Mozilla-ն ընդլայնում է խոցելիության պարգևավճարի ծրագիրը

Mozilla ընկերություն հայտարարվեց ընդլայնման մասին նախաձեռնություններ Firefox-ի զարգացման հետ կապված ենթակառուցվածքային տարրերում անվտանգության խնդիրները հայտնաբերելու համար դրամական պարգևներ վճարելու համար: Mozilla-ի կայքերում և ծառայություններում խոցելիության հայտնաբերման բոնուսների չափը կրկնապատկվել է, իսկ խոցելիության հայտնաբերման բոնուսը, որը կարող է հանգեցնել կոդի կատարման: հիմնական կայքերը, հասցվել է 15 հազար դոլարի։

Նույնականացման շրջանցման մեթոդի և SQL-ի փոխարինման համար կարող եք ստանալ 6 հազար դոլար պարգև, իսկ խաչմերուկային սկրիպտավորման և CSRF-ի համար՝ 5 հազար դոլար: Հիմնական կայքերը ներառում են firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla. org
և մի քանի տասնյակ այլ կայքեր՝ կապված հավելումների, թարմացումների, ներբեռնումների, համաժամացման և վիճակագրության հետ։

Համար բազային կայքեր պրեմիումի գումարը մոտավորապես երկու անգամ պակաս է: Հիմնական կայքերը ներառում են observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org և որոշ ներքին ծառայություններ մշակողների համար:

Համեմատելով նախկինում գործող պայմանների հետ՝ հիմնական կայքերի և ծառայությունների թվին ավելացվել են հետևյալները.

• Ինքնագիր (թվային ստորագրության ծառայություն),
• Lando (Ծառայություն՝ կոդի ավտոմատ տեղադրման համար
  Ֆաբրիկատոր պահեստներում),

• Ֆաբրիկատոր (կոդի կառավարման գործիք, որն օգտագործվում է փոփոխությունները վերանայելու համար),
• Առաջադրանքների կլաստեր (առաջադրանքների կատարման շրջանակ, որն աջակցում է շարունակական ինտեգրման համակարգին և թողարկման գործընթացներին):

Նշված նոր բազային կայքերից.

• Firefox Monitor- ը (monitor.firefox.com),
• Տեղայնացման հարթակ (l10n.mozilla.org),
• Ծառայություն Վճարման բաժանորդագրություն (ժապավենը Stripe վճարային համակարգի վերևում),
• Firefox մասնավոր ցանց (ավելացում հետ վստահված անձ երթեւեկությունը պաշտպանելու համար),
• Առաքեք այն (թողարկումների ստեղծման հարցումների հեռարձակման համակարգ),
• Խոսիր ինձ հետ (խոսքի ճանաչման համակարգը, որը գտնվում է Խոսքի ճանաչման API-ի հիմքում):

Բացի այդ, դուք կարող եք նշան հունվարի 7-ին նախատեսված Firefox 72-ի թողարկման մեջ ակտիվանալու մտադրություն պայքարի մեթոդներ կայքին լրացուցիչ լիազորություններ տրամադրելու տհաճ խնդրանքներով: Շատ կայքեր չարաշահում են բրաուզերի՝ թույլտվություններ պահանջելու հնարավորությունը՝ հիմնականում պարբերաբար push ծանուցումներ խնդրելով: Հեռուստաչափական վերլուծությունը ցույց է տվել, որ նման հարցումների 97%-ը մերժվում է, այդ թվում՝ 19%-ի դեպքում օգտատերը անմիջապես փակում է էջը՝ առանց սեղմելու համաձայնել կամ մերժել կոճակը։ Firefox 72-ում նման հարցումները կարգելափակվեն, քանի դեռ չի գրանցվել օգտատիրոջ փոխազդեցությունը էջի հետ (մկնիկի սեղմում կամ ստեղնաշարի սեղմում):

Firefox 72-ում սպասվող փոփոխություններից առանձնանում է նաև հետևյալը. օգտագործումը ընթացիկ էջի ֆոնի գույները ոլորման տողի համար և ջնջելիս հնարավորություններ հանրային բանալիների կապեր (PKP, Public Key-ի ամրացում), որը թույլ է տալիս, օգտագործելով Public-Key-Pins HTTP վերնագիրը, հստակորեն որոշել հավաստագրերը, որոնց հավաստագրման մարմինները կարող են օգտագործվել տվյալ կայքի համար: Նշված պատճառը այս ֆունկցիայի ցածր պահանջարկն է, համատեղելիության խնդիրների ռիսկը (PKP աջակցություն դադարեցվել է Chrome-ում) և ձեր սեփական կայքը արգելափակելու հնարավորությունը սխալ ստեղների կապակցման կամ բանալիների կորստի պատճառով (օրինակ՝ պատահաբար ջնջվել կամ կոտրվել է կոտրման արդյունքում):

Source: opennet.ru