매달이나 정기적으로 새 버전이 나올 때마다 어떤 보안 취약점이 패치가 되었고 특히 구글 크롬은 취약점 보상 액수도 공개하는 한편 평범한 사람들(컴맹을 예외로....)은 보안이 중요하다고 생각하고 업데이트를 하는데 그 평범한 사람들이 보안에 도움을 주는 방법이 있습니다.
모질라에서 2018년 7월에 ASan Nightly Project를 발표했는데 Firefox nightly와 구글에서 배포하는 AddressSanitizer(깃허브:https://github.com/google/sanitizers/wiki/AddressSanitizer)를 합친 Nigitly asan을 베포했습니다. (참고로 AddressSanitizer는 구글에서 베포하기 때문에 당연히 크롬에서도 쓰이는데 직접 소스 빌드를 해야하는 단점이 있죠)
AddressSanitizer툴은 Use after free나 오버플로우등 메모리 버그를 찾아주는 역할도하는데 그 특성상 치명적인 보안 버그일 가능성도 있기 때문에 버그 바운티 프로그램으로 인해 보상금도 받을 수있습니다.
다운로드:https://developer.mozilla.org/en-US/docs/Mozilla/Testing/ASan_Nightly_Project#Requirements에서 OS download링크를 클릭
단점이 있다면 사양을 따지는데 리눅스와 윈도우만 가능하고(맥os는 관심도 없는것 같...) 램이 16GB를 권장합니다.
설치 도중에 maintenanceservice_tmp.exe에러가 뜬는데 무시하시고
설치하고 나면 파이어폭스와(로고는 57이전 nightly로고입니다)뒤에 cmd비스무리 한게 생깁니다.
참고로 보안 바운티 보상을 얻으시려면 bugzilla계정 이메일 주소를 about:config로 가서 asanreporter.clientid
에 입력해야 합니다.
cmd를 없에면 파이어폭스가 종료되기 때문에 건드리지 마시고 그냥 웹 브라우징(이라고 하지만 그냥 실험 기능 키거나 벤치 돌려서 부하를 주는걸 추천합니다)을 하면 됩니다.
웹브라우징을 하게되면 갑자기 크러쉬가 나거나 제대로 작동이 안되는데
만약 1)처음 발견을 하고 2)파이어폭스 개발진이 고칠수 있는 보안 버그라면
이런 메일을 받게 됩니다. 그러면 밑에있는 링크로 가서 개발진들이 버그를 고치는데 도움을 주시면 됩니다.
그리고 최종적으로 이런 메일을 받으면
자기 뱅크 계정 information하고 W-9 form과 W-8ben form을 https://www.mozilla.org/en-US/security/의 맨 아래에 있는 PGP public key로 암호화 시키고 바운티 메일을 보낸 곳에 보내면 됩니다.
Known issue
1. Windows: Error during install with maintenanceservice_tmp.exe
2. 120hz 모니터로 하면 성능하락이 있습니다 임시책으로 60hz로 봐꿔주시면 됩니다.