Siehs ein, du verstehst einfach nicht, wie das schon seit Jahren (lang
> vor irgendwelchen komischen Plattformen dazwischen) existiertende System
> "Sicherheitslücke gefunden, gebt mir Geld dann verrat ich euch wie sie
> aussieht" funktioniert.

Zahlen bitte. Wieviel Bargeld geht an den User für die Meldung eines 
Exploits. Und alles was nicht durch eine reputable Quelle belegt ist, 
ist wertlos.

> Emil Epsilon schrieb:
>> Aber ich seh schon bei deinem Leseverständniss ist Hopfen und Malz
>> verloren. Aber ich habe Hoffnung, das Du noch im Lernprozess steckst.
>
> Süß. Natürlich kannst du deine stumpfsinnige Beleidigung nach wie vor
> nicht begründen, oder?

Das ist keine Beleidigung, das ist eine Tatsache das du keine konkrete 
Angaben zur Bezahlung machen kannst, sondern hier ledoglich deine 
blauäugigen Wunschauslegung zum besten gibst. Und Grundbegriffe des 
Wirtschaftens falsch wiedergibst.

von Emil Epsilon (Gast)


Bewertung
0 lesenswert
nicht lesenswert
vn nn schrieb:

> Ich wüsste nicht, warum ich sonderlich stark von mir überzeugt sein
> müsste, es reicht schon zu wissen was in der Branche üblich ist, und
> lesen zu können.

Naja, bist jetzt haste nur bewiesen, das du die Werbung und 
Selbstdarstellung von HackOne gelesen hast. Das bedeutet keine Kenntniss 
vom 'Branchenüblichen'.

> Und nein, mit HackerOne hab ich keine Erfahrung,

Womit haste denn Erfahrung? Außer Ebay-Auktionen für Sachwerte ? Und 
Taschengeld von Mami?

von vn nn (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Emil Epsilon schrieb:
> du dagegen vermischst die beiden Definitionen
> unzulässigerweise.

Bitte, wo denn?

Emil Epsilon schrieb:
> Sorry, es ist hier nicht nach Wirtschaftsschuleinmaleins-blabla gefragt
> sondern nach konkreten Zahlen. Wieviel Euro bekommt ein HackOne User
> ausgezahlt?

Noch einmal, in der Hoffnung dass du es jetzt endlich verstehst: das 
legt das jeweilige Softwareunternehmen fest, nachdem du den Bug reportet 
hast. So, wie es schon seit zwanzig Jahren (lang, bevor es solche 
Plattformen gab) funktioniert. Für kritische Lücken gibt es mehr, als 
für unkritische.

Emil Epsilon schrieb:
> Wievielo hat er davon an Steuer etc. abzuführen resü. zu
> deklarieren?

Das hängt, halt dich fest, von der jeweiligen Steuergesetzgebung im Land 
des Users ab. Wer hätte das gedacht.

Emil Epsilon schrieb:
> Stundensatz, schrieb ich bereits.

Nochmal: erklär mir, wie das deiner Meinung nach bei einem Bugreport 
funktionieren soll, welchen Stundensatz legst du fest, und welche 
angefallenen Stunden? Und warum ist außer dir noch niemand auf diese 
geniale Idee gekommen, warum wird das schon seit Jahrzehnten so 
praktiziert?

Sieh endlich ein, du hast keine Ahnung von der Branche.

Emil Epsilon schrieb:
>> Ach ja, und nein, bei einer eBay-Auktion weiß ich auch den Preis vorher
>> nicht. Skandal!
> Nix Skandal, man kann sich ja für SofortKauf entscheiden. Oder
> ebay-Kleinanzeigen, da hat es eine Obergrenze, und bei Auktionen, eine
> Untergrenze. Und der Preis richtet sich nach meinem Gebot, Aber eben
> nicht der Zuschlag ... hm welches Höchstalter für den Gegenüber kann man
> ansetzen, wenn man dem ebay erklären muß? 10 Jahre? Allgeimen reife?,
> NRW-Abitur? ;-)

Was genau willst du mit deinem Geschwurbel mitteilen? Natürlich waren 
Auktionen gemeint.
Was faseltst du von deiner nicht vorhandenen Reife?

