Mozilla Memperluas Program Bounty Kerentanan

Perusahaan Mozilla mengumumkan tentang memperluas inisiatif untuk pembayaran imbalan uang karena mengidentifikasi masalah keamanan pada elemen infrastruktur yang terkait dengan pengembangan Firefox. Jumlah bonus untuk mengidentifikasi kerentanan di situs web dan layanan Mozilla telah ditingkatkan dua kali lipat, dan bonus untuk mengidentifikasi kerentanan yang dapat menyebabkan eksekusi kode di situs-situs utama, dibawa ke 15 ribu dolar.

Untuk mengidentifikasi metode bypass otentikasi dan substitusi SQL, Anda bisa mendapatkan hadiah sebesar 6 ribu dolar, dan untuk skrip lintas situs dan CSRF - 5 ribu dolar. Situs-situs utama meliputi firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org
dan beberapa lusin situs lainnya yang terkait dengan add-on, pembaruan, pengunduhan, sinkronisasi, dan statistik.

Untuk situs dasar jumlah premi kira-kira dua kali lebih sedikit. Situs dasar meliputi observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org dan beberapa layanan internal untuk pengembang.

Dibandingkan dengan ketentuan yang berlaku sebelumnya, berikut ini telah ditambahkan ke jumlah situs dan layanan utama:

• Tanda tangan (layanan tanda tangan digital),
• Lando (layanan untuk penempatan kode otomatis dari
  Phabricator di repositori),

• Phabricator (alat manajemen kode yang digunakan untuk meninjau perubahan),
• gugus tugas (kerangka kerja untuk melakukan tugas yang mendukung sistem integrasi berkelanjutan dan proses pembuatan rilis).

Dari situs basis baru yang dicatat:

• Monitor Firefox (monitor.firefox.com),
• Platform lokalisasi (l10n.mozilla.org)
• Layanan Langganan Pembayaran (tali di atas sistem pembayaran Stripe),
• Jaringan Pribadi Firefox (tambahan dengan прокси untuk melindungi lalu lintas),
• Kirimkan itu (sistem untuk menyiarkan permintaan untuk menghasilkan rilis),
• Bicaralah padaku (sistem pengenalan ucapan yang mendasari Speech Recognition API).

Selain itu, Anda dapat tanda niat untuk mengaktifkan dalam rilis Firefox 7 yang dijadwalkan pada 72 Januari metode perjuangan dengan permintaan yang mengganggu untuk memberikan situs kekuatan tambahan. Banyak situs menyalahgunakan kemampuan browser untuk meminta izin, terutama dengan meminta pemberitahuan push secara berkala. Analisis telemetri menunjukkan bahwa 97% permintaan tersebut ditolak, termasuk dalam 19% kasus pengguna langsung menutup halaman tanpa mengklik tombol setuju atau tolak. Di Firefox 72, permintaan seperti itu akan diblokir kecuali interaksi pengguna dengan halaman tersebut (klik mouse atau penekanan tombol) dicatat.

Di antara perubahan yang akan datang pada Firefox 72, berikut ini juga yang menonjol: menggunakan warna latar belakang halaman saat ini untuk scrollbar dan menghapus kemampuan pengikatan kunci publik (PKP, Public Key Pinning), yang memungkinkan, menggunakan header HTTP Public-Key-Pins, untuk secara eksplisit menentukan sertifikat otoritas sertifikasi mana yang dapat digunakan untuk situs tertentu. Alasan yang disebutkan adalah rendahnya permintaan untuk fungsi ini, risiko masalah kompatibilitas (dukungan PKP dihentikan di Chrome) dan kemampuan untuk memblokir situs Anda sendiri karena pengikatan kunci yang salah atau hilangnya kunci (misalnya, penghapusan atau penyusupan yang tidak disengaja akibat peretasan).

Sumber: opennet.ru