Mozilla utökar sårbarhetsprogram

Mozilla Company tillkännagav om att expandera initiativ för betalning av monetära belöningar för att identifiera säkerhetsproblem i infrastrukturelement relaterade till utvecklingen av Firefox. Storleken på bonusar för att identifiera sårbarheter på Mozillas webbplatser och tjänster har fördubblats, och bonusen för att identifiera sårbarheter som kan leda till kodexekvering på nyckelsajter, förs till 15 tusen dollar.

För att identifiera en förbikopplingsmetod för autentisering och SQL-ersättning kan du få en belöning på 6 tusen dollar och för cross-site scripting och CSRF - 5 tusen dollar. Viktiga webbplatser inkluderar firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla. org
och flera dussin andra webbplatser relaterade till tillägg, uppdateringar, nedladdningar, synkronisering och statistik.

för basplatser premiebeloppet är ungefär två gånger lägre. Grundläggande webbplatser inkluderar observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org och några interna tjänster för utvecklare.

Jämfört med de tidigare gällande villkoren har följande lagts till i antalet nyckelsajter och tjänster:

• Autograf (digital signaturtjänst),
• Lando (tjänst för automatisk placering av kod från
  Phabricator i förvar),

• Phabricator (ett kodhanteringsverktyg som används för att granska ändringar),
• Uppgiftskluster (ett ramverk för att utföra uppgifter som stödjer ett kontinuerligt integrationssystem och processer för releasegenerering).

Av de nya basplatserna noterade:

• Firefox Monitor (monitor.firefox.com),
• Lokaliseringsplattform (l10n.mozilla.org)
• Tjänsten Betalningsabonnemang (rem ovanför Stripe-betalningssystemet),
• Firefox privata nätverk (tillägg med прокси för att skydda trafiken),
• Skicka den (system för sändningsförfrågningar för att generera releaser),
• Tala till mig (taligenkänningssystemet som ligger bakom Speech Recognition API).

Dessutom kan du mark avsikt att aktiveras i releasen av Firefox 7 planerad till den 72 januari kampmetoder med irriterande förfrågningar om att ge webbplatsen ytterligare befogenheter. Många webbplatser missbrukar webbläsarens förmåga att begära behörigheter, främst genom att regelbundet be om push-meddelanden. Telemetrianalys visade att 97 % av sådana förfrågningar avvisas, inklusive i 19 % av fallen stänger användaren omedelbart sidan utan att klicka på knappen acceptera eller avvisa. I Firefox 72 kommer sådana förfrågningar att blockeras om inte användarinteraktion med sidan (musklick eller tangenttryckning) registreras.

Bland de kommande ändringarna i Firefox 72 sticker även följande ut: användningen av aktuell sidas bakgrundsfärger för rullningslist och avlägsnande möjligheter publika nyckelbindningar (PKP, Public Key Pinning), som gör det möjligt att, med hjälp av Public-Key-Pins HTTP-huvudet, uttryckligen bestämma certifikaten för vilka certifieringsmyndigheter som kan användas för en given plats. Anledningen som nämns är den låga efterfrågan på denna funktion, risken för kompatibilitetsproblem (PKP-stöd upphört i Chrome) och möjligheten att blockera din egen webbplats på grund av bindning av fel nycklar eller förlust av nycklar (till exempel oavsiktlig radering eller kompromiss till följd av hackning).

Källa: opennet.ru