The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

25.09.2018 Компания Mozilla ввела в строй сервис Firefox Monitor (15 +1)
  Компания Mozilla объявила о публичной доступности сервиса Firefox Monitor, который позволяет проверить свой email на предмет возможной компрометации связанных с ним учётных записей. Кроме того, сервис позволяет подписаться на отправку уведомлений в случае если указанный email будет фигурировать в новых утечках паролей.

Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о более чем 5.4 миллиардах учётных записей, похищенных в результате взломов более 300 сайтов. Метод проверки является анонимным и основан на передаче префикса SHA-1 хэша от email (несколько первых символов), в ответ на который сервер выдаёт соответствующие запросу хвосты хэшей из своей базы, а браузер на своей стороне сверяет их с имеющимся полным хэшем и в случае совпадения выдаёт предупреждение (полный хэш не передаётся).

  1. Главная ссылка к новости
  2. OpenNews: В Firefox 62 планируют активировать системное дополнение Firefox Monitor
  3. OpenNews: В Firefox планируют выводить предупреждение при посещении ранее взломанных сайтов
  4. OpenNews: Сервис проверки скомпрометированных учётных записей опубликовал 500 млн паролей
  5. OpenNews: Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей
Обсуждение (15 +1) | Тип: К сведению |
25.09.2018 Дистрибутив Fedora 29 перешёл на стадию бета-тестирования (12)
  Началось тестирование бета-версии дистрибутива Fedora 29. Бета-выпуск ознаменовал переход на финальную стадию тестирования, при которой допускается только исправление критических ошибок. Релиз запланирован на 30 октября. Выпуск охватывает Fedora Workstation, Atomic Host, Fedora Server, Fedora Silverblue и Live-сборки, поставляемые в форме спинов c десктоп-окружениями KDE Plasma 5, Xfce, MATE, Cinnamon, LXDE и LXQt. Сборки подготовлены для архитектур x86_64, ARM (Raspberry Pi 2 и 3), ARM64 (AArch64) и Power.

Наиболее заметные улучшения в Fedora 29:

  • Модульный репозиторий пакетов, который в Fedora 28 был предложен для пользователей Fedora Server, теперь по умолчанию включён для всех редакций Fedora. Репозиторий предлагает сгруппированные в модули наборы rpm-пакетов, поддержка которых осуществляется независимо от релизов дистрибутива. Модульная организация позволяет пользователю переходить на новые значительные выпуски приложения не дожидаясь нового релиза дистрибутива и оставаться на старых, но ещё поддерживаемых, версиях после обновления дистрибутива. Также имеется возможность параллельной установки модулей с разными версиями одного и того же приложения. Модули включают базовое приложение и необходимые для его работы библиотеки (в качестве зависимости могут использоваться другие модули);
  • Рабочий стол обновлён до GNOME 3.30. В состав включено новое приложение для прослушивания подкастов. В менеджере приложений (GNOME Software) появилась поддержка автоматического обновления пакетов в формате Flatpak;
  • Компоненты рабочего стола Xfce обновлены до экспериментальной ветки 4.13, в которой формируется будущий стабильный релиз 4.14, примечательный переходом на GTK3+;
  • Редакция Fedora Atomic Workstation переименована в Fedora Silverblue. Редакция Fedora Silverblue отличается от Fedora Workstation поставкой в монолитном виде, без разделения базовой системы на отдельные пакеты, с применением атомарного механизма обновления и с установкой всех дополнительных приложений в виде flatpak-пакетов, запускаемых в изолированных контейнерах;
  • Стабилизация локальной системы хранения Stratis, предоставляющей инструменты для упрощения настройки и управления дисками и SSD, напоминающие по возможностям Btrfs, ZFS и LVM. Stratis реализован в виде слоя (демон stratisd), построенного поверх подсистемы devicemapper и XFS, и позволяющего использовать такие возможности как динамическое выделение места в хранилище, снапшоты, обеспечение целостности и создание слоёв для кэширования, без наличия квалификации эксперта по администрированию систем хранение. Для управления предоставляется D-Bus API и cli-утилита;
  • При установке Fedora в качестве единственной ОС на компьютере загрузочное меню GRUB теперь скрывается;
  • Обновлены версии приложений, в том числе: Binutils 2.31, Glibc 2.28, Node.js 10, Python 3.7, Ruby on Rails 5.2, Golang 1.11, Perl 5.28 (вместо search.cpan.org задействован metacpan.org), MySQL 8, Java 11;
  • Исполняемый файл /usr/bin/python перемещён в отдельный пакет python-unversioned-command;
  • Отключено автоматическое сохранение файлов с предкомпиляцией байткода Python (файлы *.pyc) в не специфичных для Python каталогах (в /usr/lib/python3.7/ предкомпилированый байткод оставлен);
  • Пакеты для архитектуры i686 теперь собираются с включением оптимизаций, применяющих инструкции SSE2;
  • Для систем ARMv7 и aarch64 добавлена возможность сжатия файла подкачки с использованием технологии ZRAM;
  • В GnuTLS по умолчанию включена поддержка TLS 1.3;
  • В пути PATH каталоги ~/.local/bin и ~/bin перемещены в начало списка, т.е. локальной установленные пользователем исполняемые файлы теперь будут запускаться в первую очередь, если они пересекаются с системными программами (данное поведение соответствует Debian и Ubuntu);
  • Прекращена поддержка архитектуры PPC64 (big endian). Поддержка ppc64le (little endian) сохранена;

