Mozilla zaiflik uchun mukofot dasturini kengaytiradi

Mozilla kompaniyasi e'lon qildi kengaytirish haqida tashabbuslar Firefox-ning rivojlanishi bilan bog'liq infratuzilma elementlarida xavfsizlik muammolarini aniqlaganlik uchun pul mukofotlarini to'lash uchun. Mozilla veb-saytlari va xizmatlaridagi zaifliklarni aniqlash uchun bonuslar hajmi ikki baravar oshirildi va kodning bajarilishiga olib kelishi mumkin bo'lgan zaifliklarni aniqlash uchun bonuslar asosiy saytlar, 15 ming dollarga olib keldi.

Autentifikatsiyani chetlab o'tish usulini aniqlash va SQL-ni almashtirish uchun siz 6 ming dollar, saytlararo skript va CSRF uchun - 5 ming dollar mukofot olishingiz mumkin. Asosiy saytlarga firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org kiradi.
va qo'shimchalar, yangilanishlar, yuklab olishlar, sinxronizatsiya va statistika bilan bog'liq yana bir necha o'nlab saytlar.

uchun bazaviy saytlar mukofot miqdori taxminan ikki baravar kam. Asosiy saytlarga observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org va ishlab chiquvchilar uchun ba'zi ichki xizmatlar kiradi.

Ilgari amal qilgan shartlar bilan taqqoslaganda, asosiy saytlar va xizmatlar soniga quyidagilar qo'shildi:

• Avtograf (raqamli imzo xizmati),
• Landau (dan kodni avtomatik joylashtirish xizmati
  Omborlardagi fabrikator),

• Phabricator (o'zgarishlarni ko'rib chiqish uchun ishlatiladigan kodni boshqarish vositasi),
• Vazifalar klasteri (uzluksiz integratsiya tizimi va relizlarni yaratish jarayonlarini qo'llab-quvvatlaydigan vazifalarni bajarish uchun asos).

Yangi bazaviy saytlar orasida quyidagilar qayd etilgan:

• Firefox monitor (monitor.firefox.com),
• Lokalizatsiya platformasi (l10n.mozilla.org),
• xizmat To'lov obunasi (Stripe to'lov tizimi ustidagi tasma),
• Firefox xususiy tarmog'i (bilan qo'shimcha proksi trafikni himoya qilish uchun),
• Yuboring (relizlarni yaratish uchun so'rovlarni eshittirish tizimi),
• Menga Gapir (Speech Recognition API asosidagi nutqni aniqlash tizimi).

Bundan tashqari, mumkin belgi Firefox 7-ning 72-yanvarga rejalashtirilgan relizida faollashtirish niyatida kurash usullari saytni qo'shimcha vakolatlar bilan ta'minlash uchun zerikarli so'rovlar bilan. Ko'pgina saytlar brauzerning ruxsat so'rash qobiliyatini suiiste'mol qiladi, asosan vaqti-vaqti bilan push-bildirishnomalarni so'raydi. Telemetriya tahlili shuni ko'rsatdiki, bunday so'rovlarning 97% rad etilgan, shu jumladan 19% hollarda foydalanuvchi rozilik yoki rad etish tugmasini bosmasdan sahifani darhol yopadi. Firefox 72 da foydalanuvchining sahifa bilan aloqasi (sichqonchani bosish yoki tugmani bosish) qayd etilmasa, bunday so'rovlar bloklanadi.

Firefox 72-da bo'lajak o'zgarishlar orasida quyidagilar ham ajralib turadi: foydalanish aylantirish paneli uchun joriy sahifa fon ranglari va o'chirish imkoniyatlar ochiq kalitlarga ulanishlar (PKP, Public Key Pinning), bu umumiy kalit-pinlar HTTP sarlavhasidan foydalanib, ma'lum bir sayt uchun sertifikatlashtirish organlaridan foydalanish mumkin bo'lgan sertifikatlarni aniq aniqlash imkonini beradi. Ko'rsatilgan sabab - bu funktsiyaga talabning pastligi, muvofiqlik muammolari xavfi (PKP qo'llab-quvvatlashi to'xtatilgan Chrome'da) va noto'g'ri kalitlarni bog'lash yoki kalitlarni yo'qotish (masalan, tasodifiy o'chirish yoki xakerlik natijasida buzilish) tufayli o'z saytingizni bloklash imkoniyati.

Manba: opennet.ru