在Chrome抓蟲(chóng)獎(jiǎng)勵(lì)活動(dòng)中，黑客們沒(méi)少幫助Google發(fā)現(xiàn)Chrome瀏覽器的安全問(wèn)題。
現(xiàn)在Google決定將這一活動(dòng)延伸到自己的網(wǎng)絡(luò)產(chǎn)品上，包括但不限于：

• *.google.com
• *.youtube.com
• *.blogger.com
• *.orkut.com

不過(guò)這次抓蟲(chóng)活動(dòng)僅限所有Google的在線產(chǎn)品，而不包括客戶端應(yīng)用（比如Android、Picasa、Google Desktop等），不過(guò)Google說(shuō)將來(lái)會(huì)有的。

另外就是，你把youtube.com通過(guò)DNS污染搞到訪問(wèn)不能是無(wú)法獲獎(jiǎng)的（方叫獸內(nèi)牛滿面），捉蟲(chóng)的范圍僅限：

• XSS
• XSRF / CSRF
• XSSI（包括跨網(wǎng)站腳本）
• 繞過(guò)授權(quán)控制（比如用戶A可以訪問(wèn)用戶B的私有數(shù)據(jù)）
• 服務(wù)器端代碼執(zhí)行或命令注入

出于對(duì)所有用戶正常訪問(wèn)的考慮，Google請(qǐng)求各位黑客不要使用自動(dòng)化的測(cè)試工具，另外黑客們還需要高抬貴手，避免出現(xiàn)以下情況：

• 攻擊Google公司的設(shè)施
• 物理攻擊和社會(huì)化工程
• 拒絕服務(wù)漏洞
• 非網(wǎng)頁(yè)應(yīng)用漏洞，包括客戶端應(yīng)用的漏洞
• SEO黑帽技術(shù)
• 以Google品牌交由第三方運(yùn)營(yíng)的網(wǎng)站
• 最近被Google收購(gòu)的技術(shù)里存在的bug

Google還強(qiáng)調(diào)，大家只能對(duì)自己的賬號(hào)或測(cè)試帳號(hào)下手，千萬(wàn)不要入侵愛(ài)好攝影的陳老師的個(gè)人帳戶，搞出新一輪的艷照門(mén)就不好玩了。也不要玩大規(guī)模拒絕服務(wù)攻擊之類(lèi)的低水平手段。

如果你真的發(fā)現(xiàn)了漏洞，可以聯(lián)系Google的安全人員，注意要發(fā)對(duì)了負(fù)責(zé)人。一旦你真的找到了漏洞，Google會(huì)支付給你500美元獎(jiǎng)金，如果漏洞足夠重大，獎(jiǎng)金甚至?xí)_(dá)到3113.7美元之多（由Google安全團(tuán)隊(duì)來(lái)決定）。一般來(lái)說(shuō)高水平黑客都不在乎錢(qián)這種浮云似的東西，所以Google也提供捐獻(xiàn)渠道。

高手們趕緊行動(dòng)起來(lái)吧，Google只會(huì)支付給第一個(gè)發(fā)現(xiàn)bug的人，你要是發(fā)現(xiàn)晚了就百忙活了。看起來(lái)Google對(duì)自己網(wǎng)絡(luò)產(chǎn)品的安全還是很有自信的，當(dāng)然這還是一個(gè)百密一疏的問(wèn)題，所以這次比賽肯定能幫助Google將自己的安全水平提升到新的級(jí)別。

最后說(shuō)說(shuō)截圖里的事件，這不是Google被黑了，而是Google自己犯下的一個(gè)錯(cuò)誤（號(hào)稱是把白名單跟黑名單的判斷給搞反了），此事發(fā)生在2009年1月31日夜里，谷粉們應(yīng)該印象深刻，這也是我印象中Google搜索出現(xiàn)的最嚴(yán)重的問(wèn)題。