Emil Epsilon schrieb:
> Das steht nix von 'US$' nur '$'.

Scheinbar kannst du wirklich simpelste Zusammenhänge nicht erkennen. 
Traurig.
Natürlich könnte man nie auf die Idee kommen, dass eine in den USA 
beheimatete Firma mit $ "US-Dollar" meint. Ist ja auch nur das 
offizielle Symbol dafür.
Vielleicht sollte man zukünftig statt 99€ auch besser anschreiben 
99€uro, damit du es sicher verstehst.

Emil Epsilon schrieb:
> Und da steht auch nicht wie dieser
> Bounty an den User kommt.

Magie. Bargeld, per Einhorn geschickt.

Emil Epsilon schrieb:
> Und es ist auch kein
> objektiver Bericht  von einer unabhängigen Institutuion, sondern reine
> Selbstdarstellung.

Ach nä. Ganz im Gegensatz zu deinem geballten Wissen.

Emil Epsilon schrieb:
> Und es wäre nicht das erste Mal das Transfer-Gebühren
> einen gehörigen teil der übertragenen Summe "auffressen".

Die Gebühren sind vom Unternehmen zusätzlich zu bezahlen, nicht vom 
User. Das steht auch dort. Aber du kannst halt nicht lesen.

Emil Epsilon schrieb:
> Zahlen bitte. Wieviel Bargeld geht an den User für die Meldung eines
> Exploits. Und alles was nicht durch eine reputable Quelle belegt ist,
> ist wertlos.

Noch einmal, in der Hoffnung dass du endlich kapierst: das jeweilige 
betroffene Unternehmen legt fest, wieviel ihnen das Exploit wert ist. 
So, wie es seit jeher schon war. Und wie es auch ist, wenn du das 
Exploit ohne diese Plattform direkt an das Unternehmen reportest.

Emil Epsilon schrieb:
> Das ist keine Beleidigung, das ist eine Tatsache das du keine konkrete
> Angaben zur Bezahlung machen kannst

Keiner kann diese Angabe machen, weil sie individuell Erfolgt. So, wie 
es immer schon war. Aber das weißt du halt nicht. Du hast halt keine 
Ahnung von der Sicherheitsbranche.

Emil Epsilon schrieb:
> Und Grundbegriffe des
> Wirtschaftens falsch wiedergibst.

Oh, welche denn?

Emil Epsilon schrieb:
> sondern hier ledoglich deine
> blauäugigen Wunschauslegung zum besten gibst.

Oh, welche denn?

Emil Epsilon schrieb:
> Naja, bist jetzt haste nur bewiesen, das du die Werbung und
> Selbstdarstellung von HackOne gelesen hast.

Aha. Äh, nein. Denn der Mechanismus "ich hab ein Exploit, wieviel ist es 
dir Wert" hat schon lange vor dieser Plattform so funktioniert. Nur 
weißt du halt nicht davon.
Und nein, der Untreschied ist lediglich, dass ich wenigstens irgendwas 
gelesen hab, im Gegensatz zu dir.
Von dir kam bis jetzt nichts außer Mutmaßungen, Unterstellungen und 
Beleidigungen. Natürlich konntest du nichts davon mit Argumenten oder 
Links untermauern. Nicht mal wenn man dir einen  Link vor die Füße 
wirft, schaffst du es ihn zu lesen.

Emil Epsilon schrieb:
> Womit haste denn Erfahrung? Außer Ebay-Auktionen für Sachwerte ? Und
> Taschengeld von Mami?

