Vlákno názorů k článku
DoS zranitelnost prohlížeče Chrome a všech derivátů od Ondřej Surý - > Pino spoke with The Register exclusively about...

Mají jeho e-mail na blacklistu... - nebo se jim prostě něco nelíbilo.
Žel, na Google řešeních poslední dobou celkem běžná věc.

Ze byl email dorucen do sfery vlivu prijemce si odesilatel overit muze v celku snadno. A pokud to ve svere prijemce bylo pozrano nekde dal, je to problem na strane prijemce. RFC jasne rika, ze kdyz email prijmete, nesete odpovednost za jeho dalsi zpracovani. A jestli se tim Google neridi, je to... ehm, jeho problem.

Ovšem že to bylo Googlu oznámeno e-mailem je vaše ničím nepodložená domněnka. Navíc do sféry vlivu příjemce (Googlu) spadá i hlavní účetní okrašlovacího spolku zaměstnanců Maďarské pobočky Googlu, nicméně poslat jí e-mail s chybou v Chrome bych nepovažoval za řádný způsob oznámení bezpečnostní chyby.

Google má pro hlášení bezpečnostních chyb formulář, Chromium má také svůj formulář pro hlášení bezpečnostních chyb. Pochybuju, že by na hlášení chyb přes tyto formuláře nepřišla žádná reakce.

Zajiste, ono se nikdy v zadnem korporatu neco nekde nezabordelilo :-) A ted nam jeste povezte pohadku O Cervene Karkulce.

Ale kdyz je tak rad obhajujete, tak tady mate jiny priklad toho, kdy Google oznameni nejdrive bagatelizoval ;-) A vcil mudrujte...

Danny: A zase to vaše demagogické ohýbání diskuse. Nereagovat na oznámení a bagatelizovat ho jsou dvě odlišné věci.

Vlivem bagatelizace oznameni muze nastat i stav, kdy se vubec nezareaguje zeano. Ale to vy, coby sociopat chapat nemuzete :)

Jenze to by google mail musel fungovat. Tento tyden jsem poslal par souboru zakaznikovi - v mail logu bylo jasne prevzeti - a prijemce to nedostal. Nemel to ani ve spamu... takze tolik k odpovednosti u SMTP :)

Google je hnuj nejvetsi. Pravdy se tam nedohledate.

Tohle je u Google dlouhodobé chování. Nepředvidatelná "antispam" AI, která v klidu vrátí 250, aby ten mail prostě z nějakého důvodu smazala. A supportu se ani odesilatel, ani zákazník, samozřejmě nedovolá.

Tohle je sice od konkurenční platformy, ale soudím, že u Google to bude zrovna tak. (Zestručněno - radikálně.)
Po dlouhém dobývání se na podporu e-mailu:
- Nebyl mi doručen e-mail, na který čekám. Ani do spamu ne.
- Jak můžete vědět, že vám byl vůbec doručen? Co když jej odesílatel prostě neodeslal?
- Odesílatelem jsem já, na jiném systému. Zpráva byla normálně odeslána až na váš server.
- Naše servery mohou podezřelé zprávy odmítnout. O důvodu posílají zpět krátkou informaci. Prosím, přepošlete nám tuto zprávu, abychom zjistili důvod odmítnutí.
- Žádnou takovou zprávu jsem nedostal, e-mail byl normálně předán na server.
- Není možné, že tuto zprávu váš server odmítl?
- Možné by to bylo, ale já v logu vidím, že zpráva byla na váš server předána v pořádku. Nic dalšího.
- Ve výjimečných případech je možné, že z bezpečnostních důvodů se zpráva neposílá, například jako prevence DDoS útoků, nebo pokud přichází ze serverů, zneužívaných k rozesílání spamu.
- Tohle byla obyčejná, nekomplikovaná zpráva z velkého e-mailového providera. Můžete mi sdělit, zda je blokován, či zda není omylem blokován e-mail odesílatele?
- To nelze, tato informace by byla zneužitelná.
- Můžete mi zaručit, že se to nebude opakovat? Že se na náš (placený) e-mailový server doručí všechny zprávy, které potřebujeme?
- Ne, ale zaručujeme vám, že filtrování zpráv podléhá důkladnému posouzení, aby se zabránilo doručení potenciálně nebezpečných či obtěžujících zpráv. Je to pro dobro našich zákazníků..

Tak my to vime, ze bordel je u nich... ale k Jirsakum to nedoteklo a tak nam tu omlouva Google, sec mu sily staci... :-)

Jasně, „bezpečnostní odborník“ se stará hlavně pro to, aby objevené chybě dal jméno, vytvořil pro ní web a poslal to do médií – ale že by třeba zaregistroval CVE, to ne. Proč bych si měl myslet, že to Google oznámil tak, jak se mají hlásit bezpečnostní chyby? Pro hlášení bezpečnostních chyb má Chrome i Chromium webové formuláře. Ale Danny tady bude pořád plácat hlouposti o e-mailech. Asi jste v tom hledání formuláře pro hlášení bezpečnostních chyb stejně dobrý, jako Jose Pino.

K ziskani CVE se musite obratit na partnera (CNA). A tim je zrovnatak krom jineho i Google. Jasne, ale podle vasi "pseudologiky" by byrokracii za Google mel asi vyrizovat nekdo jiny (tedy jina CNA), ze? ;-) Plus se dozadujete zkoumat korporatni vymysly typu "specialni formular", ktery zacina tim, ze to po vas chce prihlaseni Google uctem. Takze aby meli u Jirsaku klid, vsichni si musi zaridit ucet u Google, ze? ;-) No je videt, ze teoretizujete, ale jak ten vas formular funguje nevite.