  1. Главная ссылка к новости
  2. OpenNews: Из Fedora будут исключать пакеты с неисправленными уязвимостями
  3. OpenNews: Представлен проект Fedora CoreOS
  4. OpenNews: Проект Silverblue будет развивать атомарно обновляемый вариант Fedora Workstation
  5. OpenNews: Релиз Linux-дистрибутива Fedora 28
  6. OpenNews: Объявлено о создании редакции Fedora для интернета вещей
Обсуждение (12) | Тип: Программы |
25.09.2018 Chrome 69 оставляет Cookie Google после выполнения функции чистки всех Cookie (61 –3)
  Помимо скрытия тривиальных поддоменов и автоподключения к учётной записи в Chrome 69 всплыло ещё одно спорное изменение. После нажатия в настройках кнопки для очистки всех Cookie в браузере теперь остаются сеансовые Cookie для сервисов Google, если активна привязка Chrome к учётной записи. Проблема в том, что привязка браузера к учётной записи производится автоматически при аутентификации в любом сервисе Google, т.е. для очистки всех Cookie отныне вначале нужно отсоединиться от учётной записи Google, иначе Cookie Google останутся на месте.

Формально заявленная функциональность не нарушается, так как Cookie Google удаляются вместе с остальными Cookie, но сразу же пересоздаются в том же виде. Кроме того, замечено, что функция очистки данных в браузере ("Clear browsing data" -> "Cookies and other site data") не очищает локальное хранилище, доступное через API localStorage, в котором рекламные сети всё чаще сохраняют идентификаторы для отслеживания пользователей.

  1. Главная ссылка к новости
  2. OpenNews: В Chrome появилось автоподключение к учётной записи. Чистка Chromium от привязок к Google
  3. OpenNews: В Chrome 70 планируют прекратить отображение "file://" в адресной строке
  4. OpenNews: Google намерен уйти от показа традиционного URL в адресной строке Chrome
  5. OpenNews: Релиз web-браузера Chrome 69 с переработанным интерфейсом пользователя
  6. OpenNews: Релиз Chrome OS 69 с обновлённым интерфейсом и поддержкой Linux
Обсуждение (61 –3) | Тип: Тема для размышления |
25.09.2018 Выпуск nginx 1.15.4 (1 –1)
  Доступен выпуск основной ветки nginx 1.15.4, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.14 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей).

Основные изменения:

  • Директива "ssl_early_data", применяемая для включения режима 0-RTT при использовании TLSv1.3, теперь может применяться совместно с OpenSSL (ранее поддерживался лишь BoringSSL);
  • Устранены ошибки в модуле ngx_http_uwsgi_module;
  • Решены проблемы с применением кэширования соединений к некоторым бэкендам gRPC при использовании директивы "keepalive";
  • Устранена утечка сокетов при использовании директивы "error_page" для перенаправления ошибок, возникающих на ранних этапах обработки запроса (в основном ошибки с кодом 400);
  • Налажено изменение кода ответа директивой "return", в случае возврата ошибки при редиректе запроса директивой "error_page";
  • Со страниц с уведомлением об ошибках и из ответов модуля ngx_http_autoindex_module убрано указание цвета при помощи атрибута "bgcolor", что могло приводить к некорректному отображению при использовании в браузерах определённых настроек цветов;
  • Для SSL-ошибок "no suitable key share" и "no suitable signature algorithm" уровень вывода сообщений в лог снижен с критического ("crit") до информационного ("info").

  1. Главная ссылка к новости
  2. OpenNews: Выпуск сервера приложений NGINX Unit 1.4
  3. OpenNews: Выпуск nginx 1.15.3
  4. OpenNews: Выпуск nginx 1.15.0
  5. OpenNews: Релиз nginx 1.14.0
Обсуждение (1 –1) | Тип: Программы |
25.09.2018 Версия 2.0 стиля оформления ЕСПД для DocBook 5 (4 +7)
  Вышла версия 2.0 набора DocBook-оформления для создания электронных и печатных документов по стандарту ГОСТ 19 (ЕСПД). В новую версию вошли многочисленные улучшения и исправления соответствия стандарту ГОСТ 19, а также некоторые элементы стандарта ЕСКД (ГОСТ 2):
  • Оформления длинных таблиц (более одной страницы);
  • Подписи к рисункам и таблицам;
  • Оформление примечаний;
  • Оформление приложений.

Помимо стилей, в версии 2.0 обновлены шаблоны документов. Проект предлагает следующие стандарты оформления: ЕСКД, ЕСКД (частично) и «современный» стиль. Все варианты используют общие принципы и параметры и могут совместно применяться для исходной документации. Материалы проекта распространяется на условиях лицензии GPLv3.

