د موزیلا شرکت په فایرفوکس کې د امنیتي ستونزو پیژندلو لپاره د نغدي انعامونو ورکولو نوښت پراخولو په اړه. د مستقیم زیانونو سربیره، د بګ باونټي برنامه به اوس پوښي په براوزر کې د میکانیزمونو تیریدل چې د کار کولو څخه د استحصال مخه نیسي.
په دې میکانیزمونو کې د امتیاز لرونکي شرایطو کې کارولو دمخه د HTML ټوټې پاکولو لپاره سیسټم شامل دي، د DOM نوډونو او تارونو/ArrayBuffers لپاره حافظه شریکول، د سیسټم په شرایطو او اصلي پروسې کې د eval() منع کول، په خدمت کې د سخت CSP (د مینځپانګې امنیت پالیسي) محدودیتونه پلي کول شامل دي " د "پاڼو په اړه:"، په اصلي پروسه کې د "کروم:: //"، "resource://" او "about:" پرته د نورو پاڼو د پورته کولو منع کول، په اصلي بهیر کې د بهرني جاوا سکریپټ کوډ اجرا کول منع کول، د امتیازاتو څخه تیریدل د جلا کولو میکانیزمونه (د انٹرفیس براوزر جوړولو لپاره کارول کیږي) او د جاوا سکریپټ کوډ بې ګټې. د یوې غلطۍ یوه بیلګه چې د نوي معاش تادیه کولو لپاره وړ وي دا دي: د ویب ورکر تارونو کې د eval() لپاره چک کول.
د زیانمننې په پیژندلو او د ګټې اخیستنې د ساتنې میکانیزمونو په پام کې نیولو سره، څیړونکی به وکوالی شي د بیس انعام اضافي 50٪ ترلاسه کړي، د پېژندل شوي زیانمننې لپاره (د مثال په توګه، د UXSS زیانمننې لپاره چې د دې څخه تیریږي تاسو کولی شئ $7000 او $3500 بونس ترلاسه کړئ). دا د یادونې وړ ده چې د خپلواک څیړونکي د خسارې پروګرام پراخول د وروستیو پیښو پس منظر په وړاندې راځي. د 250 موزیلا کارمندان، د کوم لاندې د ګواښ مدیریت ټول ټیم، چې د پیښو په پیژندلو او تحلیل کې ښکیل وو، او همدارنګه امنیتي ټیم.
سربیره پردې، راپور ورکړل شوی چې د شپې په ودانیو کې پیژندل شوي زیانمنونکو ته د فضل پروګرام پلي کولو مقررات بدل شوي. د یادونې وړ ده چې دا ډول زیانونه اکثرا سمدلاسه د داخلي اتوماتیک چیکونو او فز کولو ازموینې په جریان کې کشف کیږي. د دې ډول بګونو راپورونه د فایرفاکس امنیت یا د فز ازموینې میکانیزمونو کې د پرمختګ لامل نه کیږي ، نو د شپې جوړیدو کې د زیانونو لپاره انعامونه به یوازې هغه وخت تادیه شي که ستونزه له 4 ورځو څخه ډیر په اصلي ذخیره کې شتون ولري او د داخلي لخوا نه پیژندل شوی. چک او د موزیلا کارمندان.
سرچینه: opennet.ru