ಮೊಜಿಲ್ಲಾ ದುರ್ಬಲತೆ ಬೌಂಟಿ ಕಾರ್ಯಕ್ರಮವನ್ನು ವಿಸ್ತರಿಸುತ್ತದೆ

ಮೊಜಿಲ್ಲಾ ಕಂಪನಿ ಘೋಷಿಸಲಾಗಿದೆ ವಿಸ್ತರಣೆಯ ಬಗ್ಗೆ ಉಪಕ್ರಮಗಳು по выплате денежных вознаграждений за выявление проблем с безопасностью в элементах инфраструктуры, связанных с разработкой Firefox. Размер премий за выявление уязвимостей на сайтах и в сервисах Mozilla увеличен в два раза, а премия за выявление уязвимостей, которые могут привести к выполнению кода на ключевых сайтах, доведена до 15 тысяч долларов.

За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF — 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org
и ещё несколько десятков сайтов, связанных с дополнениями, обновлениями, загрузкой, синхронизацией и статистикой.

ಗೆ базовых сайтов размер премии примерно в два раза меньше. К базовым сайтам отнесены observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org и некоторые внутренние сервисы для разработчиков.

По сравнению с ранее действующими условиями, в число ключевых сайтов и сервисов добавлены:

• ಆಟೋಗ್ರಾಫ್ (сервис цифровых подписей),
• ಲ್ಯಾಂಡೌ (сервис автоматического размещения кода из
  Phabricator в репозиториях),

• ಫ್ಯಾಬ್ರಿಕೇಟರ್ (инструментарий управления кодом, применяемый для рецензирования изменений),
• Taskcluster (фреймворк для выполнения задач, поддерживающий систему непрерывной интеграции и процессы формирования релизов).

Из новых базовых сайтов отмечены:

• ಫೈರ್ಫಾಕ್ಸ್ ಮಾನಿಟರ್ (monitor.firefox.com),
• Платформа локализации (l10n.mozilla.org),
• ಸೇವೆ Payment Subscription (обвязка над платёжной системой Stripe),
• ಫೈರ್‌ಫಾಕ್ಸ್ ಖಾಸಗಿ ನೆಟ್‌ವರ್ಕ್ (дополнение с ಪ್ರಾಕ್ಸಿ для защиты трафика),
• Ship It (система трансляции запросов на формирование релизов),
• ನನ್ನೊಂದಿಗೆ ಮಾತನಾಡು (система распознавания речи, лежащая в основе Speech Recognition API).

ಹೆಚ್ಚುವರಿಯಾಗಿ, ನೀವು ಮಾಡಬಹುದು ಗುರುತು намерение активировать в намеченном на 7 января релизе Firefox 72 методы борьбы с назойливыми запросами на предоставление сайту дополнительных полномочий. Многие сайты злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения. В Firefox 72 подобные запросы будут блокироваться, если не зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш).

Из грядущих изменений в Firefox 72 также выделяется ಬಳಕೆ цвета фона текущей страницы для полосы прокрутки и ಅಳಿಸುವಿಕೆ ಅವಕಾಶಗಳನ್ನು привязки открытых ключей (PKP, Public Key Pinning), позволяющей при помощи HTTP-заголовка Public-Key-Pins явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP ಸ್ಥಗಿತಗೊಳಿಸಲಾಗಿದೆ Chrome ನಲ್ಲಿ) ಮತ್ತು ತಪ್ಪು ಕೀಗಳನ್ನು ಬಂಧಿಸುವ ಅಥವಾ ಕೀಗಳ ನಷ್ಟದಿಂದಾಗಿ ನಿಮ್ಮ ಸ್ವಂತ ಸೈಟ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸುವ ಸಾಮರ್ಥ್ಯ (ಉದಾಹರಣೆಗೆ, ಆಕಸ್ಮಿಕ ಅಳಿಸುವಿಕೆ ಅಥವಾ ಹ್ಯಾಕಿಂಗ್ ಪರಿಣಾಮವಾಗಿ ರಾಜಿ).

ಮೂಲ: opennet.ru