Mozilla wreidet kwetsberens Bounty Program út

Mozilla Company oankundige oer útwreiding inisjativen foar it beteljen fan monetêre beleanningen foar it identifisearjen fan feiligensproblemen yn ynfrastruktuer-eleminten yn ferbân mei de ûntwikkeling fan Firefox. De grutte fan bonussen foar it identifisearjen fan kwetsberens op Mozilla-websides en tsjinsten is ferdûbele, en de bonus foar it identifisearjen fan kwetsberens dy't kinne liede ta koade-útfiering op kaai ​​sites, brocht oan 15 tûzen dollar.

Foar it identifisearjen fan in autentikaasje-bypassmetoade en SQL-ferfanging kinne jo in beleanning krije fan 6 tûzen dollar, en foar cross-site skripting en CSRF - 5 tûzen dollar. Wichtige siden binne firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla. org
en ferskate tsientallen mear siden yn ferbân mei tafoegings, updates, downloads, syngronisaasje en statistiken.

foar basis sites de preemje bedrach is likernôch twa kear minder. Basissiden omfetsje observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org en guon ynterne tsjinsten foar ûntwikkelders.

Yn ferliking mei de earder jildige betingsten binne de folgjende tafoege oan it oantal wichtige siden en tsjinsten:

• Hantekening (tsjinst foar digitale hantekening),
• Landau (tsjinst foar automatyske pleatsing fan koade fan
  Phabricator yn repositories),

• Phabricator (in ark foar koadebehear dat brûkt wurdt om wizigingen te besjen),
• Taskcluster (in ramt foar it útfieren fan taken dy't stipet in trochgeande yntegraasje systeem en release generaasje prosessen).

Fan 'e nije basissites opmurken:

• Firefox Monitor (monitor.firefox.com),
• Lokalisaasje platfoarm (l10n.mozilla.org),
• tsjinst Betelling Abonnemint (riem boppe it Stripe-betelsysteem),
• Firefox privee netwurk (oanfolling mei proxy om ferkear te beskermjen),
• Ferstjoer it (systeem foar it útstjoeren fan oanfragen foar it generearjen fan releases),
• Praat mei my (it spraakherkenningssysteem dat de spraakherkennings-API leit).

Derneist kinne jo mark fan doel om te aktivearjen yn 'e frijlitting fan Firefox 7 pland foar 72 jannewaris metoaden fan striid mei ferfelende fersiken om de side ekstra foech te jaan. In protte siden misbrûke it fermogen fan 'e browser om tagongsrjochten oan te freegjen, benammen troch periodyk om push-notifikaasjes te freegjen. Telemetry-analyze die bliken dat 97% fan sokke oanfragen ôfwiisd wurde, ynklusyf yn 19% fan 'e gefallen slút de brûker de side daliks sûnder te klikken op de akkoard of ôfwize knop. Yn Firefox 72 sille sokke oanfragen blokkearre wurde, útsein as brûkersynteraksje mei de side (mûsklik of toetsdruk) wurdt opnommen.

Under de kommende wizigingen yn Firefox 72 falt it folgjende ek op: it brûken fan aktuele side eftergrûnkleuren foar scrollbar en wiskje kânsen publike kaai bindings (PKP, Public Key Pinning), wêrtroch, mei help fan de Public-Key-Pins HTTP header, eksplisyt bepale de sertifikaten wêrfan sertifisearring autoriteiten kinne brûkt wurde foar in opjûne side. De oanhelle reden is de lege fraach nei dizze funksje, it risiko fan kompatibiliteitsproblemen (PKP-stipe ophâlden yn Chrome) en de mooglikheid om jo eigen side te blokkearjen fanwege it binen fan 'e ferkearde kaaien of ferlies fan kaaien (bygelyks tafallich wiskjen of kompromis as gefolch fan hacking).

Boarne: opennet.ru