  1. Главная ссылка к новости
  2. OpenNews: Версия 1.0 стиля оформления ЕСПД для DocBook 5
  3. OpenNews: Выпуск текстового редактора TEA 43
  4. OpenNews: Доступен пакет GNU Texinfo 5.0
Обсуждение (4 +7) | Автор: Василий | Тип: К сведению |
25.09.2018 Доступна система фильтрации спама Rspamd 1.8 (7 +8)
  Состоялся релиз системы фильтрации спама Rspamd 1.8, предоставляющей средства для оценки сообщений по различным критериям, включая правила, статистические методы и чёрные списки, на основе которых формируется итоговый вес сообщения, используемый для принятия решения о необходимости блокировки. Rspamd поддерживает практически все возможности, реализованные в SpamAssassin, и имеет ряд особенностей, позволяющих фильтровать почту в среднем в 10 раз быстрее, чем SpamAssassin, а также обеспечивать лучшее качество фильтрации. Код системы написан на языке Си и распространяется под лицензией Apache 2.0.

Rspamd построен с использованием событийно-ориентированной архитектуры (Event-driven) и изначально рассчитан на применение в высоконагруженных системах, позволяя обрабатывать сотни сообщений в секунду. Правила для выявления признаков спама отличаются высокой гибкостью и в простейшем виде могут содержать регулярные выражения, а в более сложных ситуациях могут оформляться на языке Lua. Расширение функциональности и добавление новых типов проверок реализуется через модули, которые могут создаваться на языках Си и Lua. Например, доступны модули для проверки отправителя с использованием SPF, подтверждения домена отправителя через DKIM, формирования запросов в списки DNSBL. Для упрощения настройки, создания правил и отслеживания статистики предоставляется административный web-интерфейс.

Основные новшества:

  • Добавлен фреймворк для извлечения данных из сообщений и дальнейшего использования этих данных в плагинах (например, в multimap, reputation или ratelimits) или регулярных выражениях, обработав с привлечением функций преобразования строк. Например, можно извлечь адрес из поля From и преобразовать его в нижний регистр ("smtp_from.lower") или извлечь тему письма, привести к нижнему регистру, вычислить хэш и выдать первые 16 символов результата ("header('Subject').lower.digest('hex').substring(1, 16)");
  • В конструкциях на языке Lua реализована возможность использования сопрограмм для запуска обработчиков в неблокирующем режиме. Например, можно отправить сетевой запрос к антивирусному сканеру и сразу продолжить выполнение не дожидаясь результата, а ответ обработать отдельным callback-обработчиком;
  • Оптимизирована отправка SQL-запросов к СУБД Clickhouse. Для того чтобы избежать медленных запросов с использованием слияний (JOIN) в Rspamd теперь используется одна общая таблица, вместо разбиения структуры БД на несколько таблиц. Преобразование схемы хранения выполняется автоматически, но старые данные не переносятся и не удаляются, а остаются в старых таблицах. В модуле Clickhouse также реализована опциональная возможность задания правил сохранения данных для соответствия принятым в Евросоюзе нормам GDPR;
  • Улучшена обработка Unicode. Нормализация всех unicode-данных теперь выполняется до их обработки, что позволяет исключить проведение атак через подстановку похожих по начертанию глифов;
  • Переработан код для автоматического определения языка, на котором написан текст в сообщении. Новый детектор использует стоп-слова и учитывает подстановку похожих unicode-глифов. Существенно возросла производительность детектора языка, в некоторых ситуациях скорость определения возросла до 10 раз;
  • Внесены улучшения в web-интерфейс. Решены проблемы, проявляющиеся при работе в кластерных конфигурациях и при агрегирования данных. Добавлен индикатор прогресса выполнения AJAX-операций.

  1. Главная ссылка к новости
  2. OpenNews: Доступна система фильтрации спама Rspamd 1.7
  3. OpenNews: Выпуск системы фильтрации спама SpamAssassin 3.4.2
  4. OpenNews: В рамках проекта Spamnesty развивается бот для увеличения затрат спамеров
  5. OpenNews: Выпущена версия 1.0 системы фильтрации спама rspamd
  6. OpenNews: Конфликт с помещением IP-адресов Google в черный список Spamhaus
Обсуждение (7 +8) | Тип: Программы |
25.09.2018 Компания Siemens выпустила гипервизор Jailhouse 0.10 (38 +5)
  Компания Siemens представила выпуск свободного гипервизора Jailhouse 0.10, компоненты для гостевых систем которого уже включены в состав основного ядра Linux. Гипервизор поддерживает работу на системах x86_64 с расширениями VMX+EPT или SVM+NPT (AMD-V), а также на процессорах ARMv7 (Banana Pi, NVIDIA Jetson TK1, Versatile Express с Cortex-A15 или A7) и ARMv8/ARM64 (AMD Seattle, LeMaker HiKey, NVIDIA Jetson TX1, Xilinx ZCU102 ) с расширениями для виртуализации. Код проекта распространяется под лицензией GPLv2.

Гипервизор реализован в виде модуля для ядра Linux и обеспечивает виртуализацию на уровне ядра. Для управления изоляцией используются предоставляемые современными CPU аппаратные механизмы виртуализации. Отличительными особенностями Jailhouse являются легковесная реализация и ориентация на привязку виртуальных машин к фиксированному CPU, области ОЗУ и аппаратным устройствам. Такой подход позволяет на одном физическом многопроцессорном сервере обеспечить работу нескольких независимых виртуальных окружений, каждое из которых закреплено за своим процессорным ядром.

