Η Mozilla επεκτείνει το Πρόγραμμα Bounty για ευπάθειες

Εταιρεία Mozilla ανακοινώθηκε σχετικά με την επέκταση πρωτοβουλίες για την καταβολή χρηματικών ανταμοιβών για τον εντοπισμό ζητημάτων ασφαλείας σε στοιχεία υποδομής που σχετίζονται με την ανάπτυξη του Firefox. Το μέγεθος των ανταμοιβών για τον εντοπισμό τρωτών σημείων σε ιστότοπους και υπηρεσίες Mozilla έχει διπλασιαστεί και η ανταμοιβή για τον εντοπισμό τρωτών σημείων που θα μπορούσαν να οδηγήσουν σε εκτέλεση κώδικα σε βασικούς ιστότοπους, έφτασε στις 15 χιλιάδες δολάρια.

Για τον προσδιορισμό μιας μεθόδου παράκαμψης ελέγχου ταυτότητας και αντικατάστασης SQL, μπορείτε να λάβετε ανταμοιβή 6 χιλιάδων δολαρίων και για δέσμες ενεργειών μεταξύ τοποθεσιών και CSRF - 5 χιλιάδες δολάρια. Οι βασικοί ιστότοποι περιλαμβάνουν firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org
και αρκετές δεκάδες ακόμη τοποθεσίες που σχετίζονται με πρόσθετα, ενημερώσεις, λήψεις, συγχρονισμό και στατιστικά στοιχεία.

Για τοποθεσίες βάσης το ποσό της πριμοδότησης είναι περίπου δύο φορές μικρότερο. Οι βασικοί ιστότοποι περιλαμβάνουν τα observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org και ορισμένες εσωτερικές υπηρεσίες για προγραμματιστές.

Σε σύγκριση με τις προηγούμενες ισχύουσες συνθήκες, τα ακόλουθα έχουν προστεθεί στον αριθμό των βασικών τοποθεσιών και υπηρεσιών:

• Αυτόγραφο (υπηρεσία ψηφιακής υπογραφής),
• Lando (υπηρεσία αυτόματης τοποθέτησης κωδικού από
  Phabricator σε αποθετήρια),
• Διευθυντής (ένα εργαλείο διαχείρισης κώδικα που χρησιμοποιείται για τον έλεγχο αλλαγών),
• Σύμπλεγμα εργασιών (ένα πλαίσιο για την εκτέλεση εργασιών που υποστηρίζει ένα σύστημα συνεχούς ολοκλήρωσης και διαδικασίες παραγωγής απελευθέρωσης).

Από τις νέες τοποθεσίες βάσης που σημειώθηκαν:

• Παρακολούθηση Firefox (monitor.firefox.com),
• Πλατφόρμα εντοπισμού (l10n.mozilla.org),
• Υπηρεσίες Συνδρομή πληρωμής (λουράκι πάνω από το σύστημα πληρωμών Stripe),
• Ιδιωτικό δίκτυο Firefox (προσθήκη με proxy για την προστασία της κυκλοφορίας),
• Αποστολή Το (σύστημα μετάδοσης αιτημάτων για τη δημιουργία εκδόσεων),
• Μίλα Σε Μου (το σύστημα αναγνώρισης ομιλίας που βρίσκεται κάτω από το Speech Recognition API).

Επιπλέον μπορείτε σημάδι πρόθεση ενεργοποίησης στην κυκλοφορία του Firefox 7 που έχει προγραμματιστεί για τις 72 Ιανουαρίου μεθόδους αγώνα με ενοχλητικά αιτήματα για παροχή πρόσθετων εξουσιών στον ιστότοπο. Πολλοί ιστότοποι κάνουν κατάχρηση της ικανότητας του προγράμματος περιήγησης να ζητά άδειες, κυρίως ζητώντας περιοδικά ειδοποιήσεις push. Η ανάλυση τηλεμετρίας έδειξε ότι το 97% τέτοιων αιτημάτων απορρίπτονται, συμπεριλαμβανομένου του 19% των περιπτώσεων ο χρήστης κλείνει αμέσως τη σελίδα χωρίς να κάνει κλικ στο κουμπί συμφωνώ ή απόρριψη. Στον Firefox 72, τέτοια αιτήματα θα αποκλειστούν εκτός εάν καταγραφεί η αλληλεπίδραση του χρήστη με τη σελίδα (κλικ του ποντικιού ή πάτημα πλήκτρων).

Ανάμεσα στις επερχόμενες αλλαγές στον Firefox 72, ξεχωρίζουν επίσης τα εξής: η χρήση του τρέχοντα χρώματα φόντου σελίδας για τη γραμμή κύλισης και διαγραφή ευκαιρίες Το Public Key Pinning (PKP), το οποίο επιτρέπει τη χρήση της κεφαλίδας HTTP Public-Key-Pins, για να προσδιοριστεί ρητά ποιες αρχές πιστοποίησης πιστοποιούν τα πιστοποιητικά που μπορούν να χρησιμοποιηθούν για έναν δεδομένο ιστότοπο. Ο λόγος που αναφέρεται είναι η χαμηλή ζήτηση για αυτήν τη λειτουργία, ο κίνδυνος προβλημάτων συμβατότητας (υποστήριξη PKP) τερματίστηκε στο Chrome) και τη δυνατότητα αποκλεισμού του δικού σας ιστότοπου λόγω δέσμευσης λανθασμένων κλειδιών ή απώλειας κλειδιών (για παράδειγμα, κατά λάθος διαγραφή ή παραβίαση ως αποτέλεσμα εισβολής).

Πηγή: opennet.ru