Oh, toll, schon wieder eine Beleidigung weil dir sonst nix einfällt.
HackerOne hat mit Stand 2018 übrigens 31 Mrd. Dollar (ja, US) 
ausbezahlt.
Und weil sie so wahnsinnig unseriös sind, macht ja auch Verizon, AirBnB 
oder das Pentagon von ihnen Gebrauch.

von Johannes F. (doppelgrau)


Bewertung
0 lesenswert
nicht lesenswert
Emil Epsilon schrieb:

>> Die Preise hängen, halt dich fest, vom Unternehmen und auch von der
>> Brisanz der Lücke ab.
>> Und stell dir vor, wenn du eine Lücke direkt an den Hersteller
>> reportest, weißt du auch vorher nicht, was du bekommen wirst, Skandal!
>> Scheinbar dürfte dir während deiner professionellen Selbstständigkeit
>> entgangen sein, dass Honorare Verhandlungssache sind.
>
> Stundensatz, schrieb ich bereits.

Von welchen Stunden?
Das ist kein Bezahlter Audit, sondern "Belohnung" für das melden von 
mehr oder weniger zufällig gefundenen Fehlern. (Motivation steigt auch 
kleines zu melden => Qualitätsverbesserung und bei großen Sachen etwas 
Ausgleich im Vergleich zu den was man im Schwarzmarkt u.U. bekommt + 
Schutz der Firmen vor Reputationsverlust).

Um das in Worten zu formulieren du du vielleicht verstehst: Das kannst 
du als Werkverträge sehen, Leistung gegen Geld. Ein Teil der Leistung 
ist es Erster zu sein, das noch nicht veröffentlicht zu haben. Findest 
du nichts (ausreichend) schwerwiegendes (oder nicht als erster), gibt es 
kein/wenig Geld.

von Emil Epsilon (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
vn nn schrieb:

> Noch einmal, in der Hoffnung dass du es jetzt endlich verstehst: das
> legt das jeweilige Softwareunternehmen fest, nachdem du den Bug reportet
> hast. So, wie es schon seit zwanzig Jahren (lang, bevor es solche
> Plattformen gab) funktioniert. Für kritische Lücken gibt es mehr, als
> für unkritische.

Sorry aber es wird nach "Konkrete Zahl" gefragt, nicht nach repetierten 
Gebrabbel.


> Das hängt, halt dich fest, von der jeweiligen Steuergesetzgebung im Land
> des Users ab. Wer hätte das gedacht.

Dann bitte mach das Mal für .de

>
> Emil Epsilon schrieb:
>> Stundensatz, schrieb ich bereits.
>
> Nochmal: erklär mir, wie das deiner Meinung nach bei einem Bugreport
> funktionieren soll, welchen Stundensatz legst du fest, und welche
> angefallenen Stunden?

Ganz einfach, Stundensatz 100€ + 19% Umsatzsteuer das multipliziert mit 
zeitlichen Aufwand für die Suche, Verifizierung und Dokumentation.

> Und warum ist außer dir noch niemand auf diese
> geniale Idee gekommen, warum wird das schon seit Jahrzehnten so
> praktiziert?

Doch das wird sein Jahren so praktiziert, oben ist ein Beispiel aus dem 
Jahr 2011 verlinkt.

> Sieh endlich ein, du hast keine Ahnung von der Branche.

> Was faseltst du von deiner nicht vorhandenen Reife?

> Scheinbar kannst du wirklich simpelste Zusammenhänge nicht erkennen.

> Traurig.

> Ach nä. Ganz im Gegensatz zu deinem geballten Wissen.

> Aber du kannst halt nicht lesen.

> Noch einmal, in der Hoffnung dass du endlich kapierst:

> Aber das weißt du halt nicht.

> Du hast halt keine Ahnung von der Sicherheitsbranche.


