Mozilla jep 10 mijë $ për ata që gjejnë vrima të sigurisë në verifikimin me certifikatë në Firefox 31

Mozilla gjatë ditës së enjte lajmëroi për një librari të re të verifikimit të certifikatave në Gecko, që është makina e shfletuesit që është përdorur në shumë aplikacione të kompanisë. Në të njëjtën kohë, kompania është duke ofruar një shpërblim special prej 10 mijë dollarëve për gjetjen e vrimave të sigurisë për verifikimin e certifikatave në Firefox 31, që për momentin është në versionin testues Nightly, por që është planifikuar të lëshohet më 31 korrik.

Mozilla thotë që është e interesuar në radhë të parë në vrima që mundësojnë konstruktimin e zinxhirëve të certifikatave që pranohen si të vlefshme kur duhet të refuzohen, ose çfarëdo gjëje në kod që çon në keq shfrytëzim të memories. Në përgjithësi, nëse Firefox-i nuk është në gjendje të verifikojë ndryshe certifikatat e vlefshme, Mozilla nuk e konsideron atë si një vrimë në siguri, por si një vrimë që ka shkaktuar që shfletuesi të pranojë reagime të pavërteta OCSP.

Mozilla thotë që hulumtuesit e sigurisë mund të kualifikohen për këtë shpërblim special duke i respektuar fillimisht rregullat e programit të vet të shpërblimit për vrimat e sigurisë. Sidoqoftë, është bërë edhe shtimi i kërkesave shtesë:

-Vrima duhet të jetë në, ose e shkaktuar nga kodi në security/pkix ose security/certverifier siç përdoret në Firefox. -Shfrytëzimi duhet të shkaktohet përgjatë shfletimit normal të uebit (për shembull “vizito faqen HTTPS të sulmuesit”). -Çështja duhet të jetë e shpalosur në hollësi të mjaftueshme, duke përfshirë rastet testuese, certifikatat, ose madje edhe një dëshmi që është duke u përdorur rreth serverit të konceptualizuar, në mënyrë që Mozilla të mund ta riprodhojë problemin. -Raporti duhet të mbushet deri më 30 qershor 2014, ora 11:59 pas dite (zona kohore e Paqësorit).

Nëse gjeni një vrimë të sigurisë që nuk i përmbush të gjithë parametrat e mësipërm, ju mund ta dërgoni atë në buzilla.mozilla.org dhe ta dërgoni ID-në e vrimës nësecurity@mozilla.org. Mozilla mund të ju paguajë deri në 3,000 dollarë për një vrimë standarde të sigurisë. (CIO Albanian)