Mozilla Vulnerability Bounty වැඩසටහන පුළුල් කරයි

මොසිල්ලා සමාගම නිවේදනය කරන ලදි පුළුල් කිරීම ගැන මුල පිරීම් по выплате денежных вознаграждений за выявление проблем с безопасностью в элементах инфраструктуры, связанных с разработкой Firefox. Размер премий за выявление уязвимостей на сайтах и в сервисах Mozilla увеличен в два раза, а премия за выявление уязвимостей, которые могут привести к выполнению кода на ключевых сайтах, доведена до 15 тысяч долларов.

За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF — 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org
и ещё несколько десятков сайтов, связанных с дополнениями, обновлениями, загрузкой, синхронизацией и статистикой.

සඳහා базовых сайтов размер премии примерно в два раза меньше. К базовым сайтам отнесены observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org и некоторые внутренние сервисы для разработчиков.

По сравнению с ранее действующими условиями, в число ключевых сайтов и сервисов добавлены:

• ඔටෝග්‍රැෆ් (сервис цифровых подписей),
• ලන්ඩෝ (сервис автоматического размещения кода из
  Phabricator в репозиториях),

• Phabricator (инструментарий управления кодом, применяемый для рецензирования изменений),
• Taskcluster (фреймворк для выполнения задач, поддерживающий систему непрерывной интеграции и процессы формирования релизов).

Из новых базовых сайтов отмечены:

• ෆයර්ෆොක්ස් මොනි (monitor.firefox.com),
• Платформа локализации (l10n.mozilla.org),
• සේවා Payment Subscription (обвязка над платёжной системой Stripe),
• ෆයර්ෆොක්ස් පුද්ගලික ජාලය (дополнение с ප්‍රොක්සි для защиты трафика),
• Ship It (система трансляции запросов на формирование релизов),
• මට කතාකරන්න (система распознавания речи, лежащая в основе Speech Recognition API).

අමතරව, ඔබට පුළුවන් ලකුණ намерение активировать в намеченном на 7 января релизе Firefox 72 методы борьбы с назойливыми запросами на предоставление сайту дополнительных полномочий. Многие сайты злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения. В Firefox 72 подобные запросы будут блокироваться, если не зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш).

Из грядущих изменений в Firefox 72 также выделяется භාවිතය цвета фона текущей страницы для полосы прокрутки и මකා දැමීම අවස්ථා привязки открытых ключей (PKP, Public Key Pinning), позволяющей при помощи HTTP-заголовка Public-Key-Pins явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP නතර කළා Chrome හි) සහ වැරදි යතුරු බැඳීම හෝ යතුරු නැතිවීම හේතුවෙන් ඔබේම වෙබ් අඩවිය අවහිර කිරීමේ හැකියාව (උදාහරණයක් ලෙස, අහම්බෙන් මකාදැමීම හෝ අනවසරයෙන් ඇතුළුවීම හේතුවෙන් සම්මුතිය).

මූලාශ්රය: opennet.ru