Mozilla ขยายโปรแกรมรางวัลช่องโหว่

บริษัท มอซิลลา ประกาศ เกี่ยวกับการขยายตัว ความคิดริเริ่ม สำหรับการจ่ายเงินรางวัลเพื่อระบุปัญหาด้านความปลอดภัยในองค์ประกอบโครงสร้างพื้นฐานที่เกี่ยวข้องกับการพัฒนา Firefox ขนาดของโบนัสสำหรับการระบุช่องโหว่บนเว็บไซต์และบริการของ Mozilla เพิ่มขึ้นเป็นสองเท่า และโบนัสสำหรับการระบุช่องโหว่ที่อาจนำไปสู่การเรียกใช้โค้ดบน เว็บไซต์ที่สำคัญนำไปถึง 15 ดอลลาร์

สำหรับการระบุวิธีการบายพาสการรับรองความถูกต้องและการทดแทน SQL คุณจะได้รับรางวัล 6 ดอลลาร์ และสำหรับการเขียนสคริปต์ข้ามไซต์และ CSRF - 5 ดอลลาร์ เว็บไซต์หลัก ได้แก่ firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla. org
และไซต์อีกหลายแห่งที่เกี่ยวข้องกับส่วนเสริม การอัปเดต การดาวน์โหลด การซิงโครไนซ์ และสถิติ

สำหรับ ไซต์ฐาน จำนวนเบี้ยประกันภัยจะน้อยกว่าประมาณสองเท่า ไซต์พื้นฐาน ได้แก่ observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org และบริการภายในบางอย่างสำหรับนักพัฒนา

เมื่อเปรียบเทียบกับเงื่อนไขที่ถูกต้องก่อนหน้านี้ มีการเพิ่มสิ่งต่อไปนี้ในจำนวนไซต์และบริการหลัก:

• ลายเซ็น (บริการลายเซ็นดิจิทัล)
• Lando (บริการวางโค้ดอัตโนมัติจาก
  ฟาบริเคเตอร์ในที่เก็บ)

• Phabricator (เครื่องมือการจัดการรหัสที่ใช้ในการตรวจสอบการเปลี่ยนแปลง)
• คลัสเตอร์งาน (กรอบการทำงานสำหรับการปฏิบัติงานที่รองรับระบบบูรณาการอย่างต่อเนื่องและกระบวนการสร้างรุ่น)

จากไซต์ฐานใหม่ที่ระบุไว้:

• การตรวจสอบ Firefox (monitor.firefox.com)
• แพลตฟอร์มการแปล (l10n.mozilla.org)
• บริการ สมัครสมาชิกชำระเงิน (สายรัดเหนือระบบการชำระเงินแบบ Stripe)
• เครือข่ายส่วนตัวของ Firefox (บวกกับ โผงผาง เพื่อป้องกันการจราจร)
• จัดส่งมัน (ระบบการออกอากาศคำขอเพื่อสร้างการเผยแพร่)
• พูดกับฉัน (ระบบการรู้จำเสียงที่เป็นรากฐานของ Speech Recognition API)

นอกจากนี้คุณสามารถ เครื่องหมาย ความตั้งใจที่จะเปิดใช้งานใน Firefox 7 ที่กำหนดไว้ในวันที่ 72 มกราคม วิธีการต่อสู้ พร้อมคำขอที่น่ารำคาญเพื่อให้ไซต์มีอำนาจเพิ่มเติม ไซต์จำนวนมากละเมิดความสามารถของเบราว์เซอร์ในการขอสิทธิ์ โดยหลักๆ คือการขอการแจ้งเตือนแบบพุชเป็นระยะๆ การวิเคราะห์การวัดและส่งข้อมูลทางไกลพบว่า 97% ของคำขอดังกล่าวถูกปฏิเสธ รวมถึง 19% ของกรณีที่ผู้ใช้ปิดหน้าทันทีโดยไม่ต้องคลิกปุ่มตกลงหรือปฏิเสธ ใน Firefox 72 คำขอดังกล่าวจะถูกบล็อก เว้นแต่จะมีการบันทึกการโต้ตอบของผู้ใช้กับเพจ (การคลิกเมาส์หรือการกดปุ่ม)

ท่ามกลางการเปลี่ยนแปลงที่กำลังจะเกิดขึ้นใน Firefox 72 สิ่งต่อไปนี้ยังโดดเด่น: ใช้ สีพื้นหลังของหน้าปัจจุบันสำหรับแถบเลื่อนและ การถอด ความสามารถในการ การผูกคีย์สาธารณะ (PKP, การปักหมุดคีย์สาธารณะ) ซึ่งอนุญาตให้ใช้ส่วนหัว HTTP ของคีย์สาธารณะ-พิน เพื่อกำหนดใบรับรองอย่างชัดเจนว่าหน่วยงานออกใบรับรองใดที่สามารถนำมาใช้สำหรับไซต์ที่กำหนดได้ เหตุผลที่อ้างถึงคือความต้องการฟังก์ชันนี้ต่ำ ความเสี่ยงของปัญหาความเข้ากันได้ (รองรับ PKP ยกเลิกแล้ว ใน Chrome) และความสามารถในการบล็อกไซต์ของคุณเองเนื่องจากการผูกคีย์ผิดหรือการสูญหายของคีย์ (เช่น การลบโดยไม่ตั้งใจหรือการประนีประนอมอันเป็นผลมาจากการแฮ็ก)

ที่มา: opennet.ru