Hallo, es gibt Plattformen, auf welchen Software-Hersteller ein Honorar für das Finden von Fehlern ausschreiben. Der Vorteil dieser Tätigkeit ist, dass es hier um technische Fähigkeiten geht. Es ist egal wie lange oder ob man studiert hat. Es ist auch egal, wie gut man sich verkaufen kann. Wer von euch hat soetwas einmal gemacht? Lohnt es sich? Auf welcher Plattform habt ohr die Aufträge angenommen?
Soweit ich weiß nimmt man nicht einfach teil und bekommt dafür Geld. Sondern man nimmt daran teil, indem man eine Sicherheitslücke gefunden hat und diese meldet. Und bekommt dann Geld. Vielleicht. Und nur darum ist es egal, ob du studiert hast oder nicht. Bezahlt wird quasi nur nach Leistung. Wer nichts kann, hat auch nichts zum Abliefern und ist damit von vornherein ausgeschlossen. Jedenfalls bei dem, was ich so kenne.
Stefan H. schrieb: > Hallo, > > es gibt Plattformen, auf welchen Software-Hersteller ein Honorar für das > Finden von Fehlern ausschreiben. > > Der Vorteil dieser Tätigkeit ist, dass es hier um technische Fähigkeiten > geht. Es ist egal wie lange oder ob man studiert hat. Nein, es ist nicht egal, das man kein Grundlagenwissen hat, denn so manches was ein Laie an einem Spezialprogramm für einen Bug hält, ist für den Spezialisten eine falsche Erwartungshaltung oder gar ein Feature. So wird wohl jeder Nichtfotograf die Menü-punkte "Abwedeln" oder "Entsättigen" als Übersetzungsfehler für "zu-hell-Korrektur" oder "Grau-Konverter" halten.
Emil Epsilon schrieb: > Nein, es ist nicht egal, das man kein Grundlagenwissen hat, denn so > manches was ein Laie an einem Spezialprogramm für einen Bug hält, ist > für den Spezialisten eine falsche Erwartungshaltung oder gar ein > Feature. > > So wird wohl jeder Nichtfotograf die Menü-punkte "Abwedeln" oder > "Entsättigen" als Übersetzungsfehler für "zu-hell-Korrektur" oder > "Grau-Konverter" halten. Geht es dabei etwa um alle Bugs? Ich dachte bis jetzt es geht bei diesen Bugbounty Programmen nur um Bugs die eine Sicherheitslücke darstellen.
HeinrichDerFünfhundertste schrieb: > Emil Epsilon schrieb: > Geht es dabei etwa um alle Bugs? Ich dachte bis jetzt es geht bei diesen > Bugbounty Programmen nur um Bugs die eine Sicherheitslücke darstellen. Du denkst falsch, der "Grossvater aller Bug bounties" des legendären Donald Knuth schliesst inhaltliche und historische Fehler ein: https://en.wikipedia.org/wiki/Knuth_reward_check Und da es keine standardisierte Definition von Bug bounty gibt, muss man alles Kleingedruckte lesen um zwischen Belohnung und Abmahnung unterscheiden zu können. Wäre nicht das erste Mal, das einem übermotivierten Freiberufler statt einem Scheck/Dienstleistungsbestellung ein Abmahnschreiben ins Haus flattert: https://www.heise.de/security/meldung/Magix-verhindert-Exploit-Veroeffentlichung-1235123.html
Ich habe Bug Bounty Programme immer als Anreiz gesehen, um beim zufälligen Entdecken einer Sicherheitslücke einen Grund haben den zu melden, statt ihn für zwielichtige Zwecke zu nutzen. Es wäre mir neue dass Leute aktiv der Belohnung wegen suchen, das kann sich doch nicht lohnen?!
vgh schrieb: > Es wäre mir neue dass Leute aktiv der Belohnung wegen suchen, das kann > sich doch nicht lohnen?! Und wie sich das lohnen kann: https://www.hackerone.com/press-release/teen-becomes-worlds-first-1-million-bug-bounty-hacker-hackerone
Stefan H. schrieb: > Es ist auch egal, > wie gut man sich verkaufen kann. Nein, ist es nicht. Wenn du glaubst du könntest einem Auslober einfach irgendwie einen Fund vor die Füße kotzen, dann liegst du falsch. Du musst deine Entdeckung dem Auslober schmackhaft machen, unter Einhaltung meist strenger Regeln, in Form vom verständlicher Dokumentation und Information. Der Auslober der Belohnung muss dir auch glauben, dass du was gefunden hast. Der hat keine Glaskugel in der er deine technische Brillanz erkennt. > Lohnt es sich? Stell dir eine Pyramide vor. Ganz oben tummeln sich wenige die viel verdienen. Ein paar leben sogar davon. Für die lohnt es sich. Um da oben zu sein braucht man neben viel Können auch Glück. Ganz unten tummeln sich viele die strampeln um mal ein paar Krümel abzubekommen. Für die vielen unten lohnt es sich nicht. Dazwischen gibt es viele Abstufungen. Was glaubst du, wo du dich in der Pyramide wiederfinden wirst? Haaaalt, nicht so schnell. Sei dir bewusst dass alle die unten strampeln Anspruch auf die wenigen Plätze oben erheben. > Auf welcher > Plattform habt ohr die Aufträge angenommen? Aufträge annehmen? Das sind keine fest vergebenen Aufträge. Wer zuerst ein Problem findet gewinnt.
HeinrichDerFünfhundertste schrieb: > vgh schrieb: >> Es wäre mir neue dass Leute aktiv der Belohnung wegen suchen, das kann >> sich doch nicht lohnen?! > > Und wie sich das lohnen kann: > https://www.hackerone.com/press-release/teen-becomes-worlds-first-1-million-bug-bounty-hacker-hackerone Billigste website-werbung für "HackerOne", siehe letzten Abschnitt: For more on Santiago Lopez’s journey to becoming the top earning hacker on HackerOne, read the latest Q&A with him here. To get involved and start hacking, HackerOne is now offering Hacker101 — a free collection of videos, resources, and hands-on activities that will teach everything needed to operate as a bug bounty hunter. To join the world’s largest hacker community who, in 2018 alone, earned more than $19M in bounty awards for their contributions, sign up for HackerOne here": Fast den gleichen Wortlaut verwendet man für 'Online-Ca$inos' oder 'Online-P0ker', was ein Indiz dafür ist, das "Bounting-Hunting" und Glücksspiel nur zwei Seiten des selben "Falschen Fuffzigers" sind.
Emil Epsilon schrieb: > HeinrichDerFünfhundertste schrieb: >> vgh schrieb: >>> Es wäre mir neue dass Leute aktiv der Belohnung wegen suchen, das kann >>> sich doch nicht lohnen?! >> >> Und wie sich das lohnen kann: >> > https://www.hackerone.com/press-release/teen-becomes-worlds-first-1-million-bug-bounty-hacker-hackerone > > Billigste website-werbung für "HackerOne", siehe letzten Abschnitt: > > For more on Santiago Lopez’s journey to becoming the top earning ... Was soll das jetzt beweisen, auf was möchtest du damit hinaus? Dass das alles in dem Artikel gelogen ist? Sry aber deine Beiträge sind etwas wirr.
HeinrichDerFünfhundertste schrieb: > vgh schrieb: >> Es wäre mir neue dass Leute aktiv der Belohnung wegen suchen, das kann >> sich doch nicht lohnen?! > > Und wie sich das lohnen kann: > https://www.hackerone.com/press-release/teen-becomes-worlds-first-1-million-bug-bounty-hacker-hackerone Lohnt sich finanziell trotzdem nicht, kriminelle Interessenten oder Geheimdienste (also eigentlich ja eh so ziemlich das gleiche) zahlen für die richtig guten Exploits üblicherweise mehr als die Hersteller.
vn nn schrieb: > ... kriminelle Interessenten oder Geheimdienste (also eigentlich ja eh so > ziemlich das gleiche) ... In welcher kranken Blase muss man leben, um so einen Stuss zu schreiben?
