The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

18.01.2018 В Firefox 58 появится новый двухуровневый компилятор (144 +32)
  Разработчики Mozilla сообщили о включении в состав Firefox 58, релиз которого ожидается на следующей неделе, нового компилятора, который обеспечивает компиляцию промежуточного кода WebAssembly в 10-15 раз быстрее, чем используемый до этого оптимизирующий компилятор.

На типовой рабочей станции скорость компиляции кода WebAssembly достигает 30-60 Мб в секунду, а на мобильном устройстве 8 Мб в секунду, что быстрее, чем пропускная способность большинства сетей. Особенностью нового компилятора является возможность компиляции кода по мере его загрузки. В сочетании с высокой скоростью компиляции данная особенность позволяет получать готовый код почти сразу после окончания загрузки, так как большая часть кода успевает скомпилироваться во время загрузки кода.

Потребность в компиляции по мере загрузки возникла при появлении WebAssembly, так как для обычного JavaScript операции парсинга требуют заметных ресурсов, а псевдокод WebAssembly значительно проще для декодирования и компактнее (требует передачи меньшего объёма по сети для реализации аналогичной функциональности). Ранее параллельно с загрузкой JavaScript осуществлялся парсинг, который выполнялся в параллельном потоке и формировал готовый для компиляции код к моменту окончания загрузки JavaScript, но компиляция производилась после завершения разбора.

В WebAssembly готовность для компиляции наступает значительно раньше, а фазы декодирования и компиляции могут быть разделены на отдельные потоки и выполняться параллельно. Более того, компиляция может завершиться даже раньше окончания загрузки файла wasm, так как секция с кодом в модуле расположена раньше секции с данными, и псевдокод успевает скомпилироваться ещё когда секция данных продолжает загружаться.

Суть двухуровневого компилятора заключается в наличии двух фаз: baseline, в которой приоритет отдаётся скорости компиляции в ущерб качеству оптимизации, и оптимизирующей фазы, которая выполняется достаточно медленно, но выдаёт хорошо оптимизированный код. В частности, baseline-компиляция выполняется в 10-15 раз быстрее, но генерирует код, работающий примерно в два раза медленнее.

В процессе компиляции вначале применяется baseline-стадия, которая быстро формирует готовый для исполнения код. Далее данный код запускается, а параллельно начинает работать оптимизирующая стадия компилятора, которая формирует улучшенный и более быстрый вариант кода, который после готовности заменяет собой предложенный на первой стадии код.

Для WebAssembly и JavaScript метод вызова оптимизирующей стадии сильно отличается. Для JavaScript вторая стадия запускается спустя какое-то время после начала выполнения кода, лишь после того как накопится определённая статистика о характере выполнения и типах данных. В WebAssembly вся необходимая информация уже имеется в псевдокоде, поэтому нет смысла затягивать с выполнением второй фазы, и, как следствие, оптимизированный код быстрее замещает собой первоначальный черновой код.

Компиляция на второй стадии выполняется в отдельном потоке, параллельно с работой кода web-приложения. Для ускорения данной стадии в новом движке Firefox осуществляется распараллеливание на уровне компиляции отдельных функций, которое позволяет разнести компиляцию на несколько потоков и задействовать все простаивающие ядра CPU. Для ещё большего ускорения работы компилятора планируется добавить систему кэширования, которая при повторном выполнении wasm-файлов позволит сразу использовать уже ранее скомпилированный и сохранённый в кэше машинный код. В Firefox 58 функциональность будет ограничена поддержкой кэширования байткода для JavaScript (ускоряет загрузку Facebook на 12%, Twitter на 5.4%, сайтов Google на 4.9%), а кэширование итогового машинного кода будет реализовано в одном из дальнейших выпусков.

