Mozilla laajentaa Vulnerability Bounty -ohjelmaa

Mozilla Company ilmoitti laajentamisesta aloitteita rahallisten palkkioiden maksamiseen Firefoxin kehittämiseen liittyvien infrastruktuurielementtien tietoturvaongelmien tunnistamisesta. Bonusten koko Mozilla-sivustojen ja -palveluiden haavoittuvuuksien tunnistamisesta on kaksinkertaistettu ja bonus haavoittuvuuksien tunnistamisesta, jotka voivat johtaa koodin suorittamiseen tärkeimmät sivustot, tuotu 15 tuhanteen dollariin.

Todennuksen ohitusmenetelmän ja SQL-korvauksen tunnistamisesta voit saada palkkion 6 tuhatta dollaria ja sivustojen välisestä komentosarjasta ja CSRF:stä - 5 tuhatta dollaria. Tärkeimmät sivustot ovat firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla. org
ja useita kymmeniä muita sivustoja, jotka liittyvät lisäosiin, päivityksiin, latauksiin, synkronointiin ja tilastoihin.

varten perussivustot palkkion määrä on noin kaksi kertaa pienempi. Perussivustoja ovat observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org ja joitain sisäisiä palveluita kehittäjille.

Aiemmin voimassa oleviin ehtoihin verrattuna tärkeimpien sivustojen ja palveluiden määrään on lisätty seuraavat:

• omakätinen nimikirjoitus (digitaalinen allekirjoituspalvelu),
• Lando (palvelu koodin automaattiseen sijoittamiseen osoitteesta
  Tekijä arkistoissa),

• phabricator (koodinhallintatyökalu, jota käytetään muutosten tarkistamiseen),
• Tehtäväklusteri (jatkuvaa integraatiojärjestelmää ja julkaisujen luontiprosesseja tukeva tehtävien suorittamisen viitekehys).

Uusista tukisivustoista mainittiin:

• Firefox-näyttö (monitor.firefox.com),
• Lokalisointialusta (l10n.mozilla.org),
• Työkalut Maksun tilaus (hihna Stripe-maksujärjestelmän yläpuolella),
• Firefoxin yksityinen verkko (lisäys kanssa välityspalvelin liikenteen suojelemiseksi)
• Lähetä se (järjestelmä julkaisujen luomista koskevien lähetyspyyntöjen lähettämiseen),
• Puhu minulle (puheentunnistusjärjestelmä, joka on Speech Recognition API:n taustalla).

Lisäksi voit merkki aikomus aktivoida Firefox 7:n julkaisussa 72. tammikuuta taistelumenetelmiä ärsyttävillä pyynnöillä tarjota sivustolle lisävaltuuksia. Monet sivustot käyttävät väärin selaimen kykyä pyytää käyttöoikeuksia lähinnä pyytämällä ajoittain push-ilmoituksia. Telemetria-analyysi osoitti, että 97 prosenttia tällaisista pyynnöistä hylätään, mukaan lukien 19 prosentissa tapauksista käyttäjä sulkee sivun välittömästi ilman, että napsautat hyväksy- tai hylkäämispainiketta. Firefox 72:ssa tällaiset pyynnöt estetään, ellei käyttäjän vuorovaikutusta sivun kanssa (hiiren napsautus tai näppäinpainallus) tallenneta.

Firefox 72:n tulevista muutoksista erottuu myös seuraava: käyttö nykyisen sivun taustavärit vierityspalkin ja poistaminen mahdollisuuksia julkisen avaimen sidokset (PKP, julkisen avaimen kiinnitys), jonka avulla voidaan Public-Key-Pins HTTP-otsikon avulla nimenomaisesti määrittää varmenteita, joiden varmentajia voidaan käyttää tietylle sivustolle. Mainittu syy on tämän toiminnon alhainen kysyntä, yhteensopivuusongelmien riski (PKP-tuki lopetettu Chromessa) ja mahdollisuus estää oma sivustosi väärien avainten sitomisen tai avainten katoamisen (esimerkiksi tahattoman poistamisen tai hakkeroinnin seurauksena vaarantumisen) vuoksi.

Lähde: opennet.ru