In der Realität? Diverse Dienste, inkl. fallen regelmäßig durch Missachtung der Grundrechte auf (was sie ja auch gern gesetzlich legitimieren würden, Stichwort Bundestrojaner und Co.). Illegale Massenüüberwachung gehört ja quasi zum guten Ton. Und dann noch der Verfassungsschutz mit seinen komischen Verstrickungen in die NSU-Morde, die bis heute nicht aufgeklärt wurden. Von den Morden, in die russische und amerikanische (um die in dieser hinsicht populärsten zu nennen) regelmäßig verstrickt sind, ganz zu schweigen. Ja, denen kann man absolut vertrauen. Aber du kannst dein flegelhaftes, inhaltsleeres Posting doch sicher auch mit Argumenten untermauern, oder? Nein? Na dann zieh Leine.
HeinrichDerFünfhundertste schrieb: > Emil Epsilon schrieb: >> HeinrichDerFünfhundertste schrieb: >>> vgh schrieb: >>>> Es wäre mir neue dass Leute aktiv der Belohnung wegen suchen, das kann >>>> sich doch nicht lohnen?! >>> >>> Und wie sich das lohnen kann: >>> >> > https://www.hackerone.com/press-release/teen-becomes-worlds-first-1-million-bug-bounty-hacker-hackerone >> >> Billigste website-werbung für "HackerOne", siehe letzten Abschnitt: >> >> For more on Santiago Lopez’s journey to becoming the top earning > ... > > Was soll das jetzt beweisen, auf was möchtest du damit hinaus? Dass das > alles in dem Artikel gelogen ist? > Sry aber deine Beiträge sind etwas wirr. Naja, wenn das Zitat von HackerOne für Dich unverständlich ist, dann liegt es offensichtlich nicht an mir sondern an HackerOne. Vielleicht liegt es auch daran, das meine Erfahrung mit der Arbeit von Computer-Sicherheits-Consultants sich prinzipiell von der Darstellung diese Website unterscheidet. Für mich hört sich das alles nach "Gamefication" an, aber nicht nach ehrlicher (versteuerter) Arbeit eines IT-Freiberuflers. Da bezweifle ich doch stark, das da ein "$1 million in bounty awards" echte 1 Million US-Dollar Umsatz in den Taschen des Website-Users sind - denn irgendwie will sich die HackerOne Website auch finanzieren. Schliesslich erinnert mich das Ganze an einen Freund, der mal bei der Deutschland - Meisterschaft eines Trading Cards Games den ersten Preis -"im Wert von 10000€" - gewann, aber keine 10000€ auf die Hand bekamm sondern sondern ca. 1000€ mit der Verpflichtung zur Weltmeisterschaft nach Las Vegas zu reisen (also teilweise Reisespesenvorschuß) und einen Druckbogen Trading Card, der wohl Liebhaberpreise erzielen sollte, aber tatsächlich bei ihm im Keller als Erinnerungsstück verstaubt. "Echtes Einkommen" ist für mich was anderes. Und da hätte ich gern einen Link zu den Zahlungsmodalitäten etc von diesen Bugs Bounties um mal eine realistische Kosten/Nutzen Rechnung ableiten zu können.
HeinrichDerFünfhundertste schrieb: > Und wie sich das lohnen kann: > https://www.hackerone.com/press-release/teen-becomes-worlds-first-1-million-bug-bounty-hacker-hackerone So gesehen "lohnt" sich Lottospielen auch. Es ist trotzdem keine gute Idee den Lebensunterhalt davon abhängig zu machen, ob man gewinnt (bzw. einen signifikanten Bug findet)
Emil Epsilon schrieb: > Da bezweifle ich doch stark, das da ein "$1 million > in bounty awards" echte 1 Million US-Dollar Umsatz in den Taschen des > Website-Users sind - denn irgendwie will sich die HackerOne Website auch > finanzieren. HackerOne wird von den Kunden finanziert. Und ja, natürlich bekommst du als Finder einer Lücke den Betrag ausbezahlt, sonst würde wohl keiner da mitmachen, sondern einfach an Geheimdienste/Kriminelle verkaufen, was ohnehin mehr Geld einbringt. Allerdings lohnen sich die meisten Lücken natürlich deutlich weniger, die meisten werden sowas eher als nette Möglichkeit, mit ihrem Hobby ein paar Euro dazuzuverdienen, sehen.
vn nn schrieb: > Emil Epsilon schrieb: >> Da bezweifle ich doch stark, das da ein "$1 million >> in bounty awards" echte 1 Million US-Dollar Umsatz in den Taschen des >> Website-Users sind - denn irgendwie will sich die HackerOne Website auch >> finanzieren. > > HackerOne wird von den Kunden finanziert. Und ja, natürlich bekommst du > als Finder einer Lücke den Betrag ausbezahlt, sonst würde wohl keiner da > mitmachen, sondern einfach an Geheimdienste/Kriminelle verkaufen, was > ohnehin mehr Geld einbringt. Welcher Betrag wird ausgezahlt? Wieviel Cash kommt konkret dabei rum? Wieviel Cash würde man bekommen wenn man direkt mit dem Kunden abrechnet und nicht über einer WebSite, die Marketing, hundert Mitarbaiter und weiteres an mitzufinanzierten BaseCosts mitschlappt? Es ist halt so wie beim Handyvertrag, da wird auch versprochen, das man einen Treue-Bonus von 200€ bekommt - in Cash bekommt man aber garnichts, lediglich die Benutzungsgebühren werden einem gesenkt - was ein plumber Händlertrick ist: man überteuert das erste Angebot um sich dann beim Kunden mit einem vermeintlichen Rabatt einzuschleimen.
Emil Epsilon schrieb: > Welcher Betrag wird ausgezahlt? Wieviel Cash kommt konkret dabei rum? Natürlich der ausgelobte. Weißt du was, google doch einfach selbst. Du musst dir nicht alles vorkauen lassen. Emil Epsilon schrieb: > Wieviel Cash würde man bekommen wenn man direkt mit dem Kunden abrechnet > und nicht über einer WebSite, die Marketing, hundert Mitarbaiter und > weiteres an mitzufinanzierten BaseCosts mitschlappt? Unnötige Frage. Sie machen das nun mal über diese Plattform, Punkt. Viele Hersteller hätten ohne vielleicht auch gar kein Bug-Bounty-Programm. Und vom fragwürdigen Nutzen dieser Programme im Allgemeinen hab ich ja schon geschrieben, ich muss dir deren Existenz nicht rechtfertigen. Emil Epsilon schrieb: > Es ist halt so wie beim Handyvertrag, da wird auch versprochen, das man > einen Treue-Bonus von 200€ bekommt - in Cash bekommt man aber garnichts, > lediglich die Benutzungsgebühren werden einem gesenkt - was ein plumber > Händlertrick ist: man überteuert das erste Angebot um sich dann beim > Kunden mit einem vermeintlichen Rabatt einzuschleimen. Äh, welche Benutzungsgebühr? Welcher Rabatt? Welcher Bonus? Aber danke, mit diesem Schwachsinns-Vergleich hast du dich als völlig ahnungslos geoutet. Die Plattform ist vielmehr vergleichbar mit einem Handlesplatz wie Amazon Marketplace oder eBay: der Hersteller kauft Sicherheitslücken und drückt dafür eine Provision an den Plattformbetreiber ab. Natürlich würde die Welt auch ohne Handelsplattformen (oder auch z.B. Crowdworking-Plattformen) funktionieren, und trotzdem sind sie da. Das Geschäftsmodell "Provision kassieren und im Gegenzug Käufer und Verkäufer zusammenbringen" funktioniert halt.
