Mozilla erweitert Vulnerability Bounty-Programm

Mozilla-Unternehmen kündigte die über Expansion Initiativen für die Zahlung einer Geldprämie für die Identifizierung von Sicherheitsproblemen in Infrastrukturelementen im Zusammenhang mit der Entwicklung von Firefox. Die Höhe der Boni für die Identifizierung von Schwachstellen auf Mozilla-Websites und -Diensten wurde verdoppelt, ebenso wie die Prämie für die Identifizierung von Schwachstellen, die zur Codeausführung führen können Schlüsselstandorte, auf 15 Dollar gebracht.

Für die Identifizierung einer Authentifizierungsumgehungsmethode und SQL-Ersetzung können Sie eine Belohnung von 6 Dollar erhalten, für Cross-Site-Scripting und CSRF - 5 Dollar. Zu den wichtigsten Websites gehören firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org
und mehrere Dutzend weitere Websites zu Add-ons, Updates, Downloads, Synchronisierung und Statistiken.

für Basisstandorte die Prämienhöhe ist etwa doppelt so hoch. Zu den Basisseiten gehören observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org und einige interne Dienste für Entwickler.

Im Vergleich zu den bisher gültigen Konditionen wurden die Anzahl der wesentlichen Standorte und Dienste um Folgendes erweitert:

• Autogramm (digitaler Signaturdienst),
• Lando (Dienst zur automatischen Platzierung von Code von
  Phabricator in Repositories),

• Flechter (ein Codeverwaltungstool zur Überprüfung von Änderungen),
• Taskcluster (ein Framework zum Ausführen von Aufgaben, das ein kontinuierliches Integrationssystem und Release-Generierungsprozesse unterstützt).

Von den neuen Basisstandorten sind folgende aufgeführt:

• Firefox-Überwachung (monitor.firefox.com),
• Lokalisierungsplattform (l10n.mozilla.org),
• Service Zahlungsabonnement (Riemen über dem Stripe-Zahlungssystem),
• Firefox Privates Netzwerk (Ergänzung mit Stellvertreter zum Schutz des Verkehrs),
• Es versenden (System zur Übermittlung von Anfragen zur Generierung von Veröffentlichungen),
• Sprich zu mir (das Spracherkennungssystem, das der Speech Recognition API zugrunde liegt).

Darüber hinaus können Sie Markierung Absicht, in der für den 7. Januar geplanten Veröffentlichung von Firefox 72 zu aktivieren Methoden des Kampfes mit lästigen Anfragen, der Site zusätzliche Befugnisse zu verleihen. Viele Websites missbrauchen die Fähigkeit des Browsers, Berechtigungen anzufordern, hauptsächlich indem sie regelmäßig nach Push-Benachrichtigungen fragen. Die Telemetrieanalyse ergab, dass 97 % dieser Anfragen abgelehnt werden. In 19 % der Fälle schließt der Benutzer die Seite sofort, ohne auf die Schaltfläche „Zustimmen“ oder „Ablehnen“ zu klicken. In Firefox 72 werden solche Anfragen blockiert, es sei denn, die Benutzerinteraktion mit der Seite (Mausklick oder Tastendruck) wird aufgezeichnet.

Unter den bevorstehenden Änderungen in Firefox 72 sticht auch Folgendes hervor: verwenden Hintergrundfarben der aktuellen Seite für Bildlaufleiste und ertrinken Fähigkeiten Public-Key-Bindungen (PKP, Public Key Pinning), die es ermöglichen, mithilfe des Public-Key-Pins-HTTP-Headers explizit zu bestimmen, welche Zertifikate welche Zertifizierungsstellen für eine bestimmte Site verwendet werden können. Als Grund werden die geringe Nachfrage nach dieser Funktion und die Gefahr von Kompatibilitätsproblemen (PKP-Unterstützung) genannt beendet in Chrome) und die Möglichkeit, Ihre eigene Website aufgrund der Bindung falscher Schlüssel oder des Verlusts von Schlüsseln (z. B. versehentliches Löschen oder Kompromittierung durch Hacking) zu blockieren.

Source: opennet.ru