Společnost Mozilla o rozšíření za vyplacení peněžních odměn za identifikaci bezpečnostních problémů v prvcích infrastruktury souvisejících s vývojem Firefoxu. Velikost bonusů za identifikaci zranitelností na webech a službách Mozilly byla zdvojnásobena a bonus za identifikaci zranitelností, které mohou vést ke spuštění kódu na , vynesl na 15 tisíc dolarů.
Za identifikaci metody autentizačního bypassu a substituce SQL můžete získat odměnu 6 tisíc dolarů a za cross-site skriptování a CSRF - 5 tisíc dolarů. Mezi klíčové stránky patří firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla. org
a několik desítek dalších stránek souvisejících s doplňky, aktualizacemi, stahováním, synchronizací a statistikami.
pro výše pojistného je přibližně dvakrát nižší. Mezi základní stránky patří observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org a některé interní služby pro vývojáře.
Oproti dříve platným podmínkám přibyly do počtu klíčových stránek a služeb:
- (služba digitálního podpisu),
- (služba pro automatické umístění kódu z
Phabricator v úložištích), - (nástroj pro správu kódu používaný ke kontrole změn),
- (rámec pro provádění úloh, který podporuje kontinuální integrační systém a procesy generování vydání).
Ze zmíněných nových základních míst:
- (monitor.firefox.com),
- (l10n.mozilla.org)
- Služba (řemínek nad platebním systémem Stripe),
- (dodatek s chránit provoz),
- (systém pro vysílání požadavků na generování vydání),
- (systém rozpoznávání řeči, který je základem rozhraní API pro rozpoznávání řeči).
Navíc můžete záměr aktivovat ve vydání Firefoxu 7 plánovaném na 72. ledna s otravnými požadavky na poskytnutí dalších pravomocí webu. Mnoho webů zneužívá možnost prohlížeče žádat o oprávnění, a to především tím, že pravidelně žádá o oznámení push. Telemetrická analýza ukázala, že 97 % takových požadavků je odmítnuto, včetně v 19 % případů uživatel okamžitě zavře stránku, aniž by kliknul na tlačítko souhlasit nebo odmítnout. Ve Firefoxu 72 budou takové požadavky zablokovány, pokud nebude zaznamenána interakce uživatele se stránkou (kliknutí myší nebo stisknutí klávesy).
Mezi nadcházejícími změnami ve Firefoxu 72 vynikají také následující: barvy pozadí aktuální stránky pro posuvník a vazby veřejného klíče (PKP, Public Key Pinning), která umožňuje pomocí HTTP hlavičky Public-Key-Pins explicitně určit certifikáty, které certifikační autority lze pro daný web použít. Důvodem je nízká poptávka po této funkci, riziko problémů s kompatibilitou (podpora PKP v Chrome) a možnost zablokovat svůj vlastní web kvůli vázání nesprávných klíčů nebo ztrátě klíčů (například náhodné smazání nebo kompromitace v důsledku hackování).
Zdroj: opennet.ru