  1. Главная ссылка к новости
  2. OpenNews: Google прекращает поддержку Portable Native Client в пользу WebAssembly
  3. OpenNews: Для GCC представлен бэкенд c реализацией WebAssembly
  4. OpenNews: Технология WebAssembly признана готовой для включения в браузерах по умолчанию
  5. OpenNews: В Chrome тестируют новый подход к компиляции JavaScript
  6. OpenNews: Анонсирован WebAssembly, обеспечивающий запуск скомпилированного кода в браузерах
Обсуждение (144 +32) | Тип: К сведению |
18.01.2018 Google переводит рабочие станции инженеров с Goobuntu (Ubuntu) на gLinux (Debian) (269 +63)
  Компания Google переводит внутренние рабочие станции технического персонала на новый дистрибутив gLinux, основанный на Debian Testing и использующий модель непрерывной доставки обновлений (rolling). Ранее на протяжении многих лет в Google применялся дистрибутив Goobuntu, развиваемый на базе LTS-выпусков Ubuntu. Для перехода с Goobuntu на gLinux разработан специальный инструментарий, позволяющий провести прозрачную миграцию рабочих станций.

Напомним, что Goobuntu представлял собой сборку Ubuntu, в которую были добавлены инструменты, используемые разработчиками в Google, а также компоненты для интеграции с внутренним сетевым окружением. Все домашние директории пользователей монтировались с централизованного файлового сервера, что позволяло получить доступ к своему окружению независимо от используемого компьютера. Сборка Goobuntu формировалась в рамках участия Google в программе Ubuntu Advantage Program, подразумевающей получение коммерческой поддержки от компании Canonical. Переход на Debian приведёт к более тесному сотрудничеству с сообществом, а использование ветки Testing даёт повод ожидать от Google подключения к участию в процессах тестирования и контроля качества Debian.

  1. Главная ссылка к новости
  2. OpenNews: Окружения Google Compute Engine по умолчанию будут основаны на Debian GNU/Linux
  3. OpenNews: Google планирует осуществить слияние Chrome OS и Android
  4. OpenNews: Google представил WiFi-маршрутизатор OnHub, построенный на базе Gentoo Linux
  5. OpenNews: Google подтвердила, что ведет работу над собственным дистрибутивом Linux
  6. OpenNews: Интервью на тему использования открытых проектов в компании Google
Обсуждение (269 +63) | Тип: К сведению |
18.01.2018 В systemd 237 запланирована поддержка VPN WireGuard (160 –20)
  В следующем релизе systemd 237 запланирована интеграция с WireGuard, VPN-туннелем нового поколения. Ключевой характеристикой проекта является сочетание применения проверенных современных методов шифрования с предоставлением минималистичной реализации, лишённой усложнений, наблюдаемых в таких системах, как xfrm и OpenVPN. WireGuard поставляется в виде модуля ядра Linux, пока не принятого в основной состав, но нацеленного на плотную интеграцию с главными компонентами ядра.

На прошлой неделе в основную ветку systemd-networkd были включены изменения для поддержки WireGuard, находившиеся в стадии разработки с сентября 2016 года. С точки зрения systemd, изменения содержат новый сетевой интерфейс "wireguard", а также инструментарий для управления ключами шифрования. Что примечательно, изменения прошли через много этапов ревизии и итераций, в том числе из-за довольно скромной первоначальной серии патчей. Глубина интеграции systemd и WireGuard наращивалась по мере ревизии изменений в коде.

  1. Главная ссылка к новости
  2. OpenNews: Четвёртый тестовый выпуск ОС Subgraph
  3. OpenNews: В рамках проекта WireGuard подготовлена новая реализация VPN для Linux
  4. OpenNews: VPN-сервер SoftEther VPN открыт под лицензией GPLv2
  5. OpenNews: Релиз свободного безопасного цензуроустойчивого VPN-демона GoVPN 5.0
  6. OpenNews: Доступен релиз OpenVPN 2.4.0
Обсуждение (160 –20) | Автор: rmrf-software | Тип: К сведению |
17.01.2018 Вредоносное ПО организует майнинг криптовалют на серверах с незакрытыми уязвимостями (50 +16)
  Исследователи из компании Checkpoint выявили вредоносное ПО RubyMiner, которое поражает незащищённые серверы Linux и Windows, и запускает код для майнинга криптовалют. Для распространения RubyMiner атакует достаточно старые критические уязвимости в PHP, Ruby on Rails и ASP, устранённые в 2012, 2013 и 2005 годах. По предварительной оценке экcплуатация данных уязвимостей позволила поразить около 700 серверов, которые, как правило, давно оставлены без присмотра, что позволяет длительное время использовать их ресурсы для майнинга.

