Mozilla proširuje program naplate ranjivosti

Mozilla Company najavljeno o ekspanziji inicijativama za isplatu novčane nagrade za utvrđivanje sigurnosnih problema u elementima infrastrukture koji se odnose na razvoj Firefoxa. Veličina bonusa za identifikaciju ranjivosti na Mozilla web stranicama i servisima je udvostručena, a bonus za identifikaciju ranjivosti koje mogu dovesti do izvršenja koda na ključne lokacije, doveo do 15 hiljada dolara.

Za identifikaciju metode zaobilaženja autentifikacije i SQL zamjenu možete dobiti nagradu od 6 hiljada dolara, a za cross-site skriptovanje i CSRF - 5 hiljada dolara. Ključne stranice uključuju firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla org
i još nekoliko desetina sajtova vezanih za dodatke, ažuriranja, preuzimanja, sinhronizaciju i statistiku.

Do bazne lokacije iznos premije je otprilike dva puta manji. Osnovne stranice uključuju observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org i neke interne usluge za programere.

U poređenju sa prethodno važećim uslovima, na broj ključnih sajtova i usluga dodato je sledeće:

• Autogram (usluga digitalnog potpisa),
• Lando (servis za automatsko postavljanje koda od
  fabrikator u repozitorijumu),
• Fabrikator (alat za upravljanje kodom koji se koristi za pregled promjena),
• Taskcluster (okvir za izvođenje zadataka koji podržava kontinuirani sistem integracije i procese generiranja izdanja).

Od novih baznih lokacija navedeno je:

• Firefox Monitor (monitor.firefox.com),
• Platforma za lokalizaciju (l10n.mozilla.org)
• usluga Pretplata na plaćanje (kaiš iznad Stripe sistema plaćanja),
• Firefox privatna mreža (dodatak sa proxy za zaštitu saobraćaja),
• Pošalji (sistem za emitovanje zahtjeva za generiranje izdanja),
• Pričaj sa mnom (sistem za prepoznavanje govora koji leži u osnovi API-ja za prepoznavanje govora).

Osim toga, možete oznaka Namjera da se aktivira u izdanju Firefoxa 7 zakazanom za 72. januar metode borbe s dosadnim zahtjevima da se stranici daju dodatna ovlaštenja. Mnoge web stranice zloupotrebljavaju mogućnost pretraživača da traži dozvole, uglavnom povremeno tražeći push obavijesti. Telemetrijska analiza je pokazala da se 97% takvih zahtjeva odbije, uključujući u 19% slučajeva korisnik odmah zatvori stranicu bez klikanja na dugme saglasan ili odbij. U Firefoxu 72, takvi zahtjevi će biti blokirani osim ako se ne zabilježi interakcija korisnika sa stranicom (klik mišem ili tipka).

Među nadolazećim promjenama u Firefoxu 72 ističu se i sljedeće: korištenje boje pozadine trenutne stranice za traku za pomicanje i brisanje mogućnosti Vezivanja javnog ključa (PKP, Public Key Pinning), koji omogućava, koristeći HTTP zaglavlje Public-Key-Pins, da se eksplicitno odredi certifikate od kojih se ovlaštenja za certifikaciju mogu koristiti za datu lokaciju. Navedeni razlog je mala potražnja za ovom funkcijom, rizik od problema s kompatibilnošću (podrška za PKP prekinut u Chromeu) i mogućnost blokiranja vlastite web lokacije zbog vezivanja pogrešnih ključeva ili gubitka ključeva (na primjer, slučajno brisanje ili kompromitiranje kao rezultat hakiranja).

izvor: opennet.ru