При жесткой привязке к CPU накладные расходы от работы гипервизора сводятся к минимуму и существенно упрощается его реализация, так как нет необходимости выполнения сложного планировщика распределения ресурсов - выделение отдельного ядра CPU позволяет гарантировать отсутствие выполнения на данном CPU других задач. Плюсом подобного подхода является возможность обеспечить гарантированный доступ к ресурсам и предсказуемую производительность, что делает Jailhouse отличным решением для создания решений виртуализации для задач режима реального времени. Минусом является ограниченная масштабируемость, упирающаяся в число ядер CPU.

В терминологии Jailhouse виртуальные окружения именуются "камерами" (cell). Внутри камеры система выглядит как однопроцессорный сервер, показывающий производительность близкую к производительности выделенного ядра CPU. В камере может быть запущено окружение произвольной операционной системы, урезанные окружения для запуска одного приложения и специально подготовленные отдельные приложения, предназначенные для решения задач реального времени. Конфигурация задаётся в .cell-файлах, определяющих выделяемые окружению CPU, регионы памяти и порты ввода/вывода.

В новом выпуске

  • Для защиты от атак Spectre/L1TF задействована система привязанных к CPU таблиц страниц памяти, позволяющая не допустить утечку данных из камер в момент выполнения кода гипервизора;
  • Добавлена поддержка фреймбуфера EFI, который может выступать в роли альтернативы UART;
  • Предложен новый биндинг на языке Python - "pyjailhouse", предоставляющий API для управления гипервизором;
  • Удалён код для поддержки VGA (рекомендуется использовать фреймбуфер EFI) и платформы VExpress (виртуальный ARMv7 для QEMU);
  • Команда "jailhouse hardware check" теперь не требует наличия конфигурации системы;
  • В демонстрационных окружениях (inmates) все настройки, выполняемые на этапе сборки, преобразованы в файлы конфигурации камер и runtime-параметры запуска. В обработчиках прерываний для процессоров ARM обеспечено сохранение/восстановление регистров;
  • Для платформ ARM представлена базовая поддержка SMCCC (SMC Calling Convention);
  • Добавлена поддержка более 8 ARM CPU с GICv3 (ARM Generic Interrupt Controller);

В следующем выпуске планируется появление нескольких реализаций IOMMU для ARM64, включение поддержки платы Xilinx Ultra96, стандартизация программного интерфейса для обмена данными между камерами, поддержка virtio поверх транспортов на базе разделяемой памяти.

  1. Главная ссылка к новости
  2. OpenNews: Компания Siemens выпустила гипервизор Jailhouse 0.9
  3. OpenNews: Проект Xen представил Unikraft для выполнения приложений поверх гипервизора
  4. OpenNews: Linux Foundation развивает новый гипервизор ACRN для встраиваемых устройств
  5. OpenNews: Выпуск libOS, unikernel на языке Rust для запуска приложений поверх гипервизора
  6. OpenNews: Компания Siemens представила Jailhouse, новый открытый гипервизор для Linux
Обсуждение (38 +5) | Тип: Программы |
25.09.2018 Компания Oracle выпустила обновление Solaris 11.4 SRU 1 (7 +5)
  Опубликовано обновление операционной системы Solaris 11.4 SRU 1, в котором предложена первая серия исправлений и улучшений для недавно выпущенной ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду 'pkg update'. Формирование сервисных обновлений для ветки Solairs 11.3 прекращено.

Основные изменения в Solaris 11.4 SRU 1:

  • Добавлена поддержка резервирования блоков памяти для изолированных зон (Memory Reservation Pools for Kernel Zones), позволяющая исключить ситуации невозможности выделения памяти в Kernel Zone в условиях большой фрагментации памяти на высоконагруженных системах.
  • Обновлены версии программ: vim 8.1.0209, mailman 2.1.29, Samba 4.8.4, Kerberos 5 1.16.1, webkitgtk+ 2.18.6, curl 7.61.0, sqlite 3.24.0, Apache Tomcat 8.5.32, Thunderbird 52.9.1, Apache httpd 2.4.34, Wireshark 2.6.2, MySQL 5.7.23 и OpenSSL 1.0.2p.

  1. Главная ссылка к новости
  2. OpenNews: Релиз Solaris 11.4
  3. OpenNews: Компания Oracle выпустила обновление Solaris 11.3 SRU 35
  4. OpenNews: Компания Oracle выпустила обновление Solaris 11.3 SRU 34
  5. OpenNews: Компания Oracle выпустила обновление Solaris 11.3 SRU 33
  6. OpenNews: Выпуск дистрибутива OpenIndiana 2018.04, продолжающего развитие OpenSolaris
Обсуждение (7 +5) | Тип: Программы |
25.09.2018 В CDN Cloudflare внедрена поддержка ESNI для шифрования имени хоста в HTTPS-трафике (67 +17)
  Компания Cloudflare сообщила о реализации в своей сети доставки контента поддержки TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.

