🥇Mozilla расширяет программу выплаты вознаграждений за выявление уязвимостей

Perusahaan Mozilla diumumake babagan ngembangaken inisiatif по выплате денежных вознаграждений за выявление проблем с безопасностью в элементах инфраструктуры, связанных с разработкой Firefox. Размер премий за выявление уязвимостей на сайтах и в сервисах Mozilla увеличен в два раза, а премия за выявление уязвимостей, которые могут привести к выполнению кода на ключевых сайтах, доведена до 15 тысяч долларов.

За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF — 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org
и ещё несколько десятков сайтов, связанных с дополнениями, обновлениями, загрузкой, синхронизацией и статистикой.

Kanggo базовых сайтов размер премии примерно в два раза меньше. К базовым сайтам отнесены observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org и некоторые внутренние сервисы для разработчиков.

По сравнению с ранее действующими условиями, в число ключевых сайтов и сервисов добавлены:

Autografis (сервис цифровых подписей),
Landau (сервис автоматического размещения кода из
Phabricator в репозиториях),
Panambang (инструментарий управления кодом, применяемый для рецензирования изменений),
Taskcluster (фреймворк для выполнения задач, поддерживающий систему непрерывной интеграции и процессы формирования релизов).

Из новых базовых сайтов отмечены:

Firefox Monitor (monitor.firefox.com),
Платформа локализации (l10n.mozilla.org),
layanan Payment Subscription (обвязка над платёжной системой Stripe),
Jaringan Pribadi Firefox (дополнение с proxy для защиты трафика),
Ship It (система трансляции запросов на формирование релизов),
Ngomong karo Aku (система распознавания речи, лежащая в основе Speech Recognition API).

Kajaba iku, sampeyan bisa tandha намерение активировать в намеченном на 7 января релизе Firefox 72 cara perjuangan с назойливыми запросами на предоставление сайту дополнительных полномочий. Многие сайты злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения. В Firefox 72 подобные запросы будут блокироваться, если не зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш).

Из грядущих изменений в Firefox 72 также выделяется nggunakake цвета фона текущей страницы для полосы прокрутки и ngilangi kapabilitas привязки открытых ключей (PKP, Public Key Pinning), позволяющей при помощи HTTP-заголовка Public-Key-Pins явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP mandhek ing Chrome) lan kemampuan kanggo mblokir situs sampeyan dhewe amarga ngiket kunci sing salah utawa ilang kunci (contone, pambusakan utawa kompromi sing ora disengaja minangka akibat saka peretasan).

Source: opennet.ru

Mozilla Ngembangake Program Bounty Kerentanan

Add a comment Отменить ответ