<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
That sounds like an excellent KR for a security-themed O for Q1; Greg,<br>
do you have a sense of how much of this is dev work, versus ops/config<br>
changes, versus stuff that's out of our hands entirely?</blockquote></div><br></div><div class="gmail_extra">stomlinson went over the scans with me on Friday.<br><br>They're all security header issues.  Adding CSP to <a href="http://verifier.accounts.firefox.com">verifier.accounts.firefox.com</a> might entail some dev work, but the rest look like CDN changes and scanner changes (like not reporting counting a failure for a report only CSP header when a CSP header is also returned).<br></div></div>