До сих пор для организации работы на одном IP-адресе нескольких HTTPS-сайтов применялось расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера или владельца точки беспроводного доступа выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS.

ESNI устраняет этот недостаток и полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ESNI даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса. Системы инспектирования трафика будут видеть только обращения к CDN и не смогут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата. Возможным каналом утечки остаётся DNS, но для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS или DNS-over-TLS.

На стороне клиента экспериментальная поддержка ESNI реализована в ночных сборках Firefox, а также в библиотеках BoringSSL (используется в Chromium), NSS (используется в Firefox) и picotls (используется в http-сервере h2o). При использовании ESNI имя хоста как и в SNI передаётся в сообщении ClientHello, но содержимое поля server_name зашифровано. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу.

  1. Главная ссылка к новости
  2. OpenNews: Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
  3. OpenNews: Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS-сайтов
  4. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
  5. OpenNews: Mozilla тестирует DNS поверх HTTPS и применение GPU для отрисовки
  6. OpenNews: Опубликован RFC для TLS 1.3
Обсуждение (67 +17) | Тип: К сведению |
24.09.2018 Проект Genode опубликовал третий тестовый выпуск ОС общего назначения Sculpt (25 +21)
  Разработчики открытой микроядерной операционной системы Genode OS Framework сформировали третий тестовый выпуск операционной системы Sculpt. В рамках проекта Sculpt на базе технологий Genode развивается операционная система общего назначения, которая сможет быть использована обычными пользователями для выполнения повседневных задач. Исходные тексты проекта распространяются под лицензией AGPLv3. Для загрузки предлагается LiveUSB-образ, размером 23 Мб. Поддерживается работа на системах с процессорами и графической подсистемой Intel.

Третий выпуск получил название "Visual Composition", которое отражает поставку доработанного графического интерфейса Leitzentrale, позволяющего выполнять типовые задачи по администрированию системы. В любой момент пользователь может переключиться в консольный режим управления, который пока предоставляет большую гибкость в управлении. В ноябре ожидается выпуск "Community Experience" с доведёнными до готовности средствами для формирования начинки из отдельных компонентов.

В левом верхнем углу графического интерфейса отображается меню с инструментами для управления пользователями, подключения накопителей и настройки сетевого соединения. В центре присутствует конфигуратор для компоновки начинки системы, который предоставляет интерфейс в виде графа, определяющего взаимосвязь между системными компонентами. Пользователь может в интерактивном режиме произвольно удалять или добавлять компоненты, определяя состав системного окружения или виртуальных машин.

Традиционный рабочий стол может быть организован в виде запуска дистрибутива TinyCore Linux в виртуальной машине с Linux. В данном окружении доступны браузеры Firefox и Aurora, текстовый редактор на базе Qt и различные приложения. Для запуска утилит командной строки предлагается окружение noux.

Напомним, что Genode предоставляет унифицированную инфраструктуру для создания пользовательских приложений, работающих поверх ядра Linux (32 и 64 бит) или микроядер NOVA (x86 с виртуализацией), Fiasco.OC (x86_32, x86_64, ARM), L4ka::Pistachio (IA32, PowerPC), OKL4, Codezero (ARM), L4/Fiasco (IA32, AMD64, ARM) и выполняющегося напрямую ядра для платформ ARM и RISC-V. Входящее в состав паравиртуализированное Linux-ядро L4Linux, работающее поверх микроядра Fiasco.OC, позволяет выполнять в Genode обычные Linux программы. Ядро L4Linux не работает с оборудованием напрямую, а использует сервисы Genode через набор виртуальных драйверов.

Для Genode осуществлено портирование различных Linux и BSD компонентов, обеспечена поддержка Gallium3D, осуществлена интеграция Qt, GCC и WebKit, реализована возможность организации гибридных Linux/Genode программных окружений. Подготовлен порт VirtualBox, работающий поверх микроядра NOVA. Большое число приложений адаптировано для запуска напрямую поверх микроядра и окружения Noux, обеспечивающего виртуализацию на уровне ОС. Для запуска не портированных программ предусмотрена возможность задействования механизма создания виртуальных окружений уровня отдельных приложений, позволяющих запускать программы в виртуальном Linux-окружении с использованием паравиртуализации.

  1. Главная ссылка к новости
  2. OpenNews: Проект Genode опубликовал второй тестовый выпуск ОС общего назначения Sculpt
  3. OpenNews: Проект Genode опубликовал начальный выпуск ОС общего назначения Sculpt
  4. OpenNews: Микроядерная ОС Genode переходит на лицензию AGPL
  5. OpenNews: Релиз открытой микроядерной ОС Genode 15.02
  6. OpenNews: Опубликован план превращения Genode в операционную систему общего назначения
Обсуждение (25 +21) | Тип: Программы |
24.09.2018 Дистрибутиву Fedora Linux исполнилось 15 лет (66 +14)
  Пятнадцать лет назад компания Red Hat объявила о разделении дистрибутива Red Hat Linux на два проекта - развиваемый при участии сообщества Fedora Linux и коммерческий Red Hat Enterprise Linux. Проект Fedora был ориентирован на интенсивную разработку новых Linux-технологий и раннее продвижение новшеств, с оперативным доведением их до пользователей благодаря более интенсивному циклу разработки. Первый релиз Fedora Core 1 был выпущен спустя чуть более месяца с момента объявления о разделении.