Для определения уязвимых серверов применяется сканирование сети при помощи утилиты p0f. При обнаружении очередного уязвимого сервера к нему применяется один из шести эксплоитов, после чего в случае атаки на Linux-сервер RubyMiner добавляет в cron задание для периодической загрузки с внешнего сервера скрипта для осуществления вредоносных действий. Примечательно, что для скрытия своего присутствия скрипт загружается в файл robots.txt. После активации скрипт, в свою очередь, загружает и устанавливает модифицированную версию штатного приложения XMRig для майнинга криптовалюты Monero.

Также можно отметить вредоносное ПО PyCryptoMiner, нацеленное на проникновение через эксплуатацию выявленной в прошлом году уязвимости в сервере приложений JBoss или через подбор типовых паролей к SSH. PyCryptoMiner написан на языке Python, использует сервис Pastebin.com для передачи управляющих команд и включает бинарные компоненты для майнинга криптовалюты Monero, основанные на xmrMiner. По данным исследователей, построенный при помощи PyCryptoMiner ботнет уже заработал 158 Monero, что соответствует примерно 45 тысячам долларов (неделю назад, в пик роста курса было 80 тысяч долларов).

Дополнение: Китайскими исследователями из компании Netlab 360 обнаружен вариант вредоносного ПО Satori, адаптированный для атак на системы майнинга криптовалют. Satori атакует некорректно настроенное ПО Claymore Miner (по умолчанию принимает запросы на сетевом порту 3333 без аутентификации по паролю), часто используемое в фермах майнинга, и в случае успешной атаки заменяет номера кошельков, на которых накапливаются доходы от майнинга. На одном из указываемых злоумышленниками кошельков уже накопилось более 1 Ethereum (более 1000 долларов). Судя по динамике пополнения кошелька атакующие обладают ресурсами для перебора примерно 2100 млн хэшей в секунду, что эквивалентно 85 компьютерам с графической картой Radeon Rx 480 или 1135 компьютерам с картой GeForce GTX 560M.

  1. Главная ссылка к новости
  2. OpenNews: Выявлено вымогательское вредоносное ПО, шифрующее файлы на серверах с Linux и FreeBSD
  3. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
  4. OpenNews: Трём миллионам уязвимых JBoss-серверов угрожает атака вредоносного шифровальщика
  5. OpenNews: Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком
  6. OpenNews: Более 5900 интернет-магазинов поражены вредоносным ПО для перехвата номеров кредитных карт
Обсуждение (50 +16) | Тип: Проблемы безопасности |
17.01.2018 Доступен web-браузер Min 1.7 (72 –29)
  Опубликован релиз web-браузера Min 1.7, предлагающего минималистичный интерфейс, построенный вокруг манипуляций с адресной строкой. Браузер создан с использованием платформы Electron, позволяющей создавать обособленные приложения на основе движка Chromium и платформы Node.js. Интерфейс Min написан на JavaScript, CSS и HTML. Код распространяется под лицензией Apache 2.0. Сборки сформированы для Linux, macOS и Windows.

Min поддерживает навигацию по открытым страницам через систему вкладок, предоставляющих такие функции как открытие новой вкладки рядом с текущей вкладкой, скрытие невостребованных вкладок (к которым пользователь не обращался определённое время), группировка вкладок и просмотр всех вкладок в виде списка. Имеются средства для построения списков отложенных задач/ссылок для чтения в будущем, а также система закладок с поддержкой полнотекстового поиска. В браузер встроена система блокировки рекламы (по списку EasyList) и кода для отслеживания посетителей, имеется возможность отключения загрузки изображений и скриптов.