> Aha. Äh, nein. Denn der Mechanismus "ich hab ein Exploit, wieviel ist es
> dir Wert" hat schon lange vor dieser Plattform so funktioniert. Nur
> weißt du halt nicht davon.
> Und nein, der Untreschied ist lediglich, dass ich wenigstens irgendwas
> gelesen hab, im Gegensatz zu dir.
Naja du hast Werbung konsumiert und unreflektiert hier zitiert. Kann man 
als 'Lesen' bezeichnen, als lesendes Verstehen eher nicht.


> Von dir kam bis jetzt nichts außer Mutmaßungen, Unterstellungen und
> Beleidigungen. Natürlich konntest du nichts davon mit Argumenten oder
> Links untermauern. Nicht mal wenn man dir einen  Link vor die Füße
> wirft, schaffst du es ihn zu lesen.

Doch hab ich gelesen, had ihn sogar für Dich übersetzt, und um ganz 
sicher zu sein im Wörterbuch nachgeschlagen.

> Emil Epsilon schrieb:
>> Womit haste denn Erfahrung? Außer Ebay-Auktionen für Sachwerte ? Und
>> Taschengeld von Mami?
>
> Oh, toll, schon wieder eine Beleidigung weil dir sonst nix einfällt.

Nein, das ist ne ernstgemeinte Frage, wie sie jedem gestellt wird, Also 
nochmals: "Womit haste den Erfahrung?!?

> HackerOne hat mit Stand 2018 übrigens 31 Mrd. Dollar (ja, US)
> ausbezahlt.

Nope, nix Milliarde:
https://www.hackerone.com/sites/default/files/2019-04/hpsr-2018-de.pdf 
S.24

Hätte dir bei ner simplen Plausibilitätsprüfung auffallen sollen.
Dividiert durch Anzahl der Jahre des jeweiligen Zeitraumes (6) und 
Anzahl der on site registrierten Hacker (200 000) kommt man auf 25,* $ 
pro 'Hacker' und Jahr.  Also nicht mal Tagessatz bei Mindestlohn. Noch 
dazu Selbstdarstellung und nicht objektiv verifiziert.

von Johannes F. (doppelgrau)


Bewertung
0 lesenswert
nicht lesenswert
Emil Epsilon schrieb:
> vn nn schrieb:
>
>> Noch einmal, in der Hoffnung dass du es jetzt endlich verstehst: das
>> legt das jeweilige Softwareunternehmen fest, nachdem du den Bug reportet
>> hast. So, wie es schon seit zwanzig Jahren (lang, bevor es solche
>> Plattformen gab) funktioniert. Für kritische Lücken gibt es mehr, als
>> für unkritische.
>
> Sorry aber es wird nach "Konkrete Zahl" gefragt, nicht nach repetierten
> Gebrabbel.

Gebe konkrete Parameter?
Remote root exploit für etwas verbreitetes wie iOS bringt mehr als XSS 
bei Tante Ernas Webshop (bei ner Bank wiederum etwas mehr).
Schau dir doch mal paar Programme da an:
https://hackerone.com/directory/programs
Da gibt's ne Orientierung, zum Beispiel bei Ubiquiti von $30 bis $25.000

>> Das hängt, halt dich fest, von der jeweiligen Steuergesetzgebung im Land
>> des Users ab. Wer hätte das gedacht.
>
> Dann bitte mach das Mal für .de

Was ist dein persönlicher Steuersatz?

>> Emil Epsilon schrieb:
>>> Stundensatz, schrieb ich bereits.
>>
>> Nochmal: erklär mir, wie das deiner Meinung nach bei einem Bugreport
>> funktionieren soll, welchen Stundensatz legst du fest, und welche
>> angefallenen Stunden?
>
> Ganz einfach, Stundensatz 100€ + 19% Umsatzsteuer das multipliziert mit
> zeitlichen Aufwand für die Suche, Verifizierung und Dokumentation.