  1. Главная ссылка к новости
  2. OpenNews: Из Fedora будут исключать пакеты с неисправленными уязвимостями
  3. OpenNews: Представлен проект Fedora CoreOS
  4. OpenNews: Проект Silverblue будет развивать атомарно обновляемый вариант Fedora Workstation
  5. OpenNews: Релиз Linux-дистрибутива Fedora 28
  6. OpenNews: Объявлено о создании редакции Fedora для интернета вещей
Обсуждение (66 +14) | Тип: К сведению |
24.09.2018 В Chrome появилось автоподключение к учётной записи. Чистка Chromium от привязок к Google (139 +31)
  Мэттью Грин (Matthew Green), инициатор аудита OpenVPN и TrueCrypt, один из создателей Zerocoin и участник групп, обнаруживших уязвимости RSA BSafe, Dual_EC_DRBG, Speedpass и EZpass, попытался привлечь внимание общественности к возможным проблемам с приватностью после внедрения в Chrome нового алгоритма подключения к учётной записи. Начиная с Chrome 69 компания Google унифицировала использование учётной записи в системе синхронизации браузера и на сайтах Google. Например, если пользователь подключился к Gmail или YouTube, то Chrome автоматически привяжется к этой учётной записи, хочет того пользователь или нет.

Проблема состоит в том, что подключение браузера к учётной записи используется для организации синхронизации между разными экземплярами браузера одного пользователя. При входе на сайты Google учётная запись помимо специфичных для сервисов Google данных теперь охватывает и все информационные базы браузера, включая настройки, список установленных дополнений, содержимое закладок, сайты в открытых вкладках, историю посещений, базу автодополнения ввода и сохранённые пароли.

В настоящее время автоматический вход по умолчанию не активирует синхронизацию, но никто не может гарантировать, что в будущих версиях настройки не изменятся и информационные базы браузера не начнут зеркалироваться на серверах Google. Более того, в числе изменений интерфейса Chrome 69 предложен новый интерфейс настройки синхронизации, который ничего не поясняет, создаёт впечатление что данные уже синхронизированы и при клике на кнопке в надежде узнать детали инициирует отправку браузерных БД на серверы Google. По мнению Мэттью Грина подобные изменения интерфейса можно отнести к категории умышленных уловок (dark pattern) для введения пользователя в заблуждение и побуждения к выполнению ошибочных действий.

Представители Google объясняют появление функции автоподключения к учётной записи заботой о приватности пользователей в условиях работы с одним браузером разных людей. По мнению Google привязка учётной записи браузера ко входу на сайты Google позволит избежать случайных утечек данных по недосмотру, когда пользователь переподключился к сайту и запустил синхронизацию, не переподключив браузер к другой учётной записи, или когда он завершил сеанс на сайте, но забыл отвязать браузер от учётной записи. Привязка работает не только при входе, но и при выходе - завершив сеанс на сайте, автоматически будет завершён сеанс и в браузере. К тому же аналогичная привязка изначально применяется на платформе Android. При этом данное объяснение не показывает зачем автоматически подключать браузер к учётной записи, если пользователь до этого не пользовался данной возможностью.

Код привязки учётных записей также добавлен в Chromium, но в его кодовой базе данная возможность отключена по умолчанию (в настройках не активна опция "chrome://flags#account-consistency", которую также можно использовать для отключения привязки учётных записей в Chrome).

Для избавления кодовой базы Chromium от кода для интеграции с сервисами Google сообществом развивается проект Ungoogled Chromium, в котором также реализованы некоторые изменения, направленные на усиление приватности, прозрачности обработки информации и контроля за своими данными. Готовые сборки Ungoogled Chromium формируются для Linux (Debian, Ubuntu), macOS и Windows.

Основные изменения в Ungoogled Chromium:

  • Упоминание всех доменов в исходных текстах заменено на несуществующий домен (добавлено окончание qjz9zk);
  • Из исходных текстов удалены все бинарные файлы;
  • Отключены все функции, привязанные к сервисам Google, такие как Google Host Detector, Google URL Tracker, Google Cloud Messaging и Google Hotwording;
  • В качестве поискового движка по умолчанию выбрана заглушка "No Search" (поиск из адресной строки отключен);
  • Отключено автоматическое форматирование URL в адресной строке (не скрывается "http://", не убирается "www.", отображаются все параметры запроса);
  • В меню "More tools" добавлена кнопка для чистки кэша параметров аутентификации по запросу пользователя;
  • Все всплывающие окна принудительно открываются только как новые вкладки;
  • Отключен режим "Safe Browsing" так как загружает чёрные списки с серверов Google);
  • Отключен детектор проброса на внутренние адреса, используемый для определения web-интерфейсов для подключения к беспроводной сети (отключен так как генерирует внешние DNS-запросы);
  • Прекращена поддержка URL-схемы "trk:" (применяется для формирования запросов к сервисам Google);
  • Запрещено использование пинга IPv6-адресов для определения доступности IPv6;
  • Добавлены новые опции командной строки и настройки chrome://flags:
    • "--disable-beforeunload" - отключение JavaScript-диалогов, выводимых при вызове обработчика закрытия страницы (beforeunload);
    • "--extension-mime-request-handling" - изменение метода обработки MIME-типов: download-as-regular-file - всегда сохранять в файл; install-always - запрашивать обработчик из дополнений;
    • "--fingerprinting-canvas-measuretext-noise", "--fingerprinting-client-rects-noise" - добавляют в Canvas::measureText(), getClientRects() и getBoundingClientRect() случайную погрешность в интервале от -0.0003% до 0.0003%;
    • "--fingerprinting-canvas-image-data-noise" - вносит незначительные случайные изменения во все Canvas-изображения, размером больше 10 пикселей, для противостояния скрытой идентификации по особенностям отрисовки;
    • "--max-connections-per-host" - задаёт лимит на число одновременных соединений с хостом;
    • "--set-ipv6-probe-false" - отключает проверку IPv6.

