Mozilla erweidert Vulnerabilitéit Bounty Programm

Mozilla Company ugekënnegt iwwer Expansioun Initiativen fir d'Bezuelung vu monetäre Belounungen fir d'Identifikatioun vu Sécherheetsproblemer an Infrastrukturelementer am Zesummenhang mat der Entwécklung vu Firefox. D'Gréisst vun de Bonus fir d'Identifikatioun vu Schwachstelle op Mozilla Websäiten a Servicer ass verduebelt ginn, an de Bonus fir d'Identifikatioun vu Schwachstelle kënnen zu der Ausféierung vum Code féieren Schlëssel Siten, bruecht ze 15 dausend Dollar.

Fir eng Authentifikatioun Contournement Method an SQL Substitutioun z'identifizéieren, kënnt Dir eng Belounung vun 6 dausend Dollar kréien, a fir Cross-Site Scripting an CSRF - 5 dausend Dollar. Schlëssel Siten enthalen firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org
an e puer Dose méi Siten am Zesummenhang mat Add-ons, Aktualiséierungen, Downloads, Synchroniséierung a Statistiken.

fir Basis Siten der Prime Montant ass ongeféier zweemol manner. Basis Siten enthalen observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org an e puer intern Servicer fir Entwéckler.

Am Verglach mat de virdru gëltege Konditioune sinn déi folgend zu der Unzuel vu Schlësselplazen a Servicer bäigefüügt:

• Autograf (Digital Ënnerschrëft Service),
• Landau (Service fir automatesch Plazéierung vum Code vun
  Phabricator an Repositories),

• Phabricator (e Code Management Tool benotzt fir Ännerungen ze iwwerpréiwen),
• Taskcluster (e Kader fir Aufgaben auszeféieren, déi e kontinuéierleche Integratiounssystem ënnerstëtzt a Generatiounsprozesser verëffentlecht).

Vun den neie Basisplazen bemierkt:

• Firefox Monitor (monitor.firefox.com),
• Lokalisatioun Plattform (l10n.mozilla.org),
• Service Bezuelen Abonnement (Band iwwer dem Stripe Bezuelsystem),
• Firefox Privat Netzwierk (Zousätz mat Proxy fir de Verkéier ze schützen),
• Schëff Et (System fir Sendungsufroe fir Verëffentlechungen ze generéieren),
• Schwätzt mat mir (de Speech Recognition System deen de Speech Recognition API ënnerleien).

Zousätzlech, kënnt Dir Markéieren Absicht aktivéieren an der Verëffentlechung vu Firefox 7 geplangt fir de 72. Januar Methode vum Kampf mat lästegen Ufroe fir de Site zousätzlech Muechten ze ginn. Vill Site mëssbrauchen d'Fäegkeet vum Browser fir Permissiounen ze froen, haaptsächlech andeems se periodesch no Push Notifikatiounen froen. Telemetrie Analyse huet gewisen datt 97% vun esou Ufroe refuséiert ginn, och an 19% vun de Fäll mécht de Benotzer direkt d'Säit zou ouni op de Knäppchen averstanen oder refuséieren ze klicken. Am Firefox 72 ginn esou Ufroe blockéiert ausser wann d'Benotzerinteraktioun mat der Säit (Mausklick oder Tastepress) opgeholl gëtt.

Ënnert den zukünftege Verännerungen am Firefox 72 stinn och déi folgend eraus: der Notzung vun aktuell Säit Hannergrond Faarwen fir scrollbar an läschen Méiglechkeete Ëffentlech Schlësselbindungen (PKP, Public Key Pinning), wat et erlaabt, mat dem Public-Key-Pins HTTP Header explizit d'Zertifikater ze bestëmmen, vun deenen d'Zertifizéierungsautoritéite fir e bestëmmte Site benotzt kënne ginn. De zitéierten Grond ass déi geréng Nofro fir dës Funktioun, de Risiko vu Kompatibilitéitsproblemer (PKP Support gestoppt a Chrome) an d'Fäegkeet fir Ären eegene Site ze blockéieren wéinst der Bindung vun de falsche Schlësselen oder Verloscht vu Schlësselen (zum Beispill versehentlech Läschen oder Kompromëss als Resultat vum Hacking).

Source: opennet.ru