Já vím, že v tom formuláři je odkaz pro případ, že se nemůžete přihlásit Google účtem. Takže mne zase obviňujete z neznalosti, přitom to ale nevíte sám.

https://www.google.com/.well-known/security.txt

Contact: https://g.co/vulnz
Contact: mailto:securi­ty@google.com
Encryption: https://services.google.com/corporate/publickey.txt
Acknowledgments: https://bughunters.google.com/
Policy: https://g.co/vrp
Hiring: https://g.co/SecurityPrivacyEngJobs
Expires: 2030-04-01T00:00:00z

Wasper: To se týká webu google.com, ne prohlížeče.

1. 11. 2025, 21:13 editováno autorem komentáře

https://www.rfc-editor.org/rfc/rfc9116.txt

Ano, doporučuji zaměřit se zejména a sekci 3 a 3.1.

A tak jo... :-) Mozna byste si to mel precist lip...
A "security.txt" file MUST only apply to the domain or IP address in the URI used to retrieve it, not to any of its subdomains or parent domains. A "security.txt" file MAY also apply to products and services provided by the organization publishing the file.

Chcete nam rict, ze https://www.google.com/intl/cs_CZ/chrome/ neni domenou/URI, ktereho se vyse odkazovany security.txt tyka? :-) Vas vyklad RFC9116 se zda byti skutecne bizarni.

Danny: Očekával jsem, že vy se budete tvářit, že tam to MAY buď vůbec nevidíte, nebo nechápete, co MAY v RFC znamená.

A on to publikovany security.txt nejak omezuje? Kdyz si jeho formy vsimnete, obsahuje dva kontakty - prvnim je odkaz na ten vas formular, druhym... badumtss... prave email. Z pohledu RFC9116 jsou kontakty rovnocenne, RFC pouze rika ze preference protistrany je dana jejich poradim. Ale z toho nelze dovozovat, ze ten druhy pouzit nemuzete. To je od pocatku vas chybny konstrukt.

Danny: Zase vaše typická reakce na úplně něco jiného, než o čem byl váš původní komentář a moje reakce na něj.

Tak vy tu porad blabolite neco o tom, ze formular na webu je jedina spravna forma kontaktu, ale ono to tak proste a jednoduse neni. Pokud jako bezpecnostni vyzkumnik najdu v security.txt kontaktni email, tak jej pro sve hlaseni pouzit muzu, zvlast pokud narazim na bariery typu "nutnost disponovat uctem" - viz nize....

Použít pro hlášení chyb můžete co chcete, můžete to poslat třeba poštou do televize. Akorát se pak nesmíte divit, že o té chybě neví ten, kdo by ji mohl opravit.

Pořád to nic nemění na tom, že kontakty uvedené v odkazovaném security.txt nejsou kontakty určené k hlášení bezpečnostních chyb v Google Chrome. Což zjistí každý, kdo si přečte RFC 9116, zejména sekce 3 a 3.1, přečte si soubor https://www.google.com/.well-known/security.txt a v něm odkazovanou politiku https://bughunters.google.com/about/rules/google-friends/6625378258649088/google-and-alphabet-vulnerability-reward-program-vrp-rules Jenže vy chcete jenom útočit a znalosti by vás v tom zbytečně omezovaly, že.

A taky ma dalsi dokumentaci, kde i na email odkazuje. A podle vas je teda pri tom sermu odkazy v poradku, ze vse co odkazujete vyzaduje prihlaseni Google uctem? ;-) Tedy mimo jine odsouhlasit dalsi na to navazane veci. Utocite predevsim vy, kdyz chronicky zpochybnujete oznameni bezpecniho incidentu pomoci emailu. Akorat vase argumentace kulha na obe nohy.

Utocite predevsim vy, kdyz chronicky zpochybnujete oznameni bezpecniho incidentu pomoci emailu.
Aha, a na koho tím útočím?

Jinak pokud lze bezpečnostní chyby hlásit přes webový formulář, dokonce je to preferovaná cesta, pak je na místě zpochybňovat vaše ničím nepodložené tvrzení, že určitě zašantročili e-mail.

Ale vůbec mne nepřekvapuje, že právě vy obhajujete uznávaného bezpečnostního odborníka, jehož hlavní starostí je, aby chyba měla název, logo a web, ale oprava chyby ho nijak moc nezajímá.

Howgh.

No, argumentujete tu tim, ze Google neco nevedel a cely konstrukt tocite kolem toho, ze to slo emailem a nikoliv pres nejaky pripitomely formular, ke kteremu se bez Google uctu ani nedostanete. Jenze ono Google nekolik tech security-related emailu ma a pokud si to uvnitr korporatu neumi spravne predat, je to proste jejich problem - a ne problem toho, kdo bezpecnostni incident reportuje zpusobem, ktery nenarazi na umele bariery - mj. na nutnost disponovat uctem u Google.

Ano, na tom "novem" je If you are unable to log in, use our old form instead. Na "starem" kdyz vyberu I want to report a technical security or an abuse risk related bug in a Google product, a zde po vyplneni jmena a emalu vyberu Google Chrome, Chrome OS... tak tam zadny formular k vyplneni neni, je tam jen text hovorici o Chrome Vulnerability Rewards Program, kde na nahlaseni tam je odkaz, kde zacinate... badumtss... prihlasenim ke google uctu :-)

Jo, tak to vypada, kdyz borec z korporatu se snazi obhajit korporatni bordel a pritom sam nevi, jaky bordel v tom korporatu maji :-)