  1. Главная ссылка к новости
  2. OpenNews: В Chrome 70 планируют прекратить отображение "file://" в адресной строке
  3. OpenNews: Релиз Chrome OS 69 с обновлённым интерфейсом и поддержкой Linux
  4. OpenNews: Google намерен уйти от показа традиционного URL в адресной строке Chrome
  5. OpenNews: Релиз web-браузера Chrome 69 с переработанным интерфейсом пользователя
  6. OpenNews: Браузеру Chrome исполнилось 10 лет
Обсуждение (139 +31) | Тип: Тема для размышления |
23.09.2018 Выпуск свободных видеоредакторов OpenShot 2.4.3 и Shotcut 18.09 (45 +13)
  Подготовлен выпуск свободной системы нелинейного видеомонтажа OpenShot 2.4.3. Код проекта поставляется под лицензией GPLv3: интерфейс написан на Python и PyQt5, ядро обработки видео (libopenshot) написано на C++ и использует возможности пакета FFmpeg, интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Для пользователей Ubuntu пакеты с последним выпуском OpenShot доступны через специально подготовленный PPA-репозиторий, для остальных дистрибутивов сформирована самодостаточная сборка в формате AppImage. Имеются сборки для Windows и macOS.

Редактор отличается удобным и интуитивно понятным пользовательским интерфейсом, позволяющим редактировать видео даже начинающим пользователям. Программа поддерживает несколько десятков визуальных эффектов, дает возможность работы с многотрековыми монтажными шкалами с возможностью перемещения мышью элементов между ними, позволяет масштабировать, кадрировать, осуществлять слияние блоков видео, обеспечивать плавное перетекание из одного ролика в другой, производить наложение полупрозрачных областей и т.п. Имеется возможность перекодирования видео с предварительным просмотром изменений на лету. Благодаря задействованию библиотек проекта FFmpeg OpenShot поддерживает огромное количество форматов видео, звука и изображений (включая полную поддержку SVG).

В новой версии:

  • Инструменты наложения маски и переходные эффекты теперь могут изменяться в любой момент времени и использовать изображения и видео. В качестве основы для маски к эффектам может быть использовано представление каждого кадра в оттенках серого. Для анимированных масок реализовано новое свойство "reader", применяемое в эффектах для изменения изображения и видео;
  • Улучшено разделение операций по разным потокам, что позволяет увеличить производительность на многоядерных системах и защититься от крахов при сбое наложения эффектов, включая применение масок и переходных эффектов. Для увеличения надёжности обеспечено отключение распараллеливания операций во время выполнения экспорта;
  • Добавлена кнопка сохранения кадра для быстрого сохранения результата предпросмотра текущего кадра;
  • Представлена новая инфраструктура для поддержания перевода интерфейса на разные языки;
  • Добавлены преднастройки для Instagram и Twitter;
  • Добавлены метаданные в формате AppStream;
  • Добавлена поддержка FFmpeg 3 и 4.

Кроме того, доступен релиз видеоредактора Shotcut 18.09, который развивается автором проекта MLT и использует данный фреймворк для организации редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Для построения интерфейса применяется Qt5. Код написан на C++ и распространяется под лицензией GPLv3.

В новом выпуске:

Обсуждение (45 +13) | Тип: Программы |
23.09.2018 Проект WLinux развивает Linux-дистрибутив, нацеленный на использование в Windows (193 –33)
  Стартап Whitewater Foundry подготовил дистрибутив WLinux, оптимизированный специально для подсистемы WSL (Windows Subsystem for Linux) и рассчитанный на использование только в окружении Windows. В дистрибутиве используется пакетная база Debian и установщик WSL-DistroLauncher, подготовленный Microsoft для запуска в WSL произвольных дистрибутивов Linux. Наработки проекта свободно распространяются под лицензией MIT, но готовые сборки доступны только через магазин Microsoft Store на платной основе. Авторы проекта обещают оперативно исправлять специфичные для Windows проблемы, связанные с работой в WSL.