Also wenn du so lahm bist, das du bei Ernas Webshop drei Monate suchst, 
bis du eine einfache XSS gefunden hast, soll die einen mittleren 
fünfstelligen Preis haben?

von Emil Epsilon (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Johannes F. schrieb:

> Gebe konkrete Parameter?
> Remote root exploit für etwas verbreitetes wie iOS bringt mehr als XSS
> bei Tante Ernas Webshop (bei ner Bank wiederum etwas mehr).
> Schau dir doch mal paar Programme da an:
> https://hackerone.com/directory/programs
> Da gibt's ne Orientierung, zum Beispiel bei Ubiquiti von $30 bis $25.000
 Na bitte, gefühlte 3142 Post später schafft man es endlich wenigstens 
eine Spanne zu extrahieren.
Nächster Schritt, bestimme die maximal erzielbare Gewinnsumme und den 
Aufwand pro "Warenstück". Damit sind wir aber bei diesen 
Bounty-Glückspiel noch nicht weiter mit der Gewinnprognose, hier kommt 
noch ne Wahrscheinlichkeit dazu, das wir was finden (oder finden 
könnten) und das möglichst früh.
So wie es für einen Golfschürfer nicht genügt, den Preis für ne Unze zu 
kennen, der muss auch darauf spekulieren, das er in dem Drecks-Claim den 
er da durchfiltert überhaut was und das auch noch vor den anderen 
Möchtegerngoldschürfern findet.
Nimm mal lieber einen ehrlich kalkulierbaren Job, davon gibt ea auch für 
Gelegenheitsjobber genug.

>>> Das hängt, halt dich fest, von der jeweiligen Steuergesetzgebung im Land
>>> des Users ab. Wer hätte das gedacht.
>>
>> Dann bitte mach das Mal für .de
>
> Was ist dein persönlicher Steuersatz?

42%, so was weiss man als Freiberufler im Schlaf. Oder meinst du die 
Umsatzsteuer? - 19% !

> Also wenn du so lahm bist, das du bei Ernas Webshop drei Monate suchst,
> bis du eine einfache XSS gefunden hast, soll die einen mittleren
> fünfstelligen Preis haben?

Ja, aber der Preis allein macht keine Ware und damit auch kein Geschäft. 
Und kein Pen-test dauert 3 Monate, selbst die Kiddies haben dafür 
Sctipte.
Bei Tante Erna "punktet" man eher mit einen Rundum-Wartungs-Vertrag auf 
Fixpreis-basis.

von ModernEngineer (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Lol...

Lasst euch doch nicht von diesem BugBounty Blödsinn veräppeln!

Man wird ja auch nur bezahlt, wenn man denn überhaupt einen Bug gefunden 
hat und dieser als sicherheitskritisch eingestuft wird.

Bis dahin hat man etliche Stunden für die Fehlersuche verbracht und 
bekommt mit großer Wahrscheinlichkeit dafür auch kein Geld. Nein danke, 
wenn ich schon meine private Zeit dafür aufwende, dann will ich auch 
dafür bezahlt werden!

Das Konzept dieser BugBounties ist doch vergleichbar mit der 
Sklavenarbeit!

von Johannes F. (doppelgrau)


Bewertung
0 lesenswert
nicht lesenswert
Emil Epsilon schrieb:
> Johannes F. schrieb:
>
>> Gebe konkrete Parameter?
>> Remote root exploit für etwas verbreitetes wie iOS bringt mehr als XSS
>> bei Tante Ernas Webshop (bei ner Bank wiederum etwas mehr).
>> Schau dir doch mal paar Programme da an:
>> https://hackerone.com/directory/programs
>> Da gibt's ne Orientierung, zum Beispiel bei Ubiquiti von $30 bis $25.000
>  Na bitte, gefühlte 3142 Post später schafft man es endlich wenigstens
> eine Spanne zu extrahieren.

