Mozilla amplía el programa de recompensas por vulnerabilidades

Empresa Mozilla anunció el sobre la expansión iniciativas para el pago de recompensas monetarias por identificar problemas de seguridad en elementos de infraestructura relacionados con el desarrollo de Firefox. Se ha duplicado el importe de las bonificaciones por identificar vulnerabilidades en los sitios web y servicios de Mozilla, y la bonificación por identificar vulnerabilidades que pueden provocar la ejecución de código en sitios clave, elevado a 15 mil dólares.

Por identificar un método de omisión de autenticación y sustitución de SQL, puede obtener una recompensa de 6 mil dólares, y por secuencias de comandos entre sitios y CSRF, 5 mil dólares. Los sitios clave incluyen firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org
y varias docenas de sitios más relacionados con complementos, actualizaciones, descargas, sincronización y estadísticas.

para sitios base el monto de la prima es aproximadamente dos veces menor. Los sitios básicos incluyen observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org y algunos servicios internos para desarrolladores.

En comparación con las condiciones válidas anteriormente, se han agregado los siguientes a la cantidad de sitios y servicios clave:

• Autógrafo (servicio de firma digital),
• Lando (servicio de colocación automática de código desde
  Phabricator en repositorios),

• Fabrica (una herramienta de gestión de código utilizada para revisar cambios),
• grupo de tareas (un marco para realizar tareas que admite un sistema de integración continua y procesos de generación de versiones).

De los nuevos sitios base señalados:

• Monitor Firefox (monitor.firefox.com),
• Plataforma de localización (l10n.mozilla.org),
• Servicio Suscripción de pago (correa encima del sistema de pago Stripe),
• Red privada de Firefox (adición con apoderado para proteger el tráfico),
• Envíalo (sistema de transmisión de solicitudes para generar lanzamientos),
• Hablame (el sistema de reconocimiento de voz subyacente a la API de reconocimiento de voz).

Además, puede marca intención de activar en el lanzamiento de Firefox 7 previsto para el 72 de enero metodos de lucha con solicitudes molestas para proporcionar al sitio poderes adicionales. Muchos sitios abusan de la capacidad del navegador para solicitar permisos, principalmente solicitando periódicamente notificaciones automáticas. El análisis de telemetría mostró que el 97% de dichas solicitudes son rechazadas, incluso en el 19% de los casos el usuario cierra inmediatamente la página sin hacer clic en el botón aceptar o rechazar. En Firefox 72, dichas solicitudes se bloquearán a menos que se registre la interacción del usuario con la página (clic del mouse o pulsación de tecla).

Entre los próximos cambios en Firefox 72 también destaca el siguiente: utilizar colores de fondo de la página actual para la barra de desplazamiento y ahogarse capacidades enlaces de clave pública (PKP, Public Key Pinning), que permite, utilizando el encabezado HTTP Public-Key-Pins, determinar explícitamente qué certificados de autoridades de certificación se pueden utilizar para un sitio determinado. La razón citada es la baja demanda de esta función, el riesgo de problemas de compatibilidad (soporte PKP terminado en Chrome) y la capacidad de bloquear su propio sitio debido a la vinculación de claves incorrectas o la pérdida de claves (por ejemplo, eliminación accidental o compromiso como resultado de piratería).

Fuente: opennet.ru