Центральным элементом управления в Min является адресная строка, через которую можно отправлять запросы к поисковой системе (по умолчанию DuckDuckGo) и выполнять поиск на текущей странице. При вводе в адресной строке по мере набора формируется сводка актуальной для текущего запроса информации, такой как ссылка на статью в Wikipedia, выборка из закладок и истории посещений, а также рекомендации от поисковой системы DuckDuckGo. Каждая открытая в браузере страница индексируется и становится доступна для последующего поиска в адресной строке. В адресной строке также можно вводить команды для быстрого выполнения операций (например, "!settings" - переход к настройкам, "!screenshot" - создание скриншота, "!clearhistory"- очистка истории посещений и т.п.).

Основные новшества:

  • Переработан интерфейс встроенного просмотрщика PDF, основанного на коде PDF.js. Появилась поддержка вывода PDF на печать, сохранения в файл и поиска внутри документа;
  • Добавлена кнопка для возврата на предыдущую страницу. В настройки добавлена опция для использования для возврата жеста смещения страницы влево;
  • Добавлен индикатор прогресса выполнения операции;
  • Предложена бета-версия нового оформления интерфейса для Windows;
  • Добавлена поддержка однобуквенных горячих клавиш, позволяющих использовать для навигации управление в стиле браузерного расширения Vimium;
  • Добавлена обработка ссылок "mailto:";
  • Добавлена возможность поиска среди статей, сохранённых для чтения в будущем;
  • Добавлена возможность перегруппировки задач с использованием интерфейса drag&drop;
  • Возвращена поддержка закрытия вкладки через клик на ней средней кнопкой мыши.

  1. Главная ссылка к новости
  2. OpenNews: Четвёртый кандидат в релизы браузера Otter
  3. OpenNews: Выпуск web-браузера Chrome 63
  4. OpenNews: Проект Pale Moon представил новый браузер Basilisk и платформу UXP
  5. OpenNews: Выпуск web-браузера qutebrowser 1.0.0
  6. OpenNews: Доступен web-браузер Waterfox 55
Обсуждение (72 –29) | Тип: Программы |
17.01.2018 Отчёт об оборудовании пользователей Firefox (93 +14)
  На странице Firefox Hardware Report компания Mozilla публикует обобщённые сведения об оборудовании и программном окружении пользователей настольных сборок Firefox, согласившихся на отправку статистики. Судя по опубликованным в январе данным, доля пользователей Linux составляет 2.48%, при том, что учитываются только пользователи не-ESR сборок, предлагаемых с сайта Mozilla, и пакетов с Firefox из репозитория Ubuntu. Доля пользователей macOS оценивается в 4%. Остальные пользователи применяют Windows: Windows 7 - 45%, Windows 10 - 35%, Windows 8 - 8%. У 64% пользователей установлен плагин Flash.

88% систем укомплектованы процессорами Intel, а 12% - AMD. У 67% пользователей установлены 64-разрядные сборки Firefox. Что касается графической подсистемы, то в 66% случаев используется GPU Intel, в 15% - GPU AMD и в 14% - GPU NVIDIA. Наиболее популярным экранным разрешением является 1366×768 (33%), на втором месте 1920×1080 (23%), на третьем 1600x900 (8%). У 32% пользователей 4 Гб ОЗУ, у 22% - 8 Гб, у 14% - 2 Гб, у 23% - 3 Гб, у 6% - 16 Гб ОЗУ.

