Творець Arc The Browser Company офіційно запустив програму винагород за помилки , щоб контролювати безпеку свого веб-переглядача на базі Chromium, що зростає. Компанія також запускає новий бюлетень безпеки, щоб підтримувати «прозору та проактивну комунікацію» з користувачами та дослідниками щодо виправлень помилок і звітів.
Браузер Arc додає бюлетені безпеки та премії за помилки
Ці зміни безпеки відбулися після жахливої помилки, яку виявив дослідник і повідомив про неї компанії, яка дозволяла зловмисникам вставляти довільний код у будь-який браузер, просто знаючи їхній ідентифікатор користувача, який легко знайти.
Проблема була всередині функції Arc Boosts, яка дозволяє налаштувати будь-який веб-сайт за допомогою CSS і Javascript. На додаток до своїх початкових пом’якшень, компанія каже, що тепер вона вимкнула Boosts з Javascript за замовчуванням і додала новий глобальний перемикач, щоб повністю вимкнути Boosts у версії Arc 1.61.2.
Досліднику, відомому як xyz3va, спочатку заплатили 2000 доларів за інформацію. Тепер, із запровадженням нової програми, The Browser Company заднім числом підвищує її до 20 000 доларів США . Уразливість було виправлено 26 серпня.
За допомогою нової програми дослідники безпеки можуть подавати звіти та отримувати винагороду залежно від серйозності помилки. Низький рівень серйозності, який є «обмеженим масштабом» або «важким для використання», може отримати до 500 доларів США, середній — до 2500 доларів США, високий — до 10 000 доларів США, а критичний — до 20 000 доларів США.
У дописі в блозі також описано нові методи пошуку інших вразливостей, як-от інструкції з розробки з додатковими перевірками коду, додавання перевірок коду, що стосуються безпеки, і наймання нового персоналу для команди інженерів безпеки.