Mozilla Ngembangake Program Bounty Kerentanan

Perusahaan Mozilla diumumake babagan ngembangaken inisiatif kanggo mbayar ganjaran babakan dhuwit kanggo ngenali masalah keamanan ing unsur infrastruktur related kanggo pangembangan Firefox. Ukuran bonus kanggo ngenali kerentanan ing situs web lan layanan Mozilla wis tikel kaping pindho, lan bonus kanggo ngenali kerentanan sing bisa nyebabake eksekusi kode ing situs tombol, digawa menyang 15 ewu dolar.

Kanggo ngenali metode bypass otentikasi lan substitusi SQL, sampeyan bisa entuk ganjaran 6 ewu dolar, lan kanggo skrip lintas situs lan CSRF - 5 ewu dolar. Situs utama kalebu firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla org
lan sawetara rolas situs liyane related kanggo nambah-ons, nganyari, download, sinkronisasi lan statistik.

Kanggo situs dhasar jumlah premium kira-kira kaping pindho kurang. Situs dhasar kalebu observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org lan sawetara layanan internal kanggo pangembang.

Dibandhingake karo kahanan sing sah sadurunge, ing ngisor iki wis ditambahake menyang jumlah situs lan layanan utama:

• Autografis (layanan tanda tangan digital),
• Landau (layanan kanggo panggonan otomatis kode saka
  Phabricator ing repositori),
• Panambang (alat manajemen kode sing digunakake kanggo mriksa owah-owahan),
• Kluster tugas (framework kanggo nindakake tugas sing ndhukung sistem integrasi terus-terusan lan proses generasi release).

Saka situs dhasar anyar nyathet:

• Firefox Monitor (monitor.firefox.com),
• Platform lokalisasi (l10n.mozilla.org)
• layanan Langganan Pembayaran (tali ing ndhuwur sistem pembayaran Stripe),
• Jaringan Pribadi Firefox (tambahan karo proxy kanggo nglindhungi lalu lintas),
• Kapal Iku (sistem kanggo panjalukan siaran kanggo ngasilake rilis),
• Ngomong karo Aku (sistem pangenalan ucapan sing ndasari Speech Recognition API).

Kajaba iku, sampeyan bisa tandha niat kanggo ngaktifake ing release saka Firefox 7 dijadwal kanggo Januari 72 cara perjuangan karo panjalukan ngganggu kanggo nyedhiyani situs karo kakuwasan tambahan. Akeh situs nyalahake kemampuan browser kanggo njaluk ijin, utamane kanthi njaluk kabar push kanthi periodik. Analisis telemetri nuduhake yen 97% panjaluk kasebut ditolak, kalebu ing 19% kasus pangguna langsung nutup kaca kasebut tanpa ngeklik tombol setuju utawa nolak. Ing Firefox 72, panjaluk kasebut bakal diblokir kajaba interaksi pangguna karo kaca kasebut (klik mouse utawa penet tombol) direkam.

Antarane owah-owahan sing bakal teka ing Firefox 72, ing ngisor iki uga katon: nggunakake werna latar mburi kaca saiki kanggo scrollbar lan ngilangi kapabilitas bindings tombol umum (PKP, Public Key Pinning), sing ngidini, nggunakake Public-Key-Pins HTTP header, kanggo tegas nemtokake sertifikat kang panguwasa sertifikasi bisa digunakake kanggo situs tartamtu. Alesan kasebut yaiku kurang dikarepake kanggo fungsi iki, risiko masalah kompatibilitas (dhukungan PKP mandhek ing Chrome) lan kemampuan kanggo mblokir situs sampeyan dhewe amarga ngiket kunci sing salah utawa ilang kunci (contone, pambusakan utawa kompromi sing ora disengaja minangka akibat saka peretasan).

Source: opennet.ru