Мозилла Цомпани о проширењу за исплату новчане награде за идентификовање безбедносних проблема у елементима инфраструктуре у вези са развојем Фирефок-а. Величина бонуса за идентификацију рањивости на Мозилла веб локацијама и сервисима је удвостручена, а бонус за идентификацију рањивости које могу довести до извршења кода на , довео до 15 хиљада долара.
За идентификацију методе заобилажења аутентификације и СКЛ замену можете добити награду од 6 хиљада долара, а за скриптовање на више локација и ЦСРФ - 5 хиљада долара. Кључни сајтови укључују фирефок.цом/орг, мозилла.цом/орг, аддонс.мозилла.орг, гетфирефок.цом, бугзилла.мозилла.орг, сеарцх.сервицес.мозилла.цом, арцхиве.мозилла.орг, довнлоад.мозилла орг
и још неколико десетина сајтова везаних за додатке, ажурирања, преузимања, синхронизацију и статистику.
За износ премије је отприлике два пута мањи. Основни сајтови укључују обсерватори.мозилла.орг, гетпоцкет.цом, премиум.фирефок.цом, хг.мозилла.орг и неке интерне услуге за програмере.
У поређењу са претходно важећим условима, на број кључних сајтова и услуга додато је следеће:
- (услуга дигиталног потписа),
- (сервис за аутоматско постављање кода од
фабрикатор у репозиторијуму), - (алатка за управљање кодом која се користи за преглед промена),
- (оквир за обављање задатака који подржава континуирани систем интеграције и процесе генерисања издања).
Од нових базних сајтова је наведено:
- (монитор.фирефок.цом),
- (л10н.мозилла.орг)
- Сервис (каиш изнад система плаћања Стрипе),
- (додатак са за заштиту саобраћаја),
- (систем за емитовање захтева за генерисање издања),
- (систем за препознавање говора који лежи у основи АПИ-ја за препознавање говора).
Поред тога, можете намеру да се активира у издању Фирефок 7 заказаном за 72. јануар са досадним захтевима да се сајту дају додатна овлашћења. Многи сајтови злоупотребљавају могућност прегледача да захтева дозволе, углавном повремено тражећи пусх обавештења. Телеметријска анализа је показала да 97% таквих захтева буде одбијено, укључујући у 19% случајева корисник одмах затвори страницу без кликања на дугме сагласан или одбиј. У Фирефок-у 72, такви захтеви ће бити блокирани осим ако се не забележи интеракција корисника са страницом (клик мишем или притисак на тастер).
Међу предстојећим променама у Фирефок-у 72, издвајају се и следеће: боје позадине тренутне странице за траку за померање и везивања јавног кључа (ПКП, Публиц Кеи Пиннинг), који омогућава, користећи ХТТП заглавље Публиц-Кеи-Пинс, експлицитно одређивање сертификата чији ауторитети за сертификацију могу да се користе за дату локацију. Као разлог се наводи мала потражња за овом функцијом, ризик од проблема са компатибилношћу (подршка за ПКП у Цхроме-у) и могућност блокирања сопственог сајта због везивања погрешних кључева или губитка кључева (на пример, случајно брисање или компромитовање као резултат хаковања).
Извор: опеннет.ру
