موزیلا کمپنی توسیع کے بارے میں по выплате денежных вознаграждений за выявление проблем с безопасностью в элементах инфраструктуры, связанных с разработкой Firefox. Размер премий за выявление уязвимостей на сайтах и в сервисах Mozilla увеличен в два раза, а премия за выявление уязвимостей, которые могут привести к выполнению кода на , доведена до 15 тысяч долларов.
За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF — 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org
и ещё несколько десятков сайтов, связанных с дополнениями, обновлениями, загрузкой, синхронизацией и статистикой.
کے لیے размер премии примерно в два раза меньше. К базовым сайтам отнесены observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org и некоторые внутренние сервисы для разработчиков.
По сравнению с ранее действующими условиями, в число ключевых сайтов и сервисов добавлены:
- (сервис цифровых подписей),
- (сервис автоматического размещения кода из
Phabricator в репозиториях), - (инструментарий управления кодом, применяемый для рецензирования изменений),
- (фреймворк для выполнения задач, поддерживающий систему непрерывной интеграции и процессы формирования релизов).
Из новых базовых сайтов отмечены:
- (monitor.firefox.com),
- (l10n.mozilla.org),
- سروس (обвязка над платёжной системой Stripe),
- (дополнение с для защиты трафика),
- (система трансляции запросов на формирование релизов),
- (система распознавания речи, лежащая в основе Speech Recognition API).
اضافی طور پر ، آپ کر سکتے ہیں намерение активировать в намеченном на 7 января релизе Firefox 72 с назойливыми запросами на предоставление сайту дополнительных полномочий. Многие сайты злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения. В Firefox 72 подобные запросы будут блокироваться, если не зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш).
Из грядущих изменений в Firefox 72 также выделяется цвета фона текущей страницы для полосы прокрутки и привязки открытых ключей (PKP, Public Key Pinning), позволяющей при помощи HTTP-заголовка Public-Key-Pins явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP کروم میں) اور غلط چابیاں باندھنے یا چابیاں کھو جانے کی وجہ سے آپ کی اپنی سائٹ کو بلاک کرنے کی صلاحیت (مثال کے طور پر، حادثاتی طور پر حذف ہو جانا یا ہیکنگ کے نتیجے میں سمجھوتہ)۔
ماخذ: opennet.ru