Mozilla breidt het kwetsbaarheidsbountyprogramma uit

Mozilla-bedrijf kondigde het over uitbreiden initiatieven voor de betaling van geldelijke beloningen voor het identificeren van beveiligingsproblemen in infrastructuurelementen die verband houden met de ontwikkeling van Firefox. De omvang van de bonussen voor het identificeren van kwetsbaarheden op Mozilla-sites en -services is verdubbeld, en de bonus voor het identificeren van kwetsbaarheden die kunnen leiden tot code-uitvoering op belangrijkste sites, gebracht op 15 duizend dollar.

Voor het identificeren van een authenticatie-bypassmethode en SQL-vervanging kunt u een beloning van 6 dollar krijgen, en voor cross-site scripting en CSRF - 5 dollar. Belangrijke sites zijn firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org
en nog enkele tientallen sites gerelateerd aan add-ons, updates, downloads, synchronisatie en statistieken.

Voor basisplaatsen het premiebedrag is ongeveer twee keer minder. Basissites zijn observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org en enkele interne services voor ontwikkelaars.

Ten opzichte van de voorheen geldende voorwaarden zijn aan het aantal belangrijke sites en diensten het volgende toegevoegd:

• Handtekening (digitale handtekeningservice),
• Lando (service voor automatische plaatsing van code uit
  Phabricator in opslagplaatsen),

• Phabricator (een codebeheertool die wordt gebruikt om wijzigingen te beoordelen),
• Taakcluster (een raamwerk voor het uitvoeren van taken dat een continu integratiesysteem en processen voor het genereren van releases ondersteunt).

Van de nieuwe basislocaties opgemerkt:

• Firefox-monitor (monitor.firefox.com),
• Lokalisatieplatform (l10n.mozilla.org),
• Dienst Betaling abonnement (bandje boven het Stripe betaalsysteem),
• Firefox privénetwerk (optelling met окси om het verkeer te beschermen),
• Verzend het (systeem voor het uitzenden van verzoeken voor het genereren van releases),
• Spreek tot mij (het spraakherkenningssysteem dat ten grondslag ligt aan de Spraakherkenning API).

Bovendien kunt u mark van plan om te activeren in de release van Firefox 7, gepland voor 72 januari methoden van strijd met vervelende verzoeken om de site van extra bevoegdheden te voorzien. Veel sites maken misbruik van de mogelijkheid van de browser om toestemming te vragen, voornamelijk door periodiek om pushmeldingen te vragen. Telemetrieanalyse toonde aan dat 97% van dergelijke verzoeken wordt afgewezen, waarbij in 19% van de gevallen de gebruiker de pagina onmiddellijk sluit zonder op de knop Akkoord of Afwijzen te klikken. In Firefox 72 worden dergelijke verzoeken geblokkeerd, tenzij gebruikersinteractie met de pagina (muisklik of toetsaanslag) wordt geregistreerd.

Onder de komende veranderingen in Firefox 72 valt ook het volgende op: het gebruik van huidige pagina-achtergrondkleuren voor schuifbalk en удаление mogelijkheden public key bindings (PKP, Public Key Pinning), waarmee met behulp van de Public-Key-Pins HTTP-header expliciet kan worden bepaald van welke certificeringsinstanties voor een bepaalde site gebruik kunnen worden gemaakt. De genoemde reden is de lage vraag naar deze functie, het risico op compatibiliteitsproblemen (PKP-ondersteuning Stopgezet in Chrome) en de mogelijkheid om uw eigen site te blokkeren vanwege het koppelen van de verkeerde sleutels of verlies van sleutels (bijvoorbeeld per ongeluk verwijderen of compromitteren als gevolg van hacking).

Bron: opennet.ru