Mozilla公司 关于扩张 为识别与 Firefox 开发相关的基础设施元素中的安全问题而支付金钱奖励。 识别 Mozilla 网站和服务上的漏洞的奖金数额增加了一倍,识别可能导致代码执行的漏洞的奖金数额增加了一倍。 ,达到15美元。
识别身份验证绕过方法和 SQL 替换,可以获得 6 美元的奖励,跨站脚本和 CSRF 则可以获得 5 美元的奖励。 主要网站包括 firefox.com/org、mozilla.com/org、addons.mozilla.org、getfirefox.com、bugzilla.mozilla.org、search.services.mozilla.com、archive.mozilla.org、download.mozilla.org
以及数十个与附加组件、更新、下载、同步和统计相关的站点。
为 保费金额大约减少两倍。 基本站点包括 observatory.mozilla.org、getpocket.com、premium.firefox.com、hg.mozilla.org 以及一些为开发人员提供的内部服务。
与之前的有效条件相比,关键站点和服务的数量增加了以下内容:
- (数字签名服务),
- (自动放置代码的服务
存储库中的 Phabricator), - (用于审查更改的代码管理工具),
- (用于执行支持持续集成系统和发布生成流程的任务的框架)。
注意到的新基地:
- (monitor.firefox.com),
- (l10n.mozilla.org),
- 服务 (Stripe 支付系统上方的带子),
- (加上 以保护交通),
- (用于广播生成版本的请求的系统),
- (语音识别 API 底层的语音识别系统)。
此外,您可以 计划于 7 月 72 日发布 Firefox XNUMX 时激活 向网站提供额外权力的烦人请求。 许多网站滥用浏览器请求权限的能力,主要是定期请求推送通知。 遥测分析显示,97% 的此类请求被拒绝,其中 19% 的情况是用户没有单击同意或拒绝按钮就立即关闭页面。 在 Firefox 72 中,除非记录用户与页面的交互(鼠标单击或按键),否则此类请求将被阻止。
在 Firefox 72 即将发生的变化中,以下内容也很引人注目: 滚动条的当前页面背景颜色和 公钥绑定(PKP,公钥固定),它允许使用 Public-Key-Pins HTTP 标头显式确定哪些证书颁发机构可用于给定站点的证书。 引用的原因是对该功能的需求较低,存在兼容性问题的风险(PKP 支持 Chrome 中)以及由于绑定错误密钥或丢失密钥(例如,由于黑客攻击而意外删除或泄露)而阻止您自己的网站的能力。
来源: opennet.ru