„Mozilla“ kompanija apie plėtrą už piniginį atlygį už infrastruktūros elementų, susijusių su Firefox kūrimu, saugumo problemų nustatymą. Priemokos už pažeidžiamumų „Mozilla“ svetainėse ir paslaugose nustatymą padidintos dvigubai, o premijos už pažeidžiamumų, dėl kurių gali būti vykdomas kodas , atnešta iki 15 tūkstančių dolerių.
Už autentifikavimo apėjimo metodo ir SQL pakeitimo nustatymą galite gauti 6 tūkstančių dolerių atlygį, o už scenarijus tarp svetainių ir CSRF - 5 tūkstančius dolerių. Pagrindinės svetainės yra firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla org
ir dar kelios dešimtys svetainių, susijusių su priedais, atnaujinimais, atsisiuntimais, sinchronizavimu ir statistika.
Už priemokos suma yra maždaug du kartus mažesnė. Pagrindinės svetainės apima observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org ir kai kurias vidines paslaugas kūrėjams.
Palyginti su anksčiau galiojusiomis sąlygomis, prie pagrindinių svetainių ir paslaugų skaičiaus pridėta:
- (skaitmeninio parašo paslauga),
- (automatinio kodo talpinimo paslauga iš
Phabricator saugyklose), - (kodo valdymo įrankis, naudojamas pakeitimams peržiūrėti),
- (užduočių atlikimo sistema, kuri palaiko nuolatinę integravimo sistemą ir leidimų generavimo procesus).
Iš naujų bazinių svetainių pažymėtos:
- (monitor.firefox.com),
- (l10n.mozilla.org)
- Tarnyba (dirželis virš Stripe mokėjimo sistemos),
- (papildymas su siekiant apsaugoti eismą),
- (sistema, skirta transliuoti užklausas generuoti leidimus),
- (kalbos atpažinimo sistema, pagrįsta Kalbėjimo atpažinimo API).
Be to, galite ketinimas aktyvuoti „Firefox 7“ leidime, kuris numatytas sausio 72 d su erzinančiais prašymais suteikti svetainei papildomų galių. Daugelis svetainių piktnaudžiauja naršyklės galimybe prašyti leidimų, daugiausia periodiškai prašydamos tiesioginių pranešimų. Telemetrinė analizė parodė, kad 97% tokių užklausų yra atmetami, įskaitant 19% atvejų vartotojas iškart uždaro puslapį nepaspaudęs mygtuko sutinku arba atmesti. „Firefox 72“ versijoje tokios užklausos bus blokuojamos, nebent bus įrašyta vartotojo sąveika su puslapiu (pelės paspaudimas arba klavišo paspaudimas).
Tarp būsimų „Firefox 72“ pakeitimų taip pat išsiskiria šie dalykai: dabartinės puslapio fono spalvos slinkties juostai ir viešojo rakto susiejimas (PKP, Viešojo rakto prisegimas), leidžiantis naudojant „Public-Key-Pins“ HTTP antraštę, aiškiai nustatyti sertifikatus, kurių sertifikavimo institucijos gali būti naudojamos tam tikroje svetainėje. Priežastis nurodoma maža šios funkcijos paklausa, suderinamumo problemų rizika (PKP palaikymas naršyklėje „Chrome“) ir galimybę užblokuoti savo svetainę dėl netinkamų raktų surišimo arba raktų praradimo (pavyzdžiui, netyčia ištrynus ar pakliuvus įsilaužimui).
Šaltinis: opennet.ru
