Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

«Аргумент предъявил — гонорар получил». Mozilla приучает багхантеров к качественной работе

leer en español

Mozilla Firefox Bug Bounty уязвимости кибербезопасность исследователи
«Аргумент предъявил — гонорар получил». Mozilla приучает багхантеров к качественной работе
Mozilla Firefox Bug Bounty уязвимости кибербезопасность исследователи

Время простых находок и лёгкой прибыли осталось позади.

image

Разработчики Firefox пересмотрели правила одной из самых старых программ вознаграждений за найденные уязвимости. За два десятилетия инициатива успела стать ориентиром для отрасли, но изменившийся характер угроз заставил команду обновить подход — теперь акцент смещается на действительно критичные проблемы и качественные исследования.

Mozilla решила почти не трогать процесс отправки отчётов, чтобы не ломать привычную работу специалистов. Основные изменения касаются требований к самим находкам. Команда ориентируется на практическую значимость: приоритет получают подтверждённые уязвимости с воспроизводимыми сценариями. Теперь для получения вознаграждения необходимо приложить простой тестовый пример, который демонстрирует проблему. Сообщения без убедительных доказательств будут рассматриваться в последнюю очередь.

Отдельное внимание уделили оригинальности. В последние годы выросло число дубликатов и ситуаций, когда внешние участники опережали внутренние инструменты анализа. Чтобы снизить такие случаи, Mozilla ввела дополнительный срок в семь дней — за это время автоматические системы компании получают шанс первыми выявить дефекты. Такой шаг, по мнению разработчиков, должен подтолкнуть сообщество к более глубоким и оригинальным исследованиям, а не к повторению уже известных результатов.

Изменения затронули и архитектурный подход к безопасности. Firefox уже использует изолированные процессы для снижения рисков, и теперь максимальные выплаты будут доступны только за атаки, которые затрагивают основной процесс с более высоким уровнем привилегий. В 2026 году браузер получит отдельный изолированный процесс для работы с графикой на всех операционных системах. После этого уязвимости в графическом стеке перестанут рассматриваться как полный выход из песочницы, хотя и сохранят высокий приоритет из-за риска повреждения памяти.

Пересмотрена и система выплат. Под «выходом из песочницы» теперь понимаются только атаки, которые дают контроль над более привилегированным процессом. Чтение памяти или атаки между изолированными компонентами не попадают в эту категорию, хотя и остаются серьёзными находками. Самые крупные награды будут выплачивать только за обход наиболее жёстких защитных механизмов.

Команда Mozilla считает обновление логичным шагом в развитии программы и рассчитывает, что новые правила помогут сосредоточиться на действительно опасных уязвимостях и ускорят их устранение.