The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Mozilla расширяет программу выплаты вознаграждений за выявление уязвимостей

20.11.2019 14:55

Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в элементах инфраструктуры, связанных с разработкой Firefox. Размер премий за выявление уязвимостей на сайтах и в сервисах Mozilla увеличен в два раза, а премия за выявление уязвимостей, которые могут привести к выполнению кода на ключевых сайтах, доведена до 15 тысяч долларов.

За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF - 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org и ещё несколько десятков сайтов, связанных с дополнениями, обновлениями, загрузкой, синхронизацией и статистикой.

Для базовых сайтов размер премии примерно в два раза меньше. К базовым сайтам отнесены observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org и некоторые внутренние сервисы для разработчиков.

По сравнению с ранее действующими условиями, в число ключевых сайтов и сервисов добавлены:

  • Autograph (сервис цифровых подписей),
  • Lando (сервис автоматического размещения кода из Phabricator в репозиториях),
  • Phabricator (инструментарий управления кодом, применяемый для рецензирования изменений),
  • Taskcluster (фреймворк для выполнения задач, поддерживающий систему непрерывной интеграции и процессы формирования релизов).

Из новых базовых сайтов отмечены:

Дополнительно можно отметить намерение активировать в намеченном на 7 января релизе Firefox 72 методы борьбы с назойливыми запросами на предоставление сайту дополнительных полномочий. Многие сайты злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения. В Firefox 72 подобные запросы будут блокироваться, если не зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш).

Из грядущих изменений в Firefox 72 также выделяется использование цвета фона текущей страницы для полосы прокрутки и удаление возможности привязки открытых ключей (PKP, Public Key Pinning), позволяющей при помощи HTTP-заголовка Public-Key-Pins явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP прекращена в Chrome) и возможность заблокировать собственный сайт из-за привязки не тех ключей или утери ключей (например, случайное удаление или компрометация в результате взлома).

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Началось формирование ASan-сборок Firefox для выявления проблем при работе с памятью
  3. OpenNews: Инициатива по выплате вознаграждений за поиск уязвимостей на сайтах Mozilla
  4. OpenNews: Mozilla увеличивает размер вознаграждения за выявление уязвимостей в Firefox
  5. OpenNews: Mozilla повышает вознаграждение за нахождение ошибок безопасности в 6 раз
  6. OpenNews: Компания Google вводит в практику оплату за обнаружение уязвимостей в Chromium
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/51903-mozilla
Ключевые слова: mozilla, firefox, bounty
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:00, 20/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    Сотня никому не нужных сервисов видимо более экономически целесообразна, чем заниматься развитием веб-браузера для этих сервисов. Можно предположить, это в связи с тем, что данными можно торговать. А пользователям можно только рекламу впихнуть, и это менее выгодно.
     
     
  • 2.7, Kuromi (ok), 17:41, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Если вы про это
    "
        Autograph (сервис цифровых подписей),
        Lando (сервис автоматического размещения кода из Phabricator в репозиториях),
        Phabricator (инструментарий управления кодом, применяемый для рецензирования изменений),
        Taskcluster (фреймворк для выполнения задач, поддерживающий систему непрерывной интеграции и процессы формирования релизов). "

    То эти "не нужные сервисы" вообще-то используются для размещения, проверки патчей и обеспечения сборки тестовых билдов на которых обкатывают эти свежие патчи. ЕСли это все "не нужно", то что, по вашему в Мозилле в блокноте что ли код писать должны?

    Тоже самое можно сказать и про платформу локализации и прочие примочки.

     
     
  • 3.10, Аноним (1), 17:57, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Это их половые проблемы. Если эта самописная инфраструктура лучше решает задачи, то пусть, Я говорю про шпионские сервисы, которые они усиленно развивают в последние годы.
     

  • 1.2, Аноним (2), 15:16, 20/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Джо прибежал и умоляет, чтобы за ним погнались. Ну или хотя бы сделали вид, что погнались, ну так, чисто для приличия.
     
     
  • 2.17, Ано Нимный (?), 02:37, 21/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Угу. Opera уже скачал. Терпима. Apt репо с Deb удивил. Жизнь полна!! )
     

  • 1.3, FedeX (ok), 15:33, 20/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот бы еще явные баги в браузере фиксить начали наконец, не только "уязвимости". Задолбали уже глюки с полями ввода текста.
     
     
  • 2.5, Аноним (1), 15:54, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы ещё на что-то рассчитываете, после того, как они пульсу захардкодили в бинарных сборках? Так у них были хотя бы линуксоиды, но и от них отвернулись.
     
     
  • 3.6, ryoken (ok), 16:51, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как захардкодили..? А как это я в Gentoo вообще без пульсы живу и в ФФе ютуб смотрю? :D
     
     
  • 4.8, user90 (?), 17:41, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Анон про бинарные пакеты для своего дистрибутивчега, а не про генты.
     
  • 4.9, Аноним (1), 17:49, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я добавил "в бинарных сборках". Это значит, что у среднего пользователя есть выбор из файрфокса и рандомных форков собранных с другими параметрами. Ещё у него есть возможность собрать самостоятельно, но нет возможности легально распространить полученное в результате.

    Какие есть форки, собираемые с выключенной пульсой? И поскольку это хардкод, я не могу запустить пульсу и начать использовать браузер с пульсой, когда она мне нужна. Во всяком случае нормально.

    >как это

    Не открыл Америку, у меня тоже gentoo и мне приходится собирать хруст с нодой для браузера. А ещё я собираю с гцц вместо шланга, что является дополнительным бонусом. Но хруст приходится собирать всё равно. Я бы взял бинарную версию, если бы она работала.