Weil du zu faul/blöd/was auch immer bist das zu tun was ITler angeblich 
gut können: Informationen Recherchieren. Das findet man mit genau drei 
Mausklicks von der Startseite (Für Hacker -> Programme -> auf eines 
Klicken.
Kurzer Hinweis: Die Spanne gilt für das bestimmte Programm, bei anderen 
ist das Maximum/Minimum anders.

> So wie es für einen Golfschürfer nicht genügt, den Preis für ne Unze zu
> kennen, der muss auch darauf spekulieren, das er in dem Drecks-Claim den
> er da durchfiltert überhaut was und das auch noch vor den anderen
> Möchtegerngoldschürfern findet.

So ist es, aber wenn mn Goldschürfer wird, gehört das halt zum 
unternehmerischen Risiko.

>
>>>> Das hängt, halt dich fest, von der jeweiligen Steuergesetzgebung im Land
>>>> des Users ab. Wer hätte das gedacht.
>>>
>>> Dann bitte mach das Mal für .de
>>
>> Was ist dein persönlicher Steuersatz?
>
> 42%, so was weiss man als Freiberufler im Schlaf. Oder meinst du die
> Umsatzsteuer? - 19% !

Der Vollprofi kennt also nicht den Unterschied zwischen Grenzsteuersatz 
und dem persönlichen Durchschnitssteuersatz?
Aber gut, auch damit lässt sich rechnen, auch wenn das für einen Profi 
wie dich peinlich ist, das du das nicht im Schlaf hinbekommst:
Bei $1000 Bounty ausgezahlt in America wären das etwa 900EUR nicht 
steuerbarer Umsatz. Also kein Umsatzsteuer fällig. Annehmend das du auch 
Null Ausgaben hast damit dann etwa 900EUR zu versteuerndes Einkommen.
Davon solltest du bei 42% Steuersatz also 378 für die Steuer zurücklegen 
und bevor es dir die Liquiditätsplanung versaut auch noch 378 für die 
höheren Vorauszahlungen im folgenden Jahr (die bekommst du aber zurück, 
wenn der ungewöhnliche Gewinnsprung sich nicht wiederholt).

>> Also wenn du so lahm bist, das du bei Ernas Webshop drei Monate suchst,
>> bis du eine einfache XSS gefunden hast, soll die einen mittleren
>> fünfstelligen Preis haben?
>
> Ja, aber der Preis allein macht keine Ware und damit auch kein Geschäft.

Siehst du, und der Preis für ne Sicherheitslücke macht eben der Markt. 
Und Käufer sind eben Teilweise die Firmen (vertreten durch Hackerone und 
vergleichbare), Teilweise Niemand (gibt genügend Fälle wo auf "ich habe 
hier $Bug, wenn du den haben willst und nicht wer anderes zahle $Geld" 
eher mit einer Strafanzeige und Unterlassungserklärungen als mit Geld 
reagiert wurde) und halt der graue/schwarze Markt an Kriminellen und so.
Und wenn du der Meinung bist, das deine Produktionskosten zu hoch sind 
im Vergleich zu den erzielbaren Gewinn, sieht das vielleicht jemand der 
in Indien oder Guam lebt anders (oder auch in .de und einfach schneller 
ist/bessere Tools hat).

von Emil Epsilon (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Johannes F. schrieb:

> Weil du zu faul/blöd/was auch immer bist das zu tun was ITler angeblich
> gut können: Informationen Recherchieren. Das findet man mit genau drei
> Mausklicks von der Startseite (Für Hacker -> Programme -> auf eines
> Klicken.
> Kurzer Hinweis: Die Spanne gilt für das bestimmte Programm, bei anderen
> ist das Maximum/Minimum anders.

Schau ich hab recherchiert, deshalb hab ich auch für mich Die 
Einschätzung gewonnen, das dies Glücksspiel ist. Und wie bereits gesagt, 
die Feststellung der beworbenen AuszahlungsSpanne ist nur der erste 
Schritt den tatsächlichen Nutzen abzuschätzen.


