موزیلا برنامه پاداش آسیب پذیری را گسترش می دهد

Posted on | Posted on vpn

موزیلا از گسترش یک طرح پاداش نقدی برای شناسایی مسائل امنیتی در عناصر زیربنایی مرتبط با توسعه Firefox خبر داد. حق بیمه تشخیص آسیب پذیری ها در سایت ها و سرویس های موزیلا دو برابر شده است و حق بیمه شناسایی آسیب پذیری ها که می تواند منجر به اجرای کد در سایت های کلیدی شود ، به 15000 دلار افزایش یافته است.

برای تعریف یک روش بای پس از تأیید هویت و جایگزینی کد SQL ، و 5000 دلار برای برنامه نویسی درون سایت و CSRF می توانید پاداش 6000 دلاری دریافت کنید. سایت های اصلی شامل firefox.com/org ، mozilla.com/org ، addons.mozilla.org ، getfirefox.com ، bugzilla.mozilla.org ، search.service.mozilla.com ، archive.mozilla.org ، download.mozilla. ارگ
و دهها سایت مرتبط با افزودنیها ، به روزرسانی ها ، بارگیری ها ، همگام سازی و آمار.

برای سایت های پایه ، حق بیمه تقریباً نصف اندازه است. سایت های پایه شامل Observation.mozilla.org ، getpocket.com ، premium.firefox.com ، hg.mozilla.org و برخی خدمات توسعه دهنده داخلی است.

در مقایسه با شرایط موجود قبلاً ، موارد زیر به تعداد سایتها و خدمات اصلی اضافه شد:

  • Autograph (خدمات امضای دیجیتال) ،
  • لاندو (خدمات قرار دادن خودکار کد از
    سازنده در مخازن) ،
  • جعل ساز (ابزار مدیریت کد برای بررسی تغییرات)
  • Taskcluster (چارچوبی برای انجام کارهایی که از یک سیستم ادغام مداوم پشتیبانی می کند و فرآیندهای تولید را آزاد می کند).

از سایت های پایه جدید مشخص شده:

علاوه بر این ، می توان به هدف فعال کردن روش های مقابله با درخواست های آزار دهنده برای تأمین اختیار سایت در نسخه Firefox 72 که قرار است در 7 ژانویه ارائه شود ، اشاره کرد. بسیاری از سایت ها از امکان درخواست مجوز در مرورگرها استفاده می کنند ، عمدتا با نمایش دوره ای درخواست های اعلان های فشار. تحلیل تله متری نشان داد که 97٪ چنین درخواستهایی رد می شوند ، از جمله در 19٪ موارد کاربر بلافاصله بدون فشار دادن دکمه رضایت یا رد صفحه ، صفحه را می بندد. در Firefox 72 ، در صورت عدم ثبت تعامل کاربر با صفحه ، چنین درخواست هایی مسدود می شوند (کلیک ماوس یا ضربه زدن به کلید).

تغییرات آتی در Firefox 72 همچنین استفاده از رنگ پس زمینه صفحه فعلی برای نوار پیمایش و حذف امکان اتصال کلید عمومی (PKP ، Public Key Pinning) را برجسته می کند ، این امکان را می دهد تا با استفاده از هدر HTTP-Public-Key-Pins ، صریحاً گواهینامه هایی را تعیین کنید که مقامات صدور مجوز برای یک سایت خاص معتبر است. دلایل این امر کم بودن تقاضا برای این عملکرد ، خطر بروز مشکلات سازگاری (پشتیبانی PKP در Chrome متوقف شده است) و امکان مسدود کردن سایت خود به دلیل اتصال کلیدهای اشتباه یا کلیدهای گمشده (به عنوان مثال حذف تصادفی یا سازش در نتیجه هک شدن).

OpenNET


نظرات

نظر شما