     
     
  • 5.12, Ретроград (?), 20:44, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всего одно слово: apulse. Не благодари.
     
  • 5.28, Илья (??), 08:30, 23/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я не понимаю вас. Вы не реальные  проблемы озвучиваете, а только те, которые создали себе сами
     
     
  • 6.29, Аноним (1), 14:21, 23/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Я не понимаю вас. Вы не реальные  проблемы озвучиваете, а только
    > те, которые создали себе сами

    "Будь как все"? Меня не устраивает качество работы пульсы, она создаёт ощутимые задержки и рассинхрон. Навязывать пульсу мне не нужно, проблема только у одного производителя трёхпроцентного недобраузера, не считающего линукс за достойную их внимания платформу.

     
     
  • 7.30, Илья (??), 11:14, 24/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > "Будь как все"? Меня не устраивает качество работы пульсы, она создаёт ощутимые
    > задержки и рассинхрон. Навязывать пульсу мне не нужно, проблема только у
    > одного производителя трёхпроцентного недобраузера, не считающего линукс за достойную
    > их внимания платформу.

    желчный вы тип

     
  • 4.18, Аноним84701 (ok), 02:48, 21/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Как захардкодили..? А как это я в Gentoo вообще без пульсы живу
    > и в ФФе ютуб смотрю? :D

    А вот так:
    https://groups.google.com/forum/#!topic/mozilla.dev.platform/jRAqSTri66I
    > Our ALSA backend has fallen behind in features, it is buggy and difficult to fix. PulseAudio is contrastingly low maintenance. I propose discontinuing support for ALSA in our official builds and moving it to off-by-default in our official builds.
    > Leaving all the ALSA code in tree gives people the opportunity to continue maintaining the ALSA backend. Re-enabling it would require bringing it up to the same standard as other backends, not only in terms of current state but also in terms of consistency of contribution.

     
  • 3.19, iPony129412 (?), 05:40, 21/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы ещё на что-то рассчитываете, после того, как они пульсу захардкодили в бинарных сборках? Так у них были хотя бы линуксоиды, но и от них отвернулись.

    Ну да, сказки рассказывай. 2% от 2% отвернулось.
    Ты очень сильно преувеличиваешь пользователей линукса без PulseAudio

     

  • 1.4, Аноним (4), 15:38, 20/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почувствовали тенденцию роста процента пользователей в свою сторону?
     
  • 1.11, Аноним (11), 19:51, 20/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    что то исправляют, уже хорошо!
     
  • 1.13, Аноним (13), 21:26, 20/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Форкните его, кто может. Чтоб продолжать нужное людям.
     
  • 1.14, AntonAlekseevich (ok), 22:52, 20/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хмм... Что будут делать Enterprise'ы без PKP или все уже переехали на подобие CAdES'ов?
     
  • 1.15, Аноним (15), 23:37, 20/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >премия за выявление уязвимостей, которые могут привести к выполнению кода на ключевых сайтах, доведена до 15 тысяч долларов.

    Нищеброды, возможно бомжи из Казанского вокзала согласятся работать за такую оплату. Каков платёж, таков и работёж! Google — наше Всё, да и с деньгами не подводил ни разу!

     
  • 1.16, Аноним (16), 00:37, 21/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >удаление возможности привязки открытых ключей (PKP, Public Key Pinning)

    Решили удалить единственную защиту от нечестных CA.

    >риск проблем с совместимостью (поддержка PKP прекращена в Chrome)

    По этой логике надо срочно закрывать проект Firefox - поддержки Firefox в Chrome никогда и не завозили.

    >возможность заблокировать собственный сайт из-за привязки не тех ключей или утери ключей (например, случайное удаление или компрометация в результате взлома).

    Это не баг, это фича.

     
  • 1.20, Аноним (20), 08:44, 21/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Можете минусовать, но я как разработчик устал уже от этого Firefox. Уже даже microsoft признал, что лучше использовать общий движок от гугла, чем делать свой продукт. Если все бы браузеры объединились и работали чисто над chromium, то всем разработчикам бы стало в разы легче делать качественные сайты, а не думать как же там в разных браузерах будет. Тут аналогия как с ядром Linux, есть одно ядро и все счастливы.
     
     
  • 2.24, Аноним (24), 13:59, 21/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Никто хромым не пользуется. Тем более тут нет людей из микрософта. А микрософт может хоть эксплорером пользоваться. В разы легче делать качественные сайты сразу в свободном браузере. Хромой же гордился, что у них все страницы именно так выглядят, как стандарт задумывал. Значит нет смысла над хромым париться и подстраиваться под гуглозонды.
     
     
  • 3.25, Аноним (25), 16:34, 21/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Никто хромым не пользуется.

    Ой да ладно. Держите свои извращённые фантазии при себе. Если не пользуются в вашей секте, совсем не означает никто, мир есть за пределами вашей религиозной организации.

     
  • 3.26, Аноним (20), 19:29, 21/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Скажите это примерно 70 процентам людей земного шара.
     

  • 1.22, Аноним (15), 11:14, 21/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения.

    Как так-то это же свабодная телеметрия? Какой ещё анализ?

     
  • 1.23, Аноним (24), 13:56, 21/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Еще надо автоблокировку сообщений о сохранении куки настроить, чтобы нельзя было согласиться на их использование. Чтобы не было возможности заявить мол продолжение использования сайта равносильно согласию обработке персональных данных.
     
     
  • 2.27, Аноним (16), 22:14, 21/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Давно уже реализовано. Сообщение не исчезает, но и куки не сохраняются.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру