මොසිල්ලා සමාගම Firefox හි ආරක්ෂක ගැටළු හඳුනා ගැනීම සඳහා මුදල් ත්යාග ගෙවීමේ මුලපිරීම පුළුල් කිරීම ගැන. සෘජු දුර්වලතා වලට අමතරව, Bug Bounty වැඩසටහන දැන් ආවරණය කරනු ඇත සූරාකෑම් ක්රියා කිරීමෙන් වළක්වන බ්රව්සර් යාන්ත්රණයන් මඟ හැරීම.
එවැනි යාන්ත්රණවලට වරප්රසාද ලත් සන්දර්භයක භාවිතයට පෙර HTML කොටස් පිරිසිදු කිරීම, DOM නෝඩ් සහ තන්තු/ArrayBuffers සඳහා මතකය බෙදාගැනීම, පද්ධති සන්දර්භය තුළ eval() අක්රීය කිරීම සහ මාපිය ක්රියාවලිය, දැඩි CSP (අන්තර්ගත ආරක්ෂණ ප්රතිපත්ති) සීමා කිරීම් සේවාවට යෙදීම ඇතුළත් වේ. ගැන” පිටු :", මාපිය ක්රියාවලියේදී "chrome://", "resource://" සහ "about:" හැර වෙනත් පිටු පූරණය කිරීම තහනම් කිරීම, මාපිය ක්රියාවලියේදී බාහිර JavaScript කේතය ක්රියාත්මක කිරීම තහනම් කිරීම, වරප්රසාද මග හරිමින් වෙන් කිරීමේ යාන්ත්රණ (අතුරුමුහුණත් බ්රවුසරය තැනීමට භාවිතා කරයි) සහ වරප්රසාද රහිත ජාවාස්ක්රිප්ට් කේතය. නව වේතනයක් ගෙවීමට සුදුසුකම් ලබන දෝෂයක උදාහරණයක් වන්නේ: Web Worker threads වල eval() සඳහා පරීක්ෂා කිරීම.
අවදානමක් හඳුනා ගැනීමෙන් සහ සූරාකෑමේ ආරක්ෂණ යාන්ත්රණ මඟ හැරීමෙන්, පර්යේෂකයාට මූලික ත්යාගයෙන් අමතර 50%ක් ලබා ගැනීමට හැකි වනු ඇත. හඳුනාගත් අවදානමක් සඳහා (උදාහරණයක් ලෙස, UXSS අවදානම මඟ හරින , ඔබට $7000 සහ $3500 ප්රසාද දීමනාවක් ලබා ගත හැක). ස්වාධීන පර්යේෂක වන්දි වැඩසටහන පුළුල් කිරීම මෑත කාලීන පසුබිමට එරෙහිව වීම සැලකිය යුතු කරුණකි මොසිල්ලා සේවකයින් 250 ක්, ඒ යටතේ සිදුවීම් හඳුනා ගැනීම සහ විශ්ලේෂණය කිරීම සඳහා සම්බන්ධ වූ සමස්ත තර්ජන කළමනාකරණ කණ්ඩායම, මෙන්ම ආරක්ෂක කණ්ඩායම.
මීට අමතරව, රාත්රී ගොඩනැගීමේදී හඳුනාගත් දුර්වලතා සඳහා ත්යාග වැඩසටහන යෙදීමේ නීති වෙනස් වී ඇති බව වාර්තා වේ. අභ්යන්තර ස්වයංක්රීය චෙක්පත් සහ නොපැහැදිලි පරීක්ෂණ වලදී එවැනි දුර්වලතා බොහෝ විට ක්ෂණිකව අනාවරණය වන බව සටහන් වේ. එවැනි දෝෂ වාර්තා කිරීම ෆයර්ෆොක්ස් ආරක්ෂාව හෝ නොපැහැදිලි පරීක්ෂණ යාන්ත්රණයන් වැඩිදියුණු කිරීමට හේතු නොවේ, එබැවින් රාත්රී ගොඩනැගීම්වල ඇති දුර්වලතා සඳහා ත්යාග ගෙවනු ලබන්නේ ගැටලුව දින 4 කට වඩා වැඩි කාලයක් ප්රධාන ගබඩාවේ තිබේ නම් සහ අභ්යන්තරය විසින් හඳුනාගෙන නොමැති නම් පමණි. චෙක්පත් සහ Mozilla සේවකයින්.
මූලාශ්රය: opennet.ru