Suicide
20.11.2019, 19:26
Компания Mozilla объявила (https://blog.mozilla.org/security/2019/11/19/updates-to-the-mozilla-web-security-bounty-program/) о расширении инициативы (https://www.mozilla.org/en-US/security/web-bug-bounty/) по выплате денежных вознаграждений за выявление проблем с безопасностью в элементах инфраструктуры, связанных с разработкой Firefox. Размер премий за выявление уязвимостей на сайтах и в сервисах Mozilla увеличен в два раза, а премия за выявление уязвимостей, которые могут привести к выполнению кода на ключевых сайтах (https://www.mozilla.org/en-US/security/bug-bounty/web-eligible-sites/#critical-sites), доведена до 15 тысяч долларов.
За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF - 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org и ещё несколько десятков сайтов, связанных с дополнениями, обновлениями, загрузкой, синхронизацией и статистикой.
Для базовых сайтов (https://www.mozilla.org/en-US/security/bug-bounty/web-eligible-sites/#core-sites) размер премии примерно в два раза меньше. К базовым сайтам отнесены observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org и некоторые внутренние сервисы для разработчиков.
По сравнению с ранее действующими условиями, в число ключевых сайтов и сервисов добавлены:
Autograph (https://github.com/mozilla-services/autograph) (сервис цифровых подписей),
Lando (https://moz-conduit.readthedocs.io/en/latest/lando-user.html) (сервис автоматического размещения кода из Phabricator в репозиториях),
Phabricator (https://wiki.mozilla.org/Phabricator) (инструментарий управления кодом, применяемый для рецензирования изменений),
Taskcluster (https://docs.taskcluster.net/docs) (фреймворк для выполнения задач, поддерживающий систему непрерывной интеграции и процессы формирования релизов).
Из новых базовых сайтов отмечены:
Firefox Monitor (https://www.opennet.ru/opennews/art.shtml?num=49337) (monitor.firefox.com),
Платформа локализации (https://mozilla-l10n.github.io/localizer-documentation/) (l10n.mozilla.org),
Сервис Payment Subscription (https://github.com/mozilla/subhub) (обвязка над платёжной системой Stripe),
Firefox Private Network (https://github.com/mozilla/subhub) (дополнение с прокси (https://www.opennet.ru/opennews/art.shtml?num=51466) для защиты трафика),
Ship It (https://wiki.mozilla.org/ReleaseEngineering/Applications/Ship_It) (система трансляции запросов на формирование релизов),
Speak To Me (https://github.com/mozilla/speech-proxy) (система распознавания речи, лежащая в основе Speech Recognition API).
Дополнительно можно отметить (https://hacks.mozilla.org/2019/11/upcoming-notification-permission-changes-in-firefox-72/) намерение активировать в намеченном на 7 января релизе Firefox 72 методы борьбы (https://www.opennet.ru/opennews/art.shtml?num=50442) с назойливыми запросами на предоставление сайту дополнительных полномочий. Многие сайты злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения. В Firefox 72 подобные запросы будут блокироваться, если не зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш).
Из грядущих изменений в Firefox 72 также выделяется использование (https://bugzilla.mozilla.org/show_bug.cgi?id=1578377) цвета фона текущей страницы для полосы прокрутки и удаление (https://bugzilla.mozilla.org/show_bug.cgi?id=1412438) возможности (https://groups.google.com/forum/#!topic/mozilla.dev.platform/AyMlrNHYepE/discussion) привязки открытых ключей (PKP, Public Key Pinning), позволяющей при помощи HTTP-заголовка Public-Key-Pins явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP прекращена (https://www.opennet.ru/opennews/art.shtml?num=47466) в Chrome) и возможность заблокировать собственный сайт из-за привязки не тех ключей или утери ключей (например, случайное удаление или компрометация в результате взлома).
20.11.2019
http://www.opennet.ru/opennews/art.shtml?num=51903
За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF - 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org и ещё несколько десятков сайтов, связанных с дополнениями, обновлениями, загрузкой, синхронизацией и статистикой.
Для базовых сайтов (https://www.mozilla.org/en-US/security/bug-bounty/web-eligible-sites/#core-sites) размер премии примерно в два раза меньше. К базовым сайтам отнесены observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org и некоторые внутренние сервисы для разработчиков.
По сравнению с ранее действующими условиями, в число ключевых сайтов и сервисов добавлены:
Autograph (https://github.com/mozilla-services/autograph) (сервис цифровых подписей),
Lando (https://moz-conduit.readthedocs.io/en/latest/lando-user.html) (сервис автоматического размещения кода из Phabricator в репозиториях),
Phabricator (https://wiki.mozilla.org/Phabricator) (инструментарий управления кодом, применяемый для рецензирования изменений),
Taskcluster (https://docs.taskcluster.net/docs) (фреймворк для выполнения задач, поддерживающий систему непрерывной интеграции и процессы формирования релизов).
Из новых базовых сайтов отмечены:
Firefox Monitor (https://www.opennet.ru/opennews/art.shtml?num=49337) (monitor.firefox.com),
Платформа локализации (https://mozilla-l10n.github.io/localizer-documentation/) (l10n.mozilla.org),
Сервис Payment Subscription (https://github.com/mozilla/subhub) (обвязка над платёжной системой Stripe),
Firefox Private Network (https://github.com/mozilla/subhub) (дополнение с прокси (https://www.opennet.ru/opennews/art.shtml?num=51466) для защиты трафика),
Ship It (https://wiki.mozilla.org/ReleaseEngineering/Applications/Ship_It) (система трансляции запросов на формирование релизов),
Speak To Me (https://github.com/mozilla/speech-proxy) (система распознавания речи, лежащая в основе Speech Recognition API).
Дополнительно можно отметить (https://hacks.mozilla.org/2019/11/upcoming-notification-permission-changes-in-firefox-72/) намерение активировать в намеченном на 7 января релизе Firefox 72 методы борьбы (https://www.opennet.ru/opennews/art.shtml?num=50442) с назойливыми запросами на предоставление сайту дополнительных полномочий. Многие сайты злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения. В Firefox 72 подобные запросы будут блокироваться, если не зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш).
Из грядущих изменений в Firefox 72 также выделяется использование (https://bugzilla.mozilla.org/show_bug.cgi?id=1578377) цвета фона текущей страницы для полосы прокрутки и удаление (https://bugzilla.mozilla.org/show_bug.cgi?id=1412438) возможности (https://groups.google.com/forum/#!topic/mozilla.dev.platform/AyMlrNHYepE/discussion) привязки открытых ключей (PKP, Public Key Pinning), позволяющей при помощи HTTP-заголовка Public-Key-Pins явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP прекращена (https://www.opennet.ru/opennews/art.shtml?num=47466) в Chrome) и возможность заблокировать собственный сайт из-за привязки не тех ключей или утери ключей (например, случайное удаление или компрометация в результате взлома).
20.11.2019
http://www.opennet.ru/opennews/art.shtml?num=51903