Das Dumme ist ja, dass sobald es eine Bugbounty vom $$$$ gibt, irgendein "Unternehmer" mit wenig Ahnung aber viel Entrepreneurship dahergelaufen kommt und meint mit einem Invest von $$$ daran Geld verdienen zu müssen.
vn nn schrieb: > Emil Epsilon schrieb: >> Welcher Betrag wird ausgezahlt? Wieviel Cash kommt konkret dabei rum? > > Natürlich der ausgelobte. > Weißt du was, google doch einfach selbst. Du musst dir nicht alles > vorkauen lassen. Hab ich doch, da kommst schnurstracke an eine Registrierungspflicht bevor man Vertragsdetails und deren kleingedruckte vorgelegt bekommt. > Äh, welche Benutzungsgebühr? Welcher Rabatt? Welcher Bonus? Ja eben die Gebühr für die Website, das diese das Geschäft zwischen Kunden (Softwarefirna) und Dienstleister (Bugfinder) vermittelt. und gegencheckt. und in Rechnung stellt. und Support leistet. Und Steuer abwickelt. Und und und. Und mit Bonus ist der "bounty awards" der Website gemeint. Hast Du inzwischen begriffen, welchen Unterschied es zwischen "award" und "cash" gibt?!? > Aber danke, mit diesem Schwachsinns-Vergleich hast du dich als völlig > ahnungslos geoutet. Die Plattform ist vielmehr vergleichbar mit einem > Handlesplatz wie Amazon Marketplace oder eBay: der Hersteller kauft > Sicherheitslücken und drückt dafür eine Provision an den > Plattformbetreiber ab. Nein es geht hier nicht um Warenlogistik (materiell) sondern um Dienstleistung (imateriell) - Sorry, aber du bist komplett ungebildet, wenn es um IT-freelance-Tätigkeiten geht. Wahrscheinlich hast du noch nie ne Rechnung geschrieben, ne Steuernummer beantragt oder bist sonstwie gewinnorientiert am Markt aktiv gewesen - ein 0815 Consument eben. Halt Dich bitte raus, wenn sich Profis" unterhalten. Erst recht solltest Du geschäftlich unmündig so dass, so dass du noch unter §110 BGB (Taschengeld-paragraph) fällst. Dein infantiles Benehmen lässt das jedenfalls vermuten.
Sorry Emil Epsilon, aber du bist scheinbar da irgendwo in den 80er hängegeblieben geistig, musst nicht andere beleidigen, nur weil du das System nicht verstehst. Die BugBounty-Anbieter sind Dienstleister für den Software-Anbieter (Abwickeln eines BugBounty-Programms) und zugleich für die WhiteHat-Hacker ein (relativ) vertrauenswürdige Mittler (Ansprechpartner haben gewisses Kompetenzniveau und sind auch für Security zuständig (kein Verweis an die Endkundenhotline), wenn man sich an die Regeln hält gibt es geld und keine Klage und was sonst so an schlechten Erfahrungen gerade bei kleinen und mittleren Firmen so gemacht werden konnte). Dazu ein zentraler Anlaufpunkt, wo es überhaup solche Programme gibt. Also hat die Plattform definitiv einen Wert.
Nachtrag: Mit deinen Fähigkeiten Informationen zu beschaffen, befürchte ich, dass du nicht zur Zielgruppe gehörst...
Emil Epsilon schrieb: > Ja eben die Gebühr für die Website, das diese das Geschäft zwischen > Kunden (Softwarefirna) und Dienstleister (Bugfinder) vermittelt. und > gegencheckt. und in Rechnung stellt. und Support leistet. Und Steuer > abwickelt. Und und und. Falls du es immer noch nicht verstanden hast: das bezahlt das Unternehmen, dass die Dinge dafür nicht mehr selbst abwickeln muss (was ja auch regelmäßig nach hinten losgeht, wenn Unternehmen nicht richtig auf disclosures reagieren und plötzlich ein PR-Gau daraus wird). Emil Epsilon schrieb: > Hab ich doch, da kommst schnurstracke an eine Registrierungspflicht > bevor man Vertragsdetails und deren kleingedruckte vorgelegt bekommt. Natürlich musst du dich registrieren, wenn du dort mitmachen willst. Bei Amazon oder eBay musst du dich auch registrieren, ob du es glaubst oder nicht. Leider war das keine Antwort auf meine Frage. Emil Epsilon schrieb: > Und mit Bonus ist der "bounty awards" der > Website gemeint. Hast Du inzwischen begriffen, welchen Unterschied es > zwischen "award" und "cash" gibt?!? Welcher Unterschied soll da bestehen? Oder kannst du dich nur nicht klar ausdrücken, und meinst das? https://docs.hackerone.com/programs/bonuses.html#difference-between-a-bounty-and-a-bonus Emil Epsilon schrieb: > Nein es geht hier nicht um Warenlogistik (materiell) sondern um > Dienstleistung (imateriell) - Ja, und stell dir vor, seit Anfang des 21. Jahrhunderts kann man doch tatsächlich Dienstleistungen auch auf Webseiten anbieten (oder bestellen), die im großen und Ganzen genau gleich funktionieren wie Handelsplattformen. Scheinbar ist das aber zu dir noch nicht vorgedrungen. Macht nix, irgendwer muss immer der letzte sein. Emil Epsilon schrieb: > Sorry, aber du bist komplett ungebildet, wenn es um > IT-freelance-Tätigkeiten geht. Süß. Du kannst mir sicher erklären, woraus du das schließt. Emil Epsilon schrieb: > Wahrscheinlich hast du noch nie ne > Rechnung geschrieben, ne Steuernummer beantragt oder bist sonstwie > gewinnorientiert am Markt aktiv gewesen - ein 0815 Consument eben. Süß. Und nun kannst du sicher erklären, was Steuerformalitäten mit der funktionsweise von Online-Dienstleistungsplattformen zu tun haben. Emil Epsilon schrieb: > alt > Dich bitte raus, wenn sich Profis" unterhalten. Erst recht solltest Du > geschäftlich unmündig so dass, so dass du noch unter §110 BGB > (Taschengeld-paragraph) fällst. Dein infantiles Benehmen lässt das > jedenfalls vermuten. Deine komplette Ahnungslosigkeit wird aufgedeckt, und du musst ausfallend werden. Bezeichnend. Wofür genau bist du nochmal "Profi", wenn die Existenz von Dienstleistungsplattformen im Netz an dir vorübergegangen ist, und du sowas mit einem Handyvertrag vergleichst?
vn nn schrieb: > Emil Epsilon schrieb: >> Ja eben die Gebühr für die Website, das diese das Geschäft zwischen >> Kunden (Softwarefirna) und Dienstleister (Bugfinder) vermittelt. und >> gegencheckt. und in Rechnung stellt. und Support leistet. Und Steuer >> abwickelt. Und und und. > > Falls du es immer noch nicht verstanden hast: das bezahlt das > Unternehmen, dass die Dinge dafür nicht mehr selbst abwickeln muss (was > ja auch regelmäßig nach hinten losgeht, wenn Unternehmen nicht richtig > auf disclosures reagieren und plötzlich ein PR-Gau daraus wird). Ja die Firma zahlt das HackOne, aber wieviel zahlt die Firma dem HackOne-User??? > Emil Epsilon schrieb: >> Hab ich doch, da kommst schnurstracke an eine Registrierungspflicht >> bevor man Vertragsdetails und deren kleingedruckte vorgelegt bekommt. > > Natürlich musst du dich registrieren, wenn du dort mitmachen willst. Bei > Amazon oder eBay musst du dich auch registrieren, ob du es glaubst oder > nicht. Bevor man mitmacht, will man aber erst mal die regeln/Preise kennen. Und die kann man bei Amazon, eBay auch ohne Mirgliedschaft in Erfahrung bringen. > Emil Epsilon schrieb: >> Und mit Bonus ist der "bounty awards" der >> Website gemeint. Hast Du inzwischen begriffen, welchen Unterschied es >> zwischen "award" und "cash" gibt?!? > > Welcher Unterschied soll da bestehen? > Oder kannst du dich nur nicht klar ausdrücken, und meinst das? > https://docs.hackerone.com/programs/bonuses.html#difference-between-a-bounty-and-a-bonus Da steht genaus das worauf ich die ganze Zeit hinweise, Bounty ist ungleich Bargeld - Bounty ist lediglich eine "Scheinwährung" im Sinne der Gamification. "Bounty amounts are used to determine how important a report is. The hacker will be given an adjusted amount of reputation based on the bounty amount." Also der Hacker bekommt Anerkennung, Ruhm und Ehre (engl. reputation), von Bargeld ist da nicht die Rede. Und somit ist wiederholt klargestellt das der zur Beginn verlinkte Beitrag zu "HackOne" lediglich Werbung ist aber keinesfalls ein Beleg ist, das man per HackOne zum Miilionär wird. Aber ich seh schon bei deinem Leseverständniss ist Hopfen und Malz verloren. Aber ich habe Hoffnung, das Du noch im Lernprozess steckst. >Deine komplette Ahnungslosigkeit wird aufgedeckt, und du musst >ausfallend werden. Bezeichnend. Wofür genau bist du nochmal "Profi", >wenn die Existenz von Dienstleistungsplattformen im Netz an dir >vorübergegangen ist, Ist sie nicht, ich akquiriere regelmäßig Aufträge über Projektvermittlerwebsites wie Gulp und Co.. Leistung gegen Stundensatz - so funktioniert Freiberuflerei.