> So ist es, aber wenn mn Goldschürfer wird, gehört das halt zum
> unternehmerischen Risiko.

Nein, Glückspiel ist kein Unternehmen sondern eine Dummheit, bestenfalls 
besitzt es einen persönlichen Unterhaltungswert. Unternehmerische 
Handeln dagegen ist die Abwägung von Aufwand nund Nutzen.

>>> Was ist dein persönlicher Steuersatz?
>>
>> 42%, so was weiss man als Freiberufler im Schlaf. Oder meinst du die
>> Umsatzsteuer? - 19% !
>
> Der Vollprofi kennt also nicht den Unterschied zwischen Grenzsteuersatz
> und dem persönlichen Durchschnitssteuersatz?

Der Grenzsteuersatz liegt bei 45% nicht 42%, mein persönlicher 
Steuersatz nach dem gefragt wurde,  liegt eben bei 42%.


> Aber gut, auch damit lässt sich rechnen, auch wenn das für einen Profi
> wie dich peinlich ist, das du das nicht im Schlaf hinbekommst:
> Bei $1000 Bounty ausgezahlt in America wären das etwa 900EUR nicht
> steuerbarer Umsatz. Also kein Umsatzsteuer fällig.
Nope, der Bounty ist nicht pauschal von der Steuer befreit. Steht auch 
so in den bisher verlinkten Dokumenten, vor Auszahlung wird eine 
Steuerdeklaration (tax form) fällig.

> Annehmend das du auch
> Null Ausgaben hast damit dann etwa 900EUR zu versteuerndes Einkommen.

Nur ein Depp stellt keine Ausgaben/Betriebskosten in Rechnung, 
respektive
setzt diese in der Ausgleichsrechnung mit 0€ an.

> Davon solltest du bei 42% Steuersatz also 378 für die Steuer zurücklegen
> und bevor es dir die Liquiditätsplanung versaut auch noch 378 für die
> höheren Vorauszahlungen im folgenden Jahr (die bekommst du aber zurück,
> wenn der ungewöhnliche Gewinnsprung sich nicht wiederholt).

Nein, die 42% beziehen sich auf ein zu versteuerndes Einkommen von 
größer 55k und kleiner 260000€, halt der bereich in dem ich aktiv bin. 
Die Peanuts von 900€ fallen womöglich unter die Steuerfrei-pauschale, 
was nicht heisst, das sie Bafög oder Sozial-Almosen mindernd einbezogen 
werden. Oder höhere Sozialausgaben fällig werden. Das sind dann 
weiterere Punkte wo diese Bounties eher das Einkommenspotential mindern 
statt steigern.


> wenn du den haben willst und nicht wer anderes zahle $Geld"
> eher mit einer Strafanzeige und Unterlassungserklärungen als mit Geld
> reagiert wurde) und halt der graue/schwarze Markt an Kriminellen und so.

Genau darauf habe ich mit meinem zweiten Post hingewiesen, das statt 
Belohnung der Anwalt der gegenseite droht. Und auf ein nachprüfbares 
Beispiel verwiesen. Also komm mir nicht mit "zu faul zum recherchieren".

> Und wenn du der Meinung bist, das deine Produktionskosten zu hoch sind
> im Vergleich zu den erzielbaren Gewinn, sieht das vielleicht jemand der
> in Indien oder Guam lebt anders (oder auch in .de und einfach schneller
> ist/bessere Tools hat).

Genau darauf basiert Glücksspiel wie Poker - massive Selbstüberschätzung 
der Script-Kiddies und dumpfes Hoffen das das Wahrscheinlichkeitsgesetz 
nach Nasenfaktor entscheidet.

