Société Mozilla étendre pour le paiement de récompenses monétaires pour l'identification de problèmes de sécurité dans les éléments d'infrastructure liés au développement de Firefox. La taille des bonus pour l'identification des vulnérabilités sur les sites et services Mozilla a été doublée, et le bonus pour l'identification des vulnérabilités pouvant conduire à l'exécution de code sur , porté à 15 mille dollars.
Pour identifier une méthode de contournement d'authentification et une substitution SQL, vous pouvez obtenir une récompense de 6 5 dollars, et pour les scripts intersites et CSRF - XNUMX XNUMX dollars. Les sites clés incluent firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org
et plusieurs dizaines d'autres sites liés aux modules complémentaires, aux mises à jour, aux téléchargements, à la synchronisation et aux statistiques.
Pour le montant de la prime est environ deux fois inférieur. Les sites de base incluent observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org et certains services internes destinés aux développeurs.
Par rapport aux conditions précédemment en vigueur, ont été ajoutés au nombre de sites et services clés :
- (service de signature numérique),
- (service de placement automatique du code à partir de
Phabricator dans les référentiels), - (un outil de gestion de code utilisé pour revoir les modifications),
- (un cadre pour effectuer des tâches qui prend en charge un système d'intégration continue et des processus de génération de versions).
Parmi les nouveaux sites de base notés :
- (monitor.firefox.com),
- (l10n.mozilla.org),
- Service (sangle au dessus du système de paiement Stripe),
- (ajout avec pour protéger le trafic),
- (système de diffusion des demandes de génération de releases),
- (le système de reconnaissance vocale sous-jacent à l'API de reconnaissance vocale).
De plus, vous pouvez intention d'activer dans la sortie de Firefox 7 prévue pour le 72 janvier avec des demandes ennuyeuses pour doter le site de pouvoirs supplémentaires. De nombreux sites abusent de la capacité du navigateur à demander des autorisations, principalement en demandant périodiquement des notifications push. L'analyse télémétrique a montré que 97 % de ces demandes sont rejetées, et que dans 19 % des cas, l'utilisateur ferme immédiatement la page sans cliquer sur le bouton d'accord ou de rejet. Dans Firefox 72, ces demandes seront bloquées à moins que l'interaction de l'utilisateur avec la page (clic de souris ou appui sur une touche) ne soit enregistrée.
Parmi les changements à venir dans Firefox 72, les suivants se démarquent également : couleurs d'arrière-plan de la page actuelle pour la barre de défilement et des liaisons de clés publiques (PKP, Public Key Pinning), qui permettent, à l'aide de l'en-tête HTTP Public-Key-Pins, de déterminer explicitement les certificats dont les autorités de certification peuvent être utilisées pour un site donné. La raison invoquée est la faible demande pour cette fonction, le risque de problèmes de compatibilité (support PKP dans Chrome) et la possibilité de bloquer votre propre site en raison de la liaison de mauvaises clés ou de la perte de clés (par exemple, suppression accidentelle ou compromission suite à un piratage).
Source: opennet.ru