Mozilla laiendab haavatavuse bounty programmi

Mozilla ettevõte kuulutas välja laienemise kohta algatused rahaliste preemiate maksmiseks Firefoxi arendamisega seotud infrastruktuuri elementide turvaprobleemide tuvastamise eest. Boonuste suurus Mozilla veebisaitide ja teenuste haavatavuste tuvastamise eest on kahekordistunud ning boonus turvaaukude tuvastamise eest, mis võivad viia koodi käivitamiseni võtmekohad, tõi 15 tuhat dollarit.

Autentimisest möödaviigumeetodi ja SQL-i asendamise tuvastamise eest saate tasu 6 tuhat dollarit ning saidiülese skriptimise ja CSRF-i eest - 5 tuhat dollarit. Peamiste saitide hulka kuuluvad firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla. org
ja veel mitukümmend saiti, mis on seotud lisandmoodulite, värskenduste, allalaadimiste, sünkroonimise ja statistikaga.

eest baassaidid lisatasu summa on ligikaudu kaks korda väiksem. Põhisaitide hulka kuuluvad observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org ja mõned arendajatele mõeldud siseteenused.

Võrreldes varem kehtinud tingimustega on võtmekohtade ja teenuste hulka lisatud:

• Autogramm (digitaalallkirja teenus),
• Lando (teenus koodi automaatseks paigutamiseks alates
  Fabricator hoidlates),

• Phabricator (koodihaldustööriist, mida kasutatakse muudatuste ülevaatamiseks),
• Taskcluster (ülesannete täitmise raamistik, mis toetab pidevat integreerimissüsteemi ja väljalasete genereerimise protsesse).

Uutest baassaitidest märgiti:

• Firefoxi monitor (monitor.firefox.com),
• Lokaliseerimisplatvorm (l10n.mozilla.org)
• Teenus Makse tellimus (rihm maksesüsteemi Stripe kohal),
• Firefoxi eravõrk (lisand koos volikiri liikluse kaitsmiseks),
• Saatke see (väljaannete genereerimise taotluste edastamise süsteem),
• Räägi minuga (Kõnetuvastuse API aluseks olev kõnetuvastussüsteem).

Lisaks saate märk kavatsus aktiveerida Firefox 7 väljalaskes, mis on kavandatud 72. jaanuariks võitluse meetodid tüütute taotlustega anda saidile täiendavaid volitusi. Paljud saidid kuritarvitavad brauseri lubade taotlemise võimalust, peamiselt küsides perioodiliselt tõuketeateid. Telemeetria analüüs näitas, et 97% sellistest päringutest lükatakse tagasi, sh 19% juhtudest sulgeb kasutaja lehe koheselt ilma nõus või tagasilükkamise nuppu vajutamata. Firefox 72 puhul blokeeritakse sellised päringud, välja arvatud juhul, kui kasutaja interaktsiooni lehega (hiireklõps või klahvivajutus) salvestatakse.

Firefox 72 eelseisvate muudatuste hulgas torkab silma ka järgmine: kasutamise praeguse lehe taustavärvid kerimisribale ja kustutamine võimalusi avaliku võtme sidumine (PKP, Public Key Pinning), mis võimaldab Public-Key-Pins HTTP päise abil selgesõnaliselt määrata, milliste sertifitseerimisasutuste sertifikaate antud saidi jaoks kasutada saab. Põhjuseks on selle funktsiooni vähene nõudlus, ühilduvusprobleemide oht (PKP tugi lõpetatud Chrome'is) ja võimalus blokeerida oma sait valede võtmete sidumise või võtmete kaotamise tõttu (nt kogemata kustutamine või häkkimise tagajärjel ohtu sattumine).

Allikas: opennet.ru