Emil Epsilon schrieb: > Ja die Firma zahlt das HackOne, aber wieviel zahlt die Firma dem > HackOne-User??? Soviel es ihr halt Wert ist. Angebot und Nachfrage, Marktwirtschaft, das sind dir Begriffe? Emil Epsilon schrieb: > Bevor man mitmacht, will man aber erst mal die regeln/Preise kennen. Und > die kann man bei Amazon, eBay auch ohne Mirgliedschaft in Erfahrung > bringen. Die Preise hängen, halt dich fest, vom Unternehmen und auch von der Brisanz der Lücke ab. Und stell dir vor, wenn du eine Lücke direkt an den Hersteller reportest, weißt du auch vorher nicht, was du bekommen wirst, Skandal! Scheinbar dürfte dir während deiner professionellen Selbstständigkeit entgangen sein, dass Honorare Verhandlungssache sind. Ach ja, und nein, bei einer eBay-Auktion weiß ich auch den Preis vorher nicht. Skandal! Emil Epsilon schrieb: > Da steht genaus das worauf ich die ganze Zeit hinweise, Bounty ist > ungleich Bargeld - Bounty ist lediglich eine "Scheinwährung" im Sinne > der Gamification. > > "Bounty amounts are used to determine how important a report is. The > hacker will be given an adjusted amount of reputation based on the > bounty amount." > > Also der Hacker bekommt Anerkennung, Ruhm und Ehre (engl. reputation), > von Bargeld ist da nicht die Rede. Nö. Du verstehst nur nix. https://docs.hackerone.com/programs/bounties.html Es handelt sich nach wir vor um keine Scheinwährung, sondern um US-Dollar (außer, du willst diese als solche sehen). Emil Epsilon schrieb: > Ist sie nicht, ich akquiriere regelmäßig Aufträge über > Projektvermittlerwebsites wie Gulp und Co.. Leistung gegen Stundensatz - > so funktioniert Freiberuflerei. Es geht hier um Exploits, nicht um projektbasierende Jobs. Sag ich doch, du hast bis jetzt nicht gerafft, was eigentlich das Thema ist und wie das eigentlich funktioniert, wenn du eine Lücke an einen Hersteller reportest (sei es jetzt mit irgendwelchen komischen Plattformen oder direkt). Aber du kannst ja gern erklären, wie du das stundenbasierend verrechnest. Und wer das deiner Meinung nach noch so betreibt. Siehs ein, du verstehst einfach nicht, wie das schon seit Jahren (lang vor irgendwelchen komischen Plattformen dazwischen) existiertende System "Sicherheitslücke gefunden, gebt mir Geld dann verrat ich euch wie sie aussieht" funktioniert. Emil Epsilon schrieb: > Aber ich seh schon bei deinem Leseverständniss ist Hopfen und Malz > verloren. Aber ich habe Hoffnung, das Du noch im Lernprozess steckst. Süß. Natürlich kannst du deine stumpfsinnige Beleidigung nach wie vor nicht begründen, oder?
Emil Epsilon schrieb: > Leistung gegen Stundensatz - > so funktioniert Freiberuflerei. Vor allem scheint dir der Begriff eines Werksvertrages - Fixbetrag gegen Erbringung von Leistung - ebenso wenig bekannt zu sein.
@ vn nn (Gast) Du redest ja sehr gescheit daher. Aber hast du konkrete Erfahrung mit der Bug Bounty Firma, oder bist du nur sehr von dir überzeugt?
Hast du auch eine konkrete Frage, oder willst du nur stumpfsinnig stänkern? Ich wüsste nicht, warum ich sonderlich stark von mir überzeugt sein müsste, es reicht schon zu wissen was in der Branche üblich ist, und lesen zu können. Und nein, mit HackerOne hab ich keine Erfahrung, und hab ja die Sinnhaftigkeit derartiger Plattformen schon mehrfach in Frage gestellt.
vn nn schrieb: > Emil Epsilon schrieb: >> Leistung gegen Stundensatz - >> so funktioniert Freiberuflerei. > > Vor allem scheint dir der Begriff eines Werksvertrages - Fixbetrag gegen > Erbringung von Leistung - ebenso wenig bekannt zu sein. Doch mir sind die Unterschiede zwischen Dienst- und Werkvertrag sehr wohl bekannt, du dagegen vermischst die beiden Definitionen unzulässigerweise. Ebenso der Unterschiede zwischen Gewerbe und Freier Beruf.
vn nn schrieb: > Emil Epsilon schrieb: >> Ja die Firma zahlt das HackOne, aber wieviel zahlt die Firma dem >> HackOne-User??? > > Soviel es ihr halt Wert ist. Angebot und Nachfrage, Marktwirtschaft, das > sind dir Begriffe? Sorry, es ist hier nicht nach Wirtschaftsschuleinmaleins-blabla gefragt sondern nach konkreten Zahlen. Wieviel Euro bekommt ein HackOne User ausgezahlt? Wievielo hat er davon an Steuer etc. abzuführen resü. zu deklarieren?. (Oh, da fällt mir ein, heut ist wieder der Zehnte eines Monats, gleich mal "Elster" starten...). > Emil Epsilon schrieb: >> Bevor man mitmacht, will man aber erst mal die regeln/Preise kennen. Und >> die kann man bei Amazon, eBay auch ohne Mirgliedschaft in Erfahrung >> bringen. > > Die Preise hängen, halt dich fest, vom Unternehmen und auch von der > Brisanz der Lücke ab. > Und stell dir vor, wenn du eine Lücke direkt an den Hersteller > reportest, weißt du auch vorher nicht, was du bekommen wirst, Skandal! > Scheinbar dürfte dir während deiner professionellen Selbstständigkeit > entgangen sein, dass Honorare Verhandlungssache sind. Stundensatz, schrieb ich bereits. > Ach ja, und nein, bei einer eBay-Auktion weiß ich auch den Preis vorher > nicht. Skandal! Nix Skandal, man kann sich ja für SofortKauf entscheiden. Oder ebay-Kleinanzeigen, da hat es eine Obergrenze, und bei Auktionen, eine Untergrenze. Und der Preis richtet sich nach meinem Gebot, Aber eben nicht der Zuschlag ... hm welches Höchstalter für den Gegenüber kann man ansetzen, wenn man dem ebay erklären muß? 10 Jahre? Allgeimen reife?, NRW-Abitur? ;-) > Emil Epsilon schrieb: >> Da steht genaus das worauf ich die ganze Zeit hinweise, Bounty ist >> ungleich Bargeld - Bounty ist lediglich eine "Scheinwährung" im Sinne >> der Gamification. >> >> "Bounty amounts are used to determine how important a report is. The >> hacker will be given an adjusted amount of reputation based on the >> bounty amount." >> >> Also der Hacker bekommt Anerkennung, Ruhm und Ehre (engl. reputation), >> von Bargeld ist da nicht die Rede. > > Nö. Du verstehst nur nix. > https://docs.hackerone.com/programs/bounties.html > Es handelt sich nach wir vor um keine Scheinwährung, sondern um > US-Dollar (außer, du willst diese als solche sehen). Das steht nix von 'US$' nur '$'. Und da steht auch nicht wie dieser Bounty an den User kommt. Oder welcher Anteil. Und es ist auch kein objektiver Bericht von einer unabhängigen Institutuion, sondern reine Selbstdarstellung.Und es wäre nicht das erste Mal das Transfer-Gebühren einen gehörigen teil der übertragenen Summe "auffressen". Schon mal geschaut, was es kostet, bspw. Geld in die Schweiz zu transferieren. > Siehs ein, du verstehst einfach nicht, wie das schon seit Jahren (lang > vor irgendwelchen komischen Plattformen dazwischen) existiertende System > "Sicherheitslücke gefunden, gebt mir Geld dann verrat ich euch wie sie > aussieht" funktioniert. Zahlen bitte. Wieviel Bargeld geht an den User für die Meldung eines Exploits. Und alles was nicht durch eine reputable Quelle belegt ist, ist wertlos. > Emil Epsilon schrieb: >> Aber ich seh schon bei deinem Leseverständniss ist Hopfen und Malz >> verloren. Aber ich habe Hoffnung, das Du noch im Lernprozess steckst. > > Süß. Natürlich kannst du deine stumpfsinnige Beleidigung nach wie vor > nicht begründen, oder? Das ist keine Beleidigung, das ist eine Tatsache das du keine konkrete Angaben zur Bezahlung machen kannst, sondern hier ledoglich deine blauäugigen Wunschauslegung zum besten gibst. Und Grundbegriffe des Wirtschaftens falsch wiedergibst.
vn nn schrieb: > Ich wüsste nicht, warum ich sonderlich stark von mir überzeugt sein > müsste, es reicht schon zu wissen was in der Branche üblich ist, und > lesen zu können. Naja, bist jetzt haste nur bewiesen, das du die Werbung und Selbstdarstellung von HackOne gelesen hast. Das bedeutet keine Kenntniss vom 'Branchenüblichen'. > Und nein, mit HackerOne hab ich keine Erfahrung, Womit haste denn Erfahrung? Außer Ebay-Auktionen für Sachwerte ? Und Taschengeld von Mami?
Emil Epsilon schrieb: > du dagegen vermischst die beiden Definitionen > unzulässigerweise. Bitte, wo denn? Emil Epsilon schrieb: > Sorry, es ist hier nicht nach Wirtschaftsschuleinmaleins-blabla gefragt > sondern nach konkreten Zahlen. Wieviel Euro bekommt ein HackOne User > ausgezahlt? Noch einmal, in der Hoffnung dass du es jetzt endlich verstehst: das legt das jeweilige Softwareunternehmen fest, nachdem du den Bug reportet hast. So, wie es schon seit zwanzig Jahren (lang, bevor es solche Plattformen gab) funktioniert. Für kritische Lücken gibt es mehr, als für unkritische. Emil Epsilon schrieb: > Wievielo hat er davon an Steuer etc. abzuführen resü. zu > deklarieren? Das hängt, halt dich fest, von der jeweiligen Steuergesetzgebung im Land des Users ab. Wer hätte das gedacht. Emil Epsilon schrieb: > Stundensatz, schrieb ich bereits. Nochmal: erklär mir, wie das deiner Meinung nach bei einem Bugreport funktionieren soll, welchen Stundensatz legst du fest, und welche angefallenen Stunden? Und warum ist außer dir noch niemand auf diese geniale Idee gekommen, warum wird das schon seit Jahrzehnten so praktiziert? Sieh endlich ein, du hast keine Ahnung von der Branche. Emil Epsilon schrieb: >> Ach ja, und nein, bei einer eBay-Auktion weiß ich auch den Preis vorher >> nicht. Skandal! > Nix Skandal, man kann sich ja für SofortKauf entscheiden. Oder > ebay-Kleinanzeigen, da hat es eine Obergrenze, und bei Auktionen, eine > Untergrenze. Und der Preis richtet sich nach meinem Gebot, Aber eben > nicht der Zuschlag ... hm welches Höchstalter für den Gegenüber kann man > ansetzen, wenn man dem ebay erklären muß? 10 Jahre? Allgeimen reife?, > NRW-Abitur? ;-) Was genau willst du mit deinem Geschwurbel mitteilen? Natürlich waren Auktionen gemeint. Was faseltst du von deiner nicht vorhandenen Reife? Emil Epsilon schrieb: > Das steht nix von 'US$' nur '$'. Scheinbar kannst du wirklich simpelste Zusammenhänge nicht erkennen. Traurig. Natürlich könnte man nie auf die Idee kommen, dass eine in den USA beheimatete Firma mit $ "US-Dollar" meint. Ist ja auch nur das offizielle Symbol dafür. Vielleicht sollte man zukünftig statt 99€ auch besser anschreiben 99€uro, damit du es sicher verstehst. Emil Epsilon schrieb: > Und da steht auch nicht wie dieser > Bounty an den User kommt. Magie. Bargeld, per Einhorn geschickt. Emil Epsilon schrieb: > Und es ist auch kein > objektiver Bericht von einer unabhängigen Institutuion, sondern reine > Selbstdarstellung. Ach nä. Ganz im Gegensatz zu deinem geballten Wissen. Emil Epsilon schrieb: > Und es wäre nicht das erste Mal das Transfer-Gebühren > einen gehörigen teil der übertragenen Summe "auffressen". Die Gebühren sind vom Unternehmen zusätzlich zu bezahlen, nicht vom User. Das steht auch dort. Aber du kannst halt nicht lesen. Emil Epsilon schrieb: > Zahlen bitte. Wieviel Bargeld geht an den User für die Meldung eines > Exploits. Und alles was nicht durch eine reputable Quelle belegt ist, > ist wertlos. Noch einmal, in der Hoffnung dass du endlich kapierst: das jeweilige betroffene Unternehmen legt fest, wieviel ihnen das Exploit wert ist. So, wie es seit jeher schon war. Und wie es auch ist, wenn du das Exploit ohne diese Plattform direkt an das Unternehmen reportest. Emil Epsilon schrieb: > Das ist keine Beleidigung, das ist eine Tatsache das du keine konkrete > Angaben zur Bezahlung machen kannst Keiner kann diese Angabe machen, weil sie individuell Erfolgt. So, wie es immer schon war. Aber das weißt du halt nicht. Du hast halt keine Ahnung von der Sicherheitsbranche. Emil Epsilon schrieb: > Und Grundbegriffe des > Wirtschaftens falsch wiedergibst. Oh, welche denn? Emil Epsilon schrieb: > sondern hier ledoglich deine > blauäugigen Wunschauslegung zum besten gibst. Oh, welche denn? Emil Epsilon schrieb: > Naja, bist jetzt haste nur bewiesen, das du die Werbung und > Selbstdarstellung von HackOne gelesen hast. Aha. Äh, nein. Denn der Mechanismus "ich hab ein Exploit, wieviel ist es dir Wert" hat schon lange vor dieser Plattform so funktioniert. Nur weißt du halt nicht davon. Und nein, der Untreschied ist lediglich, dass ich wenigstens irgendwas gelesen hab, im Gegensatz zu dir. Von dir kam bis jetzt nichts außer Mutmaßungen, Unterstellungen und Beleidigungen. Natürlich konntest du nichts davon mit Argumenten oder Links untermauern. Nicht mal wenn man dir einen Link vor die Füße wirft, schaffst du es ihn zu lesen. Emil Epsilon schrieb: > Womit haste denn Erfahrung? Außer Ebay-Auktionen für Sachwerte ? Und > Taschengeld von Mami? Oh, toll, schon wieder eine Beleidigung weil dir sonst nix einfällt. HackerOne hat mit Stand 2018 übrigens 31 Mrd. Dollar (ja, US) ausbezahlt. Und weil sie so wahnsinnig unseriös sind, macht ja auch Verizon, AirBnB oder das Pentagon von ihnen Gebrauch.
