A Mozilla kiterjeszti a sebezhetőségi jutalomprogramot

Mozilla Company bejelentett a bővítésről kezdeményezések pénzjutalom kifizetésére a Firefox fejlesztéséhez kapcsolódó infrastrukturális elemek biztonsági problémáinak azonosításáért. Megduplázták a Mozilla webhelyein és szolgáltatásaiban található sebezhetőségek azonosításáért járó bónuszok méretét, és megduplázták az olyan biztonsági rések azonosításáért járó bónuszt, amelyek kódfuttatáshoz vezethetnek kulcsfontosságú oldalak, 15 ezer dollárra hozták.

A hitelesítési megkerülési módszer azonosításáért és az SQL-helyettesítésért 6 ezer dollár jutalmat kaphat, a webhelyek közötti szkriptelésért és a CSRF-ért pedig 5 ezer dollárt. A legfontosabb webhelyek közé tartozik a firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla. org
és több tucat további webhely, amely kiegészítőkkel, frissítésekkel, letöltésekkel, szinkronizálással és statisztikákkal kapcsolatos.

mert bázisoldalak a prémium összege körülbelül kétszer kevesebb. Az alapvető webhelyek közé tartozik az observatory.mozilla.org, a getpocket.com, a premium.firefox.com, a hg.mozilla.org és néhány belső szolgáltatás a fejlesztőknek.

A korábban érvényes feltételekhez képest a kulcsfontosságú oldalak és szolgáltatások száma a következőkkel bővült:

• Autogram (digitális aláírás szolgáltatás),
• Lando (szolgáltatás a kód automatikus elhelyezéséhez innen
  Phabricator in repository),

• Phabricator (a változtatások áttekintésére használt kódkezelő eszköz),
• Feladatfürt (folyamatos integrációs rendszert és kiadásgenerálási folyamatokat támogató feladatellátási keretrendszer).

Az új bázishelyek közül megjegyezték:

• Firefox Monitor (monitor.firefox.com),
• Lokalizációs platform (l10n.mozilla.org)
• Szolgáltatás Fizetési előfizetés (pánt a Stripe fizetési rendszer felett),
• Firefox privát hálózat (kiegészítés a meghatalmazott a forgalom védelme érdekében)
• Szállítja azt (rendszer a kiadások generálására vonatkozó kérések sugárzására),
• Beszélj hozzám (a Speech Recognition API alapjául szolgáló beszédfelismerő rendszer).

Ezenkívül megteheti jel aktiválási szándék a Firefox 7 január 72-re tervezett kiadásában küzdelem módszerei bosszantó kérésekkel, hogy a webhelyet további hatáskörökkel ruházza fel. Sok webhely visszaél a böngésző azon képességével, hogy engedélyeket kérjen, főleg úgy, hogy rendszeres időközönként push értesítéseket kér. A telemetriai elemzés kimutatta, hogy az ilyen kérések 97%-át elutasítják, ezen belül az esetek 19%-ában a felhasználó azonnal bezárja az oldalt anélkül, hogy rákattintott volna az elfogadás vagy elutasítás gombra. A Firefox 72-ben az ilyen kéréseket blokkolja a rendszer, hacsak nem rögzíti a felhasználói interakciót az oldallal (egérkattintást vagy billentyűlenyomást).

A Firefox 72 közelgő változásai közül a következők is kiemelkednek: használat aktuális oldal háttérszínei a görgetősávhoz és eltávolítás lehetőségek nyilvános kulcs-összerendelések (PKP, Public Key Pinning), amely lehetővé teszi a Public-Key-Pins HTTP-fejléc használatával, hogy kifejezetten meghatározza, hogy mely hitelesítésszolgáltatók használhatók egy adott webhelyhez. Ennek oka a funkció iránti alacsony kereslet, a kompatibilitási problémák kockázata (PKP támogatás megszakított a Chrome-ban), valamint a saját webhely blokkolásának lehetősége a rossz kulcsok bekötése vagy a kulcsok elvesztése miatt (például véletlen törlés vagy feltörés következtében).

Forrás: opennet.ru