В отличие от уже существующих сборок Debian для WSL, в WLinux не используется системный менеджер systemd и включены некоторые дополнительные изменения и оптимизации для улучшения работы в окружении Windows. Пакеты устанавливаются из штатных репозиториев Debian. В базовую поставку входит типичный набор консольных приложений и инструментов для разработки, включая zsh, git, neovim и python 3.7. Для интеграции с Windows 10 в поставку включён набор утилит wslu. Работа производится в режиме терминала. Поддерживается запуск и графических Linux-приложений, но для их работы требуется установка платного X-сервера X410.

Напомним, что запуск родных исполняемых файлов Linux реализован через специальную прослойку, на лету транслирующую системные вызовы Linux в системные вызовы Windows, т.е. представляет собой обратный аналог системы Wine. Изначально предлагаемое пользователю окружение основано на пакетной базе Ubuntu и включает только консольные приложения. Помимо Ubuntu для установки из Microsoft Store также доступны готовые сборки Debian GNU/Linux, Kali Linux, SUSE и openSUSE.

Дополнительно можно отметить формирование компанией Canonical совместно с Microsoft отдельных сборок дистрибутива Ubuntu Desktop для виртуальных окружений на базе гипервизора Microsoft Hyper-V. Сборки включают специальные оптимизации для Hyper-V и позволяют получить полноценный рабочий стол Ubuntu 18.04 при работе в качестве гостевой системы в хост-окружениях Windows 10 Pro.

В состав включена улучшенная версия XRDP с поддержкой расширенной версии протокола RDP с режимом Enhanced Session Mode (ESM) для взаимодействия с виртуальной машиной. Благодаря ESM удалось реализовать такие улучшения, как использование общего буфера обмена, динамическое изменение размера рабочего стола, бесшовный переход мыши между рабочим столом гостевой и хост-системы, поддержка совместных каталогов для обмена файлами между Windows и Ubuntu. Microsoft также включил в состав выпуска Windows 10 Fall Creators Update утилиту Hyper-V Quick Create, позволяющую быстро сформировать рабочее окружение на базе Ubuntu.

Кроме того, поддержкой Windows заинтересовались и разработчики самодостаточных пакетов Flatpak, которые намерены обеспечить возможность установки собранных для Linux Flatpak-пакетов в Windows через поставку runtime-наборов Flatpak для WSL (Windows Subsystem for Linux). Для развития проекта в репозитории Flatpak создана отдельная WSL-ветка. Из пока нерешённых проблем упоминается отсутствие должного уровня изоляции приложений, так как в WSL не поддерживаются seccomp и пространства имён для сетевой подсистемы.

  1. Главная ссылка к новости
  2. OpenNews: Релиз дистрибутива Devuan 2.0, форка Debian 9 без systemd
  3. OpenNews: Завершено бета-тестирование подсистемы для запуска исполняемых файлов Linux в Windows
  4. OpenNews: В Windows 10 продемонстрирован запуск рабочих столов Linux при помощи штатного WSL
  5. OpenNews: Debian и Kali Linux размещены в Windows Store и доступны для установки в WSL
  6. OpenNews: Microsoft открыл код для адаптации Linux-дистрибутивов для запуска в WSL
Обсуждение (193 –33) | Тип: К сведению |
22.09.2018 Зафиксирована массовая атака на сайты с необновлённым движком WordPress (60 +5)
  В сети выявлена автоматизированная массовая атака, поражающая сайты на базе системы управления контентом WordPress, которая используется примерно на 30% из десяти миллионов крупнейших сайтов. В ходе атаки поражаются сайты с необновлённым движком, при этом в ходе вредоносной активности эксплуатируются различные ранее исправленные уязвимости, как в самом движке WordPress, так и в плагинах к нему.

В ходе атаки в JavaScript-файлы c расширением .js, в php-файлы с темами и плагинами WordPress, а также в записи из таблицы wp_posts в БД WordPress осуществляется подстановка вредоносной вставки. Код подставляется как в открытом виде, так и форме вызова "eval(String.fromCharCode(....))" с хаотичным набором цифр. При выполнении данного блока на выходе выдаётся код загрузки скрипта (ad.js, main.js, stat.js или mp3.js) с сайтов ads.voipnewswire.net, examhome.net, cdn.allyouwant.online, uustoughtonma.org, ejyoklygase.tk или mp3menu.org. Всем пользователям WordPress рекомендуется убедиться, что движок сайта и установленные плагины обновлены до самой свежей версии.

Зафиксировано несколько проявлений вредоносной активности, наиболее заметными из которых является перенаправление пришедшего на сайт пользователя на сторонние мошеннические ресурсы, например, на страницы фиктивных сообщений о выявлении вируса от технической поддержки, пытающиеся вынудить пользователя установить троянскую программу, позвонить по телефону или указать параметры своей учётной записи.

В том числе на мошеннических страницах используются манипуляции с курсором, мешающие закрыть вкладку. Подобная техника применяется для симуляции блокировки.

  1. Главная ссылка к новости
  2. OpenNews: Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля
  3. OpenNews: В WordPress 4.9.7 устранены уязвимости, позволяющие удалять файлы в системе
  4. OpenNews: В WordPress молча устранена уязвимость, позволяющая изменить любую страницу
  5. OpenNews: Более 2000 сайтов под управлением WordPress оказались поражены кейлоггером
  6. OpenNews: Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE
Обсуждение (60 +5) | Тип: Проблемы безопасности |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor