מאָזיללאַ יקספּאַנדז וואַלנעראַביליטי באַונטי פּראָגראַם

מאָזיללאַ פֿירמע מודיע דעם וועגן יקספּאַנשאַן ינישאַטיווז по выплате денежных вознаграждений за выявление проблем с безопасностью в элементах инфраструктуры, связанных с разработкой Firefox. Размер премий за выявление уязвимостей на сайтах и в сервисах Mozilla увеличен в два раза, а премия за выявление уязвимостей, которые могут привести к выполнению кода на ключевых сайтах, доведена до 15 тысяч долларов.

За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF — 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org
и ещё несколько десятков сайтов, связанных с дополнениями, обновлениями, загрузкой, синхронизацией и статистикой.

פאַר базовых сайтов размер премии примерно в два раза меньше. К базовым сайтам отнесены observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org и некоторые внутренние сервисы для разработчиков.

По сравнению с ранее действующими условиями, в число ключевых сайтов и сервисов добавлены:

• אַוטאָגראַף (сервис цифровых подписей),
• לאַנדאָ (сервис автоматического размещения кода из
  Phabricator в репозиториях),

• פאַבריקאַטאָר (инструментарий управления кодом, применяемый для рецензирования изменений),
• Taskcluster (фреймворк для выполнения задач, поддерживающий систему непрерывной интеграции и процессы формирования релизов).

Из новых базовых сайтов отмечены:

• פירעפאָקס מאָניטאָר (monitor.firefox.com),
• Платформа локализации (l10n.mozilla.org),
• דינסט Payment Subscription (обвязка над платёжной системой Stripe),
• Firefox פּריוואַטע נעטוואָרק (дополнение с פראקסי для защиты трафика),
• Ship It (система трансляции запросов на формирование релизов),
• Speak To Me (система распознавания речи, лежащая в основе Speech Recognition API).

Дополнительно можно צו טאָן намерение активировать в намеченном на 7 января релизе Firefox 72 методы борьбы с назойливыми запросами на предоставление сайту дополнительных полномочий. Многие сайты злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения. В Firefox 72 подобные запросы будут блокироваться, если не зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш).

Из грядущих изменений в Firefox 72 также выделяется ניצן цвета фона текущей страницы для полосы прокрутки и דילישאַן די פּאַסאַבילאַטיז привязки открытых ключей (PKP, Public Key Pinning), позволяющей при помощи HTTP-заголовка Public-Key-Pins явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP אָפּגעשטעלט אין קראָום) און די פיייקייט צו פאַרשפּאַרן דיין אייגענע פּלאַץ רעכט צו ביינדינג די אומרעכט שליסלען אָדער אָנווער פון שליסלען (למשל, אַקסאַדענטאַל דילישאַן אָדער קאָמפּראָמיס ווי אַ רעזולטאַט פון כאַקינג).

מקור: opennet.ru