Emil Epsilon schrieb: >> Die Preise hängen, halt dich fest, vom Unternehmen und auch von der >> Brisanz der Lücke ab. >> Und stell dir vor, wenn du eine Lücke direkt an den Hersteller >> reportest, weißt du auch vorher nicht, was du bekommen wirst, Skandal! >> Scheinbar dürfte dir während deiner professionellen Selbstständigkeit >> entgangen sein, dass Honorare Verhandlungssache sind. > > Stundensatz, schrieb ich bereits. Von welchen Stunden? Das ist kein Bezahlter Audit, sondern "Belohnung" für das melden von mehr oder weniger zufällig gefundenen Fehlern. (Motivation steigt auch kleines zu melden => Qualitätsverbesserung und bei großen Sachen etwas Ausgleich im Vergleich zu den was man im Schwarzmarkt u.U. bekommt + Schutz der Firmen vor Reputationsverlust). Um das in Worten zu formulieren du du vielleicht verstehst: Das kannst du als Werkverträge sehen, Leistung gegen Geld. Ein Teil der Leistung ist es Erster zu sein, das noch nicht veröffentlicht zu haben. Findest du nichts (ausreichend) schwerwiegendes (oder nicht als erster), gibt es kein/wenig Geld.
vn nn schrieb: > Noch einmal, in der Hoffnung dass du es jetzt endlich verstehst: das > legt das jeweilige Softwareunternehmen fest, nachdem du den Bug reportet > hast. So, wie es schon seit zwanzig Jahren (lang, bevor es solche > Plattformen gab) funktioniert. Für kritische Lücken gibt es mehr, als > für unkritische. Sorry aber es wird nach "Konkrete Zahl" gefragt, nicht nach repetierten Gebrabbel. > Das hängt, halt dich fest, von der jeweiligen Steuergesetzgebung im Land > des Users ab. Wer hätte das gedacht. Dann bitte mach das Mal für .de > > Emil Epsilon schrieb: >> Stundensatz, schrieb ich bereits. > > Nochmal: erklär mir, wie das deiner Meinung nach bei einem Bugreport > funktionieren soll, welchen Stundensatz legst du fest, und welche > angefallenen Stunden? Ganz einfach, Stundensatz 100€ + 19% Umsatzsteuer das multipliziert mit zeitlichen Aufwand für die Suche, Verifizierung und Dokumentation. > Und warum ist außer dir noch niemand auf diese > geniale Idee gekommen, warum wird das schon seit Jahrzehnten so > praktiziert? Doch das wird sein Jahren so praktiziert, oben ist ein Beispiel aus dem Jahr 2011 verlinkt. > Sieh endlich ein, du hast keine Ahnung von der Branche. > Was faseltst du von deiner nicht vorhandenen Reife? > Scheinbar kannst du wirklich simpelste Zusammenhänge nicht erkennen. > Traurig. > Ach nä. Ganz im Gegensatz zu deinem geballten Wissen. > Aber du kannst halt nicht lesen. > Noch einmal, in der Hoffnung dass du endlich kapierst: > Aber das weißt du halt nicht. > Du hast halt keine Ahnung von der Sicherheitsbranche. > Aha. Äh, nein. Denn der Mechanismus "ich hab ein Exploit, wieviel ist es > dir Wert" hat schon lange vor dieser Plattform so funktioniert. Nur > weißt du halt nicht davon. > Und nein, der Untreschied ist lediglich, dass ich wenigstens irgendwas > gelesen hab, im Gegensatz zu dir. Naja du hast Werbung konsumiert und unreflektiert hier zitiert. Kann man als 'Lesen' bezeichnen, als lesendes Verstehen eher nicht. > Von dir kam bis jetzt nichts außer Mutmaßungen, Unterstellungen und > Beleidigungen. Natürlich konntest du nichts davon mit Argumenten oder > Links untermauern. Nicht mal wenn man dir einen Link vor die Füße > wirft, schaffst du es ihn zu lesen. Doch hab ich gelesen, had ihn sogar für Dich übersetzt, und um ganz sicher zu sein im Wörterbuch nachgeschlagen. > Emil Epsilon schrieb: >> Womit haste denn Erfahrung? Außer Ebay-Auktionen für Sachwerte ? Und >> Taschengeld von Mami? > > Oh, toll, schon wieder eine Beleidigung weil dir sonst nix einfällt. Nein, das ist ne ernstgemeinte Frage, wie sie jedem gestellt wird, Also nochmals: "Womit haste den Erfahrung?!? > HackerOne hat mit Stand 2018 übrigens 31 Mrd. Dollar (ja, US) > ausbezahlt. Nope, nix Milliarde: https://www.hackerone.com/sites/default/files/2019-04/hpsr-2018-de.pdf S.24 Hätte dir bei ner simplen Plausibilitätsprüfung auffallen sollen. Dividiert durch Anzahl der Jahre des jeweiligen Zeitraumes (6) und Anzahl der on site registrierten Hacker (200 000) kommt man auf 25,* $ pro 'Hacker' und Jahr. Also nicht mal Tagessatz bei Mindestlohn. Noch dazu Selbstdarstellung und nicht objektiv verifiziert.
Emil Epsilon schrieb: > vn nn schrieb: > >> Noch einmal, in der Hoffnung dass du es jetzt endlich verstehst: das >> legt das jeweilige Softwareunternehmen fest, nachdem du den Bug reportet >> hast. So, wie es schon seit zwanzig Jahren (lang, bevor es solche >> Plattformen gab) funktioniert. Für kritische Lücken gibt es mehr, als >> für unkritische. > > Sorry aber es wird nach "Konkrete Zahl" gefragt, nicht nach repetierten > Gebrabbel. Gebe konkrete Parameter? Remote root exploit für etwas verbreitetes wie iOS bringt mehr als XSS bei Tante Ernas Webshop (bei ner Bank wiederum etwas mehr). Schau dir doch mal paar Programme da an: https://hackerone.com/directory/programs Da gibt's ne Orientierung, zum Beispiel bei Ubiquiti von $30 bis $25.000 >> Das hängt, halt dich fest, von der jeweiligen Steuergesetzgebung im Land >> des Users ab. Wer hätte das gedacht. > > Dann bitte mach das Mal für .de Was ist dein persönlicher Steuersatz? >> Emil Epsilon schrieb: >>> Stundensatz, schrieb ich bereits. >> >> Nochmal: erklär mir, wie das deiner Meinung nach bei einem Bugreport >> funktionieren soll, welchen Stundensatz legst du fest, und welche >> angefallenen Stunden? > > Ganz einfach, Stundensatz 100€ + 19% Umsatzsteuer das multipliziert mit > zeitlichen Aufwand für die Suche, Verifizierung und Dokumentation. Also wenn du so lahm bist, das du bei Ernas Webshop drei Monate suchst, bis du eine einfache XSS gefunden hast, soll die einen mittleren fünfstelligen Preis haben?
Johannes F. schrieb: > Gebe konkrete Parameter? > Remote root exploit für etwas verbreitetes wie iOS bringt mehr als XSS > bei Tante Ernas Webshop (bei ner Bank wiederum etwas mehr). > Schau dir doch mal paar Programme da an: > https://hackerone.com/directory/programs > Da gibt's ne Orientierung, zum Beispiel bei Ubiquiti von $30 bis $25.000 Na bitte, gefühlte 3142 Post später schafft man es endlich wenigstens eine Spanne zu extrahieren. Nächster Schritt, bestimme die maximal erzielbare Gewinnsumme und den Aufwand pro "Warenstück". Damit sind wir aber bei diesen Bounty-Glückspiel noch nicht weiter mit der Gewinnprognose, hier kommt noch ne Wahrscheinlichkeit dazu, das wir was finden (oder finden könnten) und das möglichst früh. So wie es für einen Golfschürfer nicht genügt, den Preis für ne Unze zu kennen, der muss auch darauf spekulieren, das er in dem Drecks-Claim den er da durchfiltert überhaut was und das auch noch vor den anderen Möchtegerngoldschürfern findet. Nimm mal lieber einen ehrlich kalkulierbaren Job, davon gibt ea auch für Gelegenheitsjobber genug. >>> Das hängt, halt dich fest, von der jeweiligen Steuergesetzgebung im Land >>> des Users ab. Wer hätte das gedacht. >> >> Dann bitte mach das Mal für .de > > Was ist dein persönlicher Steuersatz? 42%, so was weiss man als Freiberufler im Schlaf. Oder meinst du die Umsatzsteuer? - 19% ! > Also wenn du so lahm bist, das du bei Ernas Webshop drei Monate suchst, > bis du eine einfache XSS gefunden hast, soll die einen mittleren > fünfstelligen Preis haben? Ja, aber der Preis allein macht keine Ware und damit auch kein Geschäft. Und kein Pen-test dauert 3 Monate, selbst die Kiddies haben dafür Sctipte. Bei Tante Erna "punktet" man eher mit einen Rundum-Wartungs-Vertrag auf Fixpreis-basis.
Lol... Lasst euch doch nicht von diesem BugBounty Blödsinn veräppeln! Man wird ja auch nur bezahlt, wenn man denn überhaupt einen Bug gefunden hat und dieser als sicherheitskritisch eingestuft wird. Bis dahin hat man etliche Stunden für die Fehlersuche verbracht und bekommt mit großer Wahrscheinlichkeit dafür auch kein Geld. Nein danke, wenn ich schon meine private Zeit dafür aufwende, dann will ich auch dafür bezahlt werden! Das Konzept dieser BugBounties ist doch vergleichbar mit der Sklavenarbeit!
Emil Epsilon schrieb: > Johannes F. schrieb: > >> Gebe konkrete Parameter? >> Remote root exploit für etwas verbreitetes wie iOS bringt mehr als XSS >> bei Tante Ernas Webshop (bei ner Bank wiederum etwas mehr). >> Schau dir doch mal paar Programme da an: >> https://hackerone.com/directory/programs >> Da gibt's ne Orientierung, zum Beispiel bei Ubiquiti von $30 bis $25.000 > Na bitte, gefühlte 3142 Post später schafft man es endlich wenigstens > eine Spanne zu extrahieren. Weil du zu faul/blöd/was auch immer bist das zu tun was ITler angeblich gut können: Informationen Recherchieren. Das findet man mit genau drei Mausklicks von der Startseite (Für Hacker -> Programme -> auf eines Klicken. Kurzer Hinweis: Die Spanne gilt für das bestimmte Programm, bei anderen ist das Maximum/Minimum anders. > So wie es für einen Golfschürfer nicht genügt, den Preis für ne Unze zu > kennen, der muss auch darauf spekulieren, das er in dem Drecks-Claim den > er da durchfiltert überhaut was und das auch noch vor den anderen > Möchtegerngoldschürfern findet. So ist es, aber wenn mn Goldschürfer wird, gehört das halt zum unternehmerischen Risiko. > >>>> Das hängt, halt dich fest, von der jeweiligen Steuergesetzgebung im Land >>>> des Users ab. Wer hätte das gedacht. >>> >>> Dann bitte mach das Mal für .de >> >> Was ist dein persönlicher Steuersatz? > > 42%, so was weiss man als Freiberufler im Schlaf. Oder meinst du die > Umsatzsteuer? - 19% ! Der Vollprofi kennt also nicht den Unterschied zwischen Grenzsteuersatz und dem persönlichen Durchschnitssteuersatz? Aber gut, auch damit lässt sich rechnen, auch wenn das für einen Profi wie dich peinlich ist, das du das nicht im Schlaf hinbekommst: Bei $1000 Bounty ausgezahlt in America wären das etwa 900EUR nicht steuerbarer Umsatz. Also kein Umsatzsteuer fällig. Annehmend das du auch Null Ausgaben hast damit dann etwa 900EUR zu versteuerndes Einkommen. Davon solltest du bei 42% Steuersatz also 378 für die Steuer zurücklegen und bevor es dir die Liquiditätsplanung versaut auch noch 378 für die höheren Vorauszahlungen im folgenden Jahr (die bekommst du aber zurück, wenn der ungewöhnliche Gewinnsprung sich nicht wiederholt). >> Also wenn du so lahm bist, das du bei Ernas Webshop drei Monate suchst, >> bis du eine einfache XSS gefunden hast, soll die einen mittleren >> fünfstelligen Preis haben? > > Ja, aber der Preis allein macht keine Ware und damit auch kein Geschäft. Siehst du, und der Preis für ne Sicherheitslücke macht eben der Markt. Und Käufer sind eben Teilweise die Firmen (vertreten durch Hackerone und vergleichbare), Teilweise Niemand (gibt genügend Fälle wo auf "ich habe hier $Bug, wenn du den haben willst und nicht wer anderes zahle $Geld" eher mit einer Strafanzeige und Unterlassungserklärungen als mit Geld reagiert wurde) und halt der graue/schwarze Markt an Kriminellen und so. Und wenn du der Meinung bist, das deine Produktionskosten zu hoch sind im Vergleich zu den erzielbaren Gewinn, sieht das vielleicht jemand der in Indien oder Guam lebt anders (oder auch in .de und einfach schneller ist/bessere Tools hat).
Johannes F. schrieb: > Weil du zu faul/blöd/was auch immer bist das zu tun was ITler angeblich > gut können: Informationen Recherchieren. Das findet man mit genau drei > Mausklicks von der Startseite (Für Hacker -> Programme -> auf eines > Klicken. > Kurzer Hinweis: Die Spanne gilt für das bestimmte Programm, bei anderen > ist das Maximum/Minimum anders. Schau ich hab recherchiert, deshalb hab ich auch für mich Die Einschätzung gewonnen, das dies Glücksspiel ist. Und wie bereits gesagt, die Feststellung der beworbenen AuszahlungsSpanne ist nur der erste Schritt den tatsächlichen Nutzen abzuschätzen. > So ist es, aber wenn mn Goldschürfer wird, gehört das halt zum > unternehmerischen Risiko. Nein, Glückspiel ist kein Unternehmen sondern eine Dummheit, bestenfalls besitzt es einen persönlichen Unterhaltungswert. Unternehmerische Handeln dagegen ist die Abwägung von Aufwand nund Nutzen. >>> Was ist dein persönlicher Steuersatz? >> >> 42%, so was weiss man als Freiberufler im Schlaf. Oder meinst du die >> Umsatzsteuer? - 19% ! > > Der Vollprofi kennt also nicht den Unterschied zwischen Grenzsteuersatz > und dem persönlichen Durchschnitssteuersatz? Der Grenzsteuersatz liegt bei 45% nicht 42%, mein persönlicher Steuersatz nach dem gefragt wurde, liegt eben bei 42%. > Aber gut, auch damit lässt sich rechnen, auch wenn das für einen Profi > wie dich peinlich ist, das du das nicht im Schlaf hinbekommst: > Bei $1000 Bounty ausgezahlt in America wären das etwa 900EUR nicht > steuerbarer Umsatz. Also kein Umsatzsteuer fällig. Nope, der Bounty ist nicht pauschal von der Steuer befreit. Steht auch so in den bisher verlinkten Dokumenten, vor Auszahlung wird eine Steuerdeklaration (tax form) fällig. > Annehmend das du auch > Null Ausgaben hast damit dann etwa 900EUR zu versteuerndes Einkommen. Nur ein Depp stellt keine Ausgaben/Betriebskosten in Rechnung, respektive setzt diese in der Ausgleichsrechnung mit 0€ an. > Davon solltest du bei 42% Steuersatz also 378 für die Steuer zurücklegen > und bevor es dir die Liquiditätsplanung versaut auch noch 378 für die > höheren Vorauszahlungen im folgenden Jahr (die bekommst du aber zurück, > wenn der ungewöhnliche Gewinnsprung sich nicht wiederholt). Nein, die 42% beziehen sich auf ein zu versteuerndes Einkommen von größer 55k und kleiner 260000€, halt der bereich in dem ich aktiv bin. Die Peanuts von 900€ fallen womöglich unter die Steuerfrei-pauschale, was nicht heisst, das sie Bafög oder Sozial-Almosen mindernd einbezogen werden. Oder höhere Sozialausgaben fällig werden. Das sind dann weiterere Punkte wo diese Bounties eher das Einkommenspotential mindern statt steigern. > wenn du den haben willst und nicht wer anderes zahle $Geld" > eher mit einer Strafanzeige und Unterlassungserklärungen als mit Geld > reagiert wurde) und halt der graue/schwarze Markt an Kriminellen und so. Genau darauf habe ich mit meinem zweiten Post hingewiesen, das statt Belohnung der Anwalt der gegenseite droht. Und auf ein nachprüfbares Beispiel verwiesen. Also komm mir nicht mit "zu faul zum recherchieren". > Und wenn du der Meinung bist, das deine Produktionskosten zu hoch sind > im Vergleich zu den erzielbaren Gewinn, sieht das vielleicht jemand der > in Indien oder Guam lebt anders (oder auch in .de und einfach schneller > ist/bessere Tools hat). Genau darauf basiert Glücksspiel wie Poker - massive Selbstüberschätzung der Script-Kiddies und dumpfes Hoffen das das Wahrscheinlichkeitsgesetz nach Nasenfaktor entscheidet. Ich will ja nicht unhöflich erscheinen, aber ich habe zur Zeit Geldwerteres zu tun, als Falschbehauptungen in diesem Laien-Forum zu berichtigen. Damit bin ich raus.
Emil Epsilon schrieb: > Johannes F. schrieb: > >> Weil du zu faul/blöd/was auch immer bist das zu tun was ITler angeblich >> gut können: Informationen Recherchieren. Das findet man mit genau drei >> Mausklicks von der Startseite (Für Hacker -> Programme -> auf eines >> Klicken. >> Kurzer Hinweis: Die Spanne gilt für das bestimmte Programm, bei anderen >> ist das Maximum/Minimum anders. > > Schau ich hab recherchiert, deshalb hab ich auch für mich Die > Einschätzung gewonnen, das dies Glücksspiel ist. Und wie bereits gesagt, > die Feststellung der beworbenen AuszahlungsSpanne ist nur der erste > Schritt den tatsächlichen Nutzen abzuschätzen. Das klang aber bei dir subtil anders. > Ich will ja nicht unhöflich erscheinen, aber ich habe zur Zeit > Geldwerteres zu tun, als Falschbehauptungen in diesem Laien-Forum zu > berichtigen. Damit bin ich raus. Schon blöd, wenn man nicht bejubelt wird und Widerspruch bekommt :D
Habe mal ein bischen recheriert: Kurz: Das ist PR für die Firmen, im Sinne von "Hey schaut her wie sicher unser Produkt ist, wenn wir es uns leisten können x Mio pro Sicherheitslücke zu zahlen muss ja sehr sicher sein" Was dann als Sicherheitslücke durchgeht bestimmt alleine der Auslober und da werden allen plumpen Rosstäuschertricks aufgefahren wie bei "Sie haben gewonnen"-Anrufen bei Glücksspielen in den man nie mitgemacht hat. Das ist übelster PR-Schund. Das geht z.B. so dass bei einem eingereichten Bug dreist gesagt wir dass der Bug schon bekannt sei aber keine Liste mit offenen Bugs vorhanden ist oder auf dieser dieser Bug nicht auftaucht und anderer Schwachsinn. Dort geht der Firma auch nicht ob der Bug dann gefixt wird, selbst normal gemeldete Bugs ( also die die nicht in diesen Bug-Bounty-Wettbewerben gemeldet werden) bleiben jahrelang offen, weil keiner Zeit hat die zu fixen, eine lib in einer späteren Version sowieso rausfliegt die mit dem Bug zu tun hat die Architektur wo dieser Bug auftaucht umdesigned wird oder einfach nach Ablauf einer gewissen Zeit alte Bugs einfach aus der DB ausgetragen werden,...
Sklavenvermittler schrieb: > normal gemeldete Bugs ( also die die nicht in diesen > Bug-Bounty-Wettbewerben gemeldet werden) bleiben jahrelang offen Das ist mir bei Ubuntu auch aufgefallen. Ich melde jetzt auch keine Bugs mehr. Der Kram interessiert eh keine Sau. Ein Glück ist dieser Unity-Oberflächen-Mist und dieses total verbuggte Ubuntu-Touch endlich tot.
Stefan H. schrieb: > Das ist mir bei Ubuntu auch aufgefallen. Ich melde jetzt auch keine Bugs > mehr. Der Kram interessiert eh keine Sau. Ein Glück ist dieser > Unity-Oberflächen-Mist und dieses total verbuggte Ubuntu-Touch endlich > tot. Schaut euch mal das an: https://media.ccc.de/v/36c3-10608-das_nutzlich-unbedenklich_spektrum Da erzählt Fefe wie es ihm bei Bugmeldungen von Firefox ergangen ist.
Wer von euch hat soetwas einmal gemacht? - Ich (leider noch) nicht. Lohnt es sich? - Auf jeden Fall zur eigenen Horizonterweiterung bzw. zum Schutz der eigenen Applikationen. - Manchmal, aber eher selten auch monetär: Man kann dem verlinktem Artikel (https://www.bleepingcomputer.com/news/security/hacker-earns-2-million-in-bug-bounties-on-hackerone/) vom 24.12.2020 ein paar Zahlen entnehmen. Bei über 700.000 registrierten Hackern: 12% verdienen mehr als $20,000 pro Jahr durch Bounties 3% verdienen mehr als $100,000 pro Jahr durch Bounties 1,1% verdienen mehr als $350,000 pro Jahr durch Bounties Neun (9) Hacker haben bisher mehr als eine Million Dollar an Prämien eingenommen. Darunter befindet sich ein (1) in Deutschland lebender Rumäne, der die 2 Millionen-Grenze geknackt. Respekt!!! In den vorherigen Posts wird sehr gut dargestellt wie unsicher diese Einkommensart ist; Stichworte: Pyramide, kein fester Stundensatz, Glücksspiel, teilweise rechtliche Grauzone. Auf welcher Plattform habt ihr die Aufträge angenommen? - Ich habe mich bei hackerone.com angemeldet und die beiden ersten (trivialen) Capture-The-Flag-Aufgaben (hacker101.com) gelöst. Ohne weiteren (Monate dauernden) Einsatz wird man nicht zu "privaten" Bounty-Hunts eingeladen, was aber auch nicht wirklich einer Beauftragung entspricht. Mich haben die Zahlen von hackerone positiv überrascht. Wenn man aber dann sieht, dass sie sich über die Jahre (https://www.helpnetsecurity.com/2018/01/18/ethical-hacking-success/) nicht geändert haben und man davon ausgehen kann, dass die finanziell erfolgreichen Hacker immer die gleichen sind, dann sollte man dieses Thema nur als Hobby (bzw. Ergänzung zur Entwicklung) verfolgen.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.