Società Mozilla espandere per il pagamento di premi monetari per l'identificazione di problemi di sicurezza negli elementi infrastrutturali legati allo sviluppo di Firefox. L'entità dei bonus per l'identificazione delle vulnerabilità sui siti Web e sui servizi Mozilla è stata raddoppiata e il bonus per l'identificazione delle vulnerabilità che possono portare all'esecuzione di codice su , portato a 15mila dollari.
Per identificare il metodo di bypass dell'autenticazione e la sostituzione SQL, puoi ottenere una ricompensa di 6mila dollari e per cross-site scripting e CSRF - 5mila dollari. I siti principali includono firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla org
e diverse dozzine di altri siti relativi a componenti aggiuntivi, aggiornamenti, download, sincronizzazione e statistiche.
per l'importo del premio è circa due volte inferiore. I siti di base includono observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org e alcuni servizi interni per gli sviluppatori.
Rispetto alle condizioni precedentemente valide, al numero dei siti e dei servizi chiave sono stati aggiunti:
- (servizio di firma digitale),
- (servizio per il posizionamento automatico del codice da
Phabricator nei repository), - (uno strumento di gestione del codice utilizzato per rivedere le modifiche),
- (un framework per l'esecuzione di attività che supporta un sistema di integrazione continua e processi di generazione di rilasci).
Dei nuovi siti base rilevati:
- (monitor.firefox.com),
- (l10n.mozilla.org)
- Servizio (cinturino sopra il sistema di pagamento Stripe),
- (aggiunta con per proteggere il traffico),
- (sistema di diffusione delle richieste per la generazione di liberatorie),
- (il sistema di riconoscimento vocale alla base dell'API di riconoscimento vocale).
Inoltre, puoi intenzione di attivarsi nel rilascio di Firefox 7 previsto per il 72 gennaio con fastidiose richieste di dotare il sito di poteri aggiuntivi. Molti siti abusano della capacità del browser di richiedere permessi, principalmente chiedendo periodicamente notifiche push. L'analisi della telemetria ha mostrato che il 97% di tali richieste viene rifiutato, incluso nel 19% dei casi l'utente chiude immediatamente la pagina senza fare clic sul pulsante Accetto o Rifiuta. In Firefox 72, tali richieste verranno bloccate a meno che non venga registrata l'interazione dell'utente con la pagina (clic del mouse o pressione di un tasto).
Tra le novità imminenti in Firefox 72 spicca anche quanto segue: colori di sfondo della pagina corrente per la barra di scorrimento e collegamenti a chiave pubblica (PKP, Public Key Pinning), che consente, utilizzando l'intestazione HTTP Public-Key-Pins, di determinare esplicitamente i certificati di cui le autorità di certificazione possono essere utilizzate per un determinato sito. Il motivo addotto è la scarsa richiesta di questa funzione, il rischio di problemi di compatibilità (supporto PKP in Chrome) e la possibilità di bloccare il proprio sito a causa dell'associazione di chiavi errate o della perdita delle chiavi (ad esempio, cancellazione accidentale o compromissione a seguito di hacking).
Fonte: opennet.ru
