Mozilla розширює програму виплати винагород за виявлення вразливостей

Компанія Mozilla оголосила про розширення ініціативи з виплати грошових винагород за виявлення проблем із безпекою в елементах інфраструктури, пов'язаних із розробкою Firefox. Розмір премій за виявлення вразливостей на сайтах та в сервісах Mozilla збільшений у два рази, а премія за виявлення вразливостей, які можуть призвести до виконання коду ключових сайтах, доведено до 15 тисяч доларів.

За визначення методу обходу аутентифікації та підстановку SQL-коду можна отримати винагороду у 6 тисяч доларів, а за міжсайтовий скриптинг та CSRF – 5 тисяч доларів. До ключових сайтів віднесено firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla. org
та ще кілька десятків сайтів, пов'язаних з доповненнями, оновленнями, завантаженням, синхронізацією та статистикою.

Для базових сайтів розмір премії приблизно вдвічі менший. До базових сайтів віднесено observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org та деякі внутрішні сервіси для розробників.

Порівняно з раніше діючими умовами, до ключових сайтів і сервісів додано:

• Autograph (Сервіс цифрових підписів),
• Ландо (Сервіс автоматичного розміщення коду з
  Phabricator у репозиторіях),

• Фабрікатор (Інструментарій керування кодом, що застосовується для рецензування змін),
• Taskcluster (Фреймворк для виконання завдань, що підтримує систему безперервної інтеграції та процеси формування релізів).

З нових базових сайтів зазначено:

• Firefox Monitor (monitor.firefox.com),
• Платформа локалізації (l10n.mozilla.org),
• Сервіс Payment Subscription (обв'язування над платіжною системою Stripe),
• Приватна мережа Firefox (доповнення з прокси для захисту трафіку),
• Ship It (Система трансляції запитів формування релізів),
• Поговори зі мною (Система розпізнавання мови, що лежить в основі Speech Recognition API).

Додатково можна зазначити намір активувати у наміченому на 7 січня релізі Firefox 72 методи боротьби з настирливими запитами на надання сайту додаткових повноважень. Багато сайтів зловживають можливістю запиту повноважень, що надається в браузерах, головним чином шляхом періодичного виведення запитів на отримання push-повідомлень. Аналіз телеметрії показав, що 97% подібних запитів відхиляються, зокрема у 19% випадках користувач відразу закриває сторінку не натискаючи кнопку згоди чи відхилення. У Firefox 72 подібні запити будуть блокуватися, якщо не зафіксовано взаємодію користувача зі сторінкою (клік мишею або натискання клавіш).

З наступних змін Firefox 72 також виділяється використання кольору фону поточної сторінки для смуги прокручування та видалення можливості прив'язки відкритих ключів (PKP, Public Key Pinning), що дозволяє за допомогою HTTP-заголовка Public-Key-Pins явно визначити сертифікати яких центрів, що посвідчують, допустимо використовувати для заданого сайту. Як причина називається низька затребуваність цієї функції, ризик проблем із сумісністю (підтримка PKP припинено в Chrome) та можливість заблокувати власний сайт через прив'язку не тих ключів або втрати ключів (наприклад, випадкове видалення або компрометація внаслідок злому).

Джерело: opennet.ru