Firma Mozilla o rozbudowie o wypłatę nagród pieniężnych za identyfikację problemów bezpieczeństwa w elementach infrastruktury związanych z rozwojem Firefoksa. Wielkość premii za identyfikację luk w witrynach i usługach Mozilli została podwojona, a premia za identyfikację luk, które mogą prowadzić do wykonania kodu na , doprowadzony do 15 tysięcy dolarów.
Za zidentyfikowanie metody obejścia uwierzytelnienia i podstawienia SQL można otrzymać nagrodę w wysokości 6 tys. dolarów, a za cross-site scripting i CSRF – 5 tys. dolarów. Najważniejsze witryny to: firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, Archive.mozilla.org, download.mozilla.org
oraz kilkadziesiąt innych witryn związanych z dodatkami, aktualizacjami, pobieraniem, synchronizacją i statystykami.
dla wysokość składki jest około dwukrotnie niższa. Podstawowe witryny obejmują observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org i niektóre wewnętrzne usługi dla programistów.
W porównaniu do wcześniej obowiązujących warunków, do liczby kluczowych obiektów i usług dodano:
- (usługa podpisu cyfrowego),
- (usługa automatycznego umieszczania kodu z
Phabricator w repozytoriach), - (narzędzie do zarządzania kodem służące do przeglądu zmian),
- (framework do wykonywania zadań obsługujący system ciągłej integracji i procesy generowania wydań).
Z nowych stron bazowych zauważono:
- (monitor.firefox.com),
- (l10n.mozilla.org)
- Platforma (pasek nad systemem płatności Stripe),
- (dodatek z w celu ochrony ruchu),
- (system rozgłaszania żądań generowania wydań),
- (system rozpoznawania mowy będący podstawą interfejsu API rozpoznawania mowy).
Dodatkowo możesz zamiar aktywować w wydaniu Firefoksa 7 zaplanowanym na 72 stycznia z irytującymi prośbami o zapewnienie witrynie dodatkowych uprawnień. Wiele witryn nadużywa możliwości przeglądarki w zakresie żądania uprawnień, głównie poprzez okresowe proszenie o powiadomienia push. Analiza telemetryczna wykazała, że 97% takich żądań jest odrzucanych, w tym w 19% przypadków użytkownik natychmiast zamyka stronę bez kliknięcia przycisku zgody lub odrzucenia. W przeglądarce Firefox 72 takie żądania będą blokowane, chyba że zostanie zarejestrowana interakcja użytkownika ze stroną (kliknięcie myszą lub naciśnięcie klawisza).
Wśród nadchodzących zmian w przeglądarce Firefox 72 wyróżniają się również: kolory tła bieżącej strony dla paska przewijania i powiązania kluczy publicznych (PKP, Public Key Pinning), które pozwalają za pomocą nagłówka HTTP Public-Key-Pins jednoznacznie określić, jakich certyfikatów można używać dla danej witryny. Jako powód podaje się małe zapotrzebowanie na tę funkcję, ryzyko problemów z kompatybilnością (obsługa PKP w przeglądarce Chrome) oraz możliwość zablokowania własnej witryny z powodu przypisania błędnych kluczy lub utraty kluczy (na przykład przypadkowego usunięcia lub naruszenia bezpieczeństwa w wyniku włamania).
Źródło: opennet.ru