Ich will ja nicht unhöflich erscheinen, aber ich habe zur Zeit 
Geldwerteres zu tun, als Falschbehauptungen in diesem Laien-Forum zu 
berichtigen. Damit bin ich raus.

von Johannes F. (doppelgrau)


Bewertung
0 lesenswert
nicht lesenswert
Emil Epsilon schrieb:
> Johannes F. schrieb:
>
>> Weil du zu faul/blöd/was auch immer bist das zu tun was ITler angeblich
>> gut können: Informationen Recherchieren. Das findet man mit genau drei
>> Mausklicks von der Startseite (Für Hacker -> Programme -> auf eines
>> Klicken.
>> Kurzer Hinweis: Die Spanne gilt für das bestimmte Programm, bei anderen
>> ist das Maximum/Minimum anders.
>
> Schau ich hab recherchiert, deshalb hab ich auch für mich Die
> Einschätzung gewonnen, das dies Glücksspiel ist. Und wie bereits gesagt,
> die Feststellung der beworbenen AuszahlungsSpanne ist nur der erste
> Schritt den tatsächlichen Nutzen abzuschätzen.

Das klang aber bei dir subtil anders.

> Ich will ja nicht unhöflich erscheinen, aber ich habe zur Zeit
> Geldwerteres zu tun, als Falschbehauptungen in diesem Laien-Forum zu
> berichtigen. Damit bin ich raus.

Schon blöd, wenn man nicht bejubelt wird und Widerspruch bekommt :D

von Sklavenvermittler (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Habe mal ein bischen recheriert:

Kurz: Das ist PR für die Firmen, im Sinne von "Hey schaut her wie sicher 
unser Produkt ist, wenn wir es uns leisten können x Mio pro 
Sicherheitslücke zu zahlen muss ja sehr sicher sein"

Was dann als Sicherheitslücke durchgeht bestimmt alleine der Auslober 
und da werden allen plumpen Rosstäuschertricks aufgefahren wie bei "Sie 
haben gewonnen"-Anrufen bei Glücksspielen in den man nie mitgemacht hat.

Das ist übelster PR-Schund.

Das geht z.B. so dass bei einem eingereichten Bug dreist gesagt wir dass 
der Bug schon bekannt sei aber keine Liste mit offenen Bugs vorhanden 
ist oder auf dieser dieser Bug nicht auftaucht und anderer Schwachsinn.

Dort geht der Firma auch nicht ob der Bug dann gefixt wird, selbst 
normal gemeldete Bugs ( also die die nicht in diesen 
Bug-Bounty-Wettbewerben gemeldet werden) bleiben jahrelang offen, weil 
keiner Zeit hat die zu fixen, eine lib in einer späteren Version sowieso 
rausfliegt die mit dem Bug zu tun hat die Architektur wo dieser Bug 
auftaucht umdesigned wird oder einfach nach Ablauf einer gewissen Zeit 
alte Bugs einfach aus der DB ausgetragen werden,...

von Stefan H. (Firma: dm2sh) (stefan_helmert)


Bewertung
0 lesenswert
nicht lesenswert
Sklavenvermittler schrieb:
> normal gemeldete Bugs ( also die die nicht in diesen
> Bug-Bounty-Wettbewerben gemeldet werden) bleiben jahrelang offen

Das ist mir bei Ubuntu auch aufgefallen. Ich melde jetzt auch keine Bugs 
mehr. Der Kram interessiert eh keine Sau. Ein Glück ist dieser 
Unity-Oberflächen-Mist und dieses total verbuggte Ubuntu-Touch endlich 
tot.

von Sklavenvermittler (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Stefan H. schrieb:
> Das ist mir bei Ubuntu auch aufgefallen. Ich melde jetzt auch keine Bugs
> mehr. Der Kram interessiert eh keine Sau. Ein Glück ist dieser
> Unity-Oberflächen-Mist und dieses total verbuggte Ubuntu-Touch endlich
> tot.

Schaut euch mal das an:
https://media.ccc.de/v/36c3-10608-das_nutzlich-unbedenklich_spektrum

Da erzählt Fefe wie es ihm bei Bugmeldungen von Firefox ergangen ist.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.