  1. Главная ссылка к новости
  2. OpenNews: Эксперимент Mozilla приведёт к утечке данных, вводимых в адресной строке Firefox
  3. OpenNews: В Firefox планируют реализовать анонимный сбор статистики о посещаемых сайтах
  4. OpenNews: Выпуск Firefox 57.0.3 с устранением отправки отчётов о крахе без согласия пользователя
  5. OpenNews: Firefox Focus для iOS вышел с включенной отправкой статистики на серверы компании Adjust
Обсуждение (93 +14) | Тип: Обобщение |
17.01.2018 В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI на производительность BIND (18 +9)
  Опубликованы корректирующие выпуски DNS-сервера BIND 9.11.2-P1, 9.10.6-P1 и 9.9.11-P1 c устранением уязвимости (CVE-2017-3145), которую можно использовать для инициирования отказа в обслуживании (крах процесса named) при выполнении рекурсивного запроса к DNS-серверу, подконтрольному злоумышленнику. Проблема проявляется только при работе BIND в качестве резолвера с поддержкой DNSSEC (в качестве обходного пути защиты можно отключить DNSSEC).

Кроме того, в очередном обновлении ISC DHCP также устранена уязвимость (CVE-2017-3144), которую можно использовать для инициирования отказа в обслуживании (исчерпание доступных сокетов) через установку большого числа специально оформленных соединений к OMAPI, которые остаются незакрытыми. В качестве обходного пути защиты можно ограничить доступ к сетевому порту OMAPI.

Разработчики из ISC также опубликовали отчёт с результатами тестирования влияния патчей для устранения уязвимости Meltdown в ядре Linux (патчи KPTI) на производительность DNS-сервера с BIND 9. Для тестирования использовался сервер Dell R430 с 12-ядерным CPU Xeon E5-2680 v3 и 10-гигабитным Ethernet Intel X710, на который был установлен дистрибутив Fedora 27 с ядром Linux 4.14.11-300.fc27.x86_64. Расхождения в производительности с защитой от Meltdown и без активации патча оцениваются как несущественные.

  1. Главная ссылка к новости
  2. OpenNews: Консорциум ISC представил DHCP-сервер Kea 1.3
  3. OpenNews: Сайт консорциума ISC, развивающего BIND и DHCP, подвергся взлому
  4. OpenNews: Релиз DNS-сервера BIND 9.11, перешедшего на новую лицензию
  5. OpenNews: Обновление DNS-сервера BIND 9.9.9-P8, 9.10.4-P8 и 9.11.0-P5 с устранением уязвимостей
  6. OpenNews: Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением уязвимостей
Обсуждение (18 +9) | Тип: Проблемы безопасности |
17.01.2018 Verizon стал платиновым участником Linux Foundation и присоединился к разработке ONAP (37 +11)
  Некоммерческая организация Linux Foundation, курирующая широкий спектр работ, связанных с развитием Linux, объявила о вступлении в свои ряды компании Verizon, которая получила статус платинового участника. Платиновые участники получают право вхождения представителя компании в совет директоров Linux Foundation, оплачивая при этом ежегодный взнос в размере 500 тыс. долларов (для сравнения, взнос золотого участника - $100 тыс. в год, серебряного - $5-20 тыс. в год). Кроме Verizon в число платиновых партнеров Linux Foundation входят компании Fujitsu, AT&T, Microsoft, VMware, Cisco, Huawei, IBM, Intel, Samsung, NEC, Qualcomm, Hitachi и Oracle.

Verizon примет участие в разработке проекта ONAP (Open Network Automation Platform), нацеленного на создание платформы для автоматизации и оркестровки сетевой инфраструктуры, позволяющей упростить развёртывание программно-конфигурируемых сетей (SDN, Software-Defined Networking) для провайдеров сетевых сервисов, кабельных сетей и облачных систем. ONAP также предоставляет средства для проектирования, создания, оркестровки, мониторинга и обслуживания виртуальных сетевых функций (VNF, Virtual Network Functions) в программно-конфигурируемых сетевых окружениях.

  1. Главная ссылка к новости
Обсуждение (37 +11) | Тип: К сведению |
17.01.2018 Mozilla обратилась в суд для защиты сетевого нейтралитета (82 +69)
  Компания Mozilla предприняла попытку оспорить в суде решение Федерального агентства по связи США (FCC) об отмене правил в отношении соблюдения сетевого нейтралитета. В настоящее время в суд передано ходатайство, в котором Mozilla просит рассмотреть возможное нарушение федерального законодательства в решении FCC и обратить внимание на его негативное влияние на пользователей сети и создателей новых сервисов, а также на возникающий перекос в форме предоставления дополнительных выгод для крупных интернет-провайдеров.

В утверждённых в FCC процессуальных документах указано, что судебное разбирательство может быть инициировано спустя 10 дней после публикации решения в Федеральном реестре, что ещё не сделано. Но из-за двусмысленности федерального законодательства и в силу важности рассматриваемой проблемы, юристы Mozilla посчитали возможным обращение в суд уже сейчас, не дожидаясь наступления определённого в FCC срока. Cуд и FCC могут принять ходатайство к рассмотрению, а могут потребовать отправить его позднее. Кроме судебного разбирательства компания Mozilla также предпринимает попытки вовлечь Конгресс США в рассмотрение возникшей проблемы.

Mozilla считает недопустимым нарушение одинаковой значимости всех видов трафика и дискриминацию распространителей контента за счёт предоставления операторам связи возможности разделения приоритетов для разных видов и источников трафика. По мнению сторонников сетевого нейтралитета подобное разделение приведёт к ухудшению качества доступа к одним сайтам и видам данных за счёт увеличения приоритета для других, а также усложнит выведение на рынок новых сервисов, так как они будут изначально проигрывать по качеству доступа сервисам, заплатившим провайдерам за повышение приоритета их трафика.

  1. Главная ссылка к новости
  2. OpenNews: Федеральное агентство по связи США отменяет правила сетевого нейтралитета
  3. OpenNews: TP-Link согласился вернуть поддержку альтернативных прошивок
  4. OpenNews: Компания Opera подала в суд за незаконную передачу технологий проекту Mozilla
  5. OpenNews: Mozilla в суде добивается раскрытия уязвимости, применённой в атаке ФБР на Tor Browser
  6. OpenNews: Mozilla и Yahoo обменялись судебными исками
Обсуждение (82 +69) | Тип: К сведению |
17.01.2018 Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей (39 +6)
  Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранено 237 уязвимостей, в том числе в некоторые продукты внесены исправления для блокирования атак Spectre и Meltdown.

В выпусках Java SE 8u161/8u162 и 9.0.4 устранена 21 проблема с безопасностью. 18 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. 3 уязвимостям присвоен уровень опасности 8.3, критических проблем с CVSS Score 9 и выше в этот раз не выявлено. 7 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 10 затрагивают как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 22 уязвимости в MySQL (максимальный уровень опасности 7.5), из которых 3 позволяют выполнить атаку удалённо без прохождения аутентификации. Проблемы устранены в выпусках MySQL Community Server 5.7.21, 5.6.39 и 5.5.59.
  • 12 уязвимостей в VirtualBox (максимальная степень опасности 8.8). В том числе добавлена защита от проведения атаки Spectre. Уязвимости устранены в сегодняшних обновлениях VirtualBox 5.2.6 и 5.1.32.
  • 5 проблем в Solaris (максимальная степень опасности 7.1 - проблемы в ядре, связанные с обработкой пакетов ICMP).

  1. Главная ссылка к новости
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  3. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  5. OpenNews: Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64
  6. OpenNews: Эксплоиты и тесты производительности, связанные с уязвимостями Meltdown и Spectre
Обсуждение (39 +6) | Тип: Проблемы безопасности |
17.01.2018 Релиз системы виртуализации VirtualBox 5.2.6 (26 +11)
  Компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.2.6, в котором отмечено 7 исправлений и устранено 12 уязвимостей (максимальная степень опасности CVSS Score 8.8), в том числе добавлена защита от проведения атаки Spectre.

Не связанные с безопасностью изменения:

  • Проведена оптимизация интерфейса для экранов с высоким разрешением;
  • В GUI устранено повреждение содержимого экрана при изменении разрешения экрана хост-системы;
  • Увеличен предлагаемый размер диска при создании виртуальных машин для Windows 7 и более новых версий;
  • Устранена проблема при использовании 256MB видеопамяти в виртуальных машинах в режиме "raw";
  • Добавлена поддержка воспроизведения и записи звука в гостетвых системах с macOS;
  • Улучшена синхронизация звука в гостевых системах с Windows 10;
  • На хост-системах с Linux устранена проблема, приводившая к недоступности мини-панели Xfce.

  1. Главная ссылка к новости
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  3. OpenNews: Обновление VirtualBox 5.2.4 с устранением зависания на экране входа GNOME
  4. OpenNews: Обновление VirtualBox 5.2.2
  5. OpenNews: Релиз системы виртуализации VirtualBox 5.2
Обсуждение (26 +11) | Тип: Программы |
16.01.2018 В четырёх популярных дополнениях к Chrome выявлен вредоносный код (60 +25)
  Исследователи из компании ICEBRG выявили четыре дополнения к Google Chrome, в которых присутствовали вредоносные вставки, позволяющие выполнять в браузере произвольный код, загружаемый со сторонних сайтов. Аудитория одного из проблемных дополнений насчитывает 509 тысяч пользователей.

Компания ICEBRG была привлечена для разбора причин появления аномального трафика с рабочих станций одного из клиентов. В результате проведённого исследования было определено, что причиной данного трафика являются четыре дополнения, представленные в каталоге Chrome Web Store: Nyoogle - Custom Logo for Google (509 тысяч пользователей), Lite Bookmarks, Change HTTP Request Header (14 тысяч), и Stickies - Chrome's Post-it Notes (21 тысяча).

В дополнениях был прошит код для получения команд с внешнего сервера под видом обновления конфигурации. Фактически на машине пользователя мог быть выполнен любой JavaScript-код, но на практике была зафиксирована только активность, связанная с накруткой кликов на баннеры в рекламных сетях. Код передавался в закамуфлированном виде в составе отдаваемого внешним сервером JSON-блока с данными. Для обхода Content Security Policy (CSP) дополнениями запрашивались полномочия "unsafe-eval". После загрузки внешнего кода дополнение выполняло проверку на предмет запуска отладочных инструментов (chrome://inspect/ и chrome://net-internals/) и если они не обнаружены запускало код в контексте браузерного дополнения.

Для запутывания следов в одном из дополнений выполнение вредоносного кода осуществлялось при помощи модифицированной библиотеки jQuery, метод ajax() в которой был изменён для подмены MIME-типа с "text" на "script" в случае наличия в данных строки "\\\==". Выявленные экземпляры загружаемого вредоносного кода осуществляли создание туннеля к внешнему серверу при помощи WebSocket. Данный туннель использовался в качестве прокси для перенаправления трафика через компьютер пользователя, установившего вредоносное дополнение. Перенаправляемый трафик был связан с загрузкой различных рекламных служб, для которых был организован процесс совершения подставных кликов с системы пользователя.

  1. Главная ссылка к новости
  2. OpenNews: Некоторым пользователям Firefox навязано непонятное дополнение Looking Glass
  3. OpenNews: В результате фишинга получен контроль ещё над 6 дополнениями к Chrome
  4. OpenNews: Злоумышленники получили контроль над Chrome-дополнением с миллионной аудиторией
  5. OpenNews: В браузерном дополнении Cisco WebEx выявлен URL, позволяющий выполнить код в системе
  6. OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей
Обсуждение (60 +25) | Тип: Проблемы безопасности |
16.01.2018 Обновление web-браузера QupZilla 2.2.4 (44 +16)
  Доступен релиз многоплатформенного web-браузера QupZilla 2.2.4, построенного с использованием библиотеки Qt и модуля QtWebEngine, основанного на браузерном движке Blink и элементах Chromium. Это последняя ветка под именем QupZilla и в форме независимого проекта, следующие версии будут распространяться под новым именем Falkon и развиваться в составе сообщества KDE.

В новой версии:

  • Опция для отключения поисковых рекомендаций в адресной строке;
  • Поддержка открепления вкладок и их перемещения в другие окна;
  • Поддержка перетаскивания текста или URL на панель вкладок для создания новой вкладки;
  • Поддержка API GreaseMonkey 4.0 в пользовательских скриптах. Значительно улучшена совместимость с различными скриптами GreaseMonkey;
  • Возможность настройки раскладки элементов и виджетов в навигационной панели;
  • Возможность загрузки файла userChrome.css со стилями для настройки оформления интерфейса;
  • В навигационную панель добавлены кнопки Tools, Downloads, GreaseMonkey и AdBlock;
  • Новая тема оформления для Windows;
  • Поддержка вывода на печать при помощи JavaScript-метода window.print();
  • В меню управления историей открытия сайтов добавлена поддержка восстановления закрытых окон;
  • При наличии нескольких открытых окон при восстановлении сеанса теперь восстанавливаются геометрия, состояние и настройки каждого окна;
  • Обновлено оформление экспресс-панели.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск web-браузера QupZilla 2.2
  3. OpenNews: Браузер QupZilla переименован в Falkon
  4. OpenNews: Выпуск web-браузера QupZilla 2.0.0, построенного на базе Qt
  5. OpenNews: Выпуск web-браузера QupZilla 2.1
  6. OpenNews: Четвёртый кандидат в релизы браузера Otter
Обсуждение (44 +16) | Тип: Программы |
16.01.2018 Тестирование рабочего стола KDE Plasma 5.12 (144 +35)
  Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.12, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 6 февраля.

Новая версия отнесена к категории выпусков с длительным сроком поддержки (LTS), поэтому при подготовке релиза особое внимание уделяется обеспечению стабильности, оптимизации производительности и улучшению переносимости между разными пользовательскими окружениями. KDE Plasma 5.12 станет первым LTS-выпуском с поддержкой Wayland, которая пока окончательно не стабилизирована для всего оборудования, но значительно улучшена и подготовлена для тестирования более широким кругом пользователей.

Выпуск 5.12 также станет последним, в котором в KWin развиваются новые возможности, специфичные для X11. В версии 5.13 будут реализовываться только новшества, связанные с Wayland, а в работающий с X11 код будут вноситься только исправления ошибок (речь о специфичных для X11 или Wayland возможностях, но большая часть кода KWin не привязана к оконным системам, поэтому общие новшества будут доступны как для Wayland, так и для X11).

Базовые возможности Plasma:

  • Размещение интерактивных виджетов на рабочем столе, при помощи которых, например, можно отображать прогноз погоды, просматривать комиксы или производить вычисления;
  • Интерфейс для загрузки свежих обоев, стилей, виджетов, эффектов и других ресурсов из каталога-магазина KDE Store;
  • Встроенная функция быстрого поиска приложений, каталогов, музыки, видео и файлов;
  • Тема оформления Breeze, обеспечивающая унифицированное отображение приложений на базе всех популярных графических тулкитов, включая Qt 4, Qt 5, GTK+ 2, GTK+ 3 и VCL (используется в LibreOffice);
  • Интеграция со смартфонами. При помощи компонента KDE Connect можно получать уведомления на рабочем столе о поступлении текстовых сообщений, передавать файлы, автоматически приглушать воспроизведение музыки при поступлении звонка и использовать смартфон как пульт дистанционного управления;
  • Гибкие возможности настройки окружения под свои предпочтения, через установки новых виджетов, панелей, экранов и стилей.

Новшества, добавленные в KDE Plasma 5.12:

  • Ускорена работа различных подсистем, сокращено потребление памяти и снижена нагрузка на CPU. Существенно уменьшено время запуска рабочего стола;
  • Продолжено усовершенствование работы с использованием протокола Wayland. В конфигуратор добавлена возможность настройки параметров экрана и многомониторных конфигураций, при работе поверх Wayland. В том числе при использовании Wayland через KScreen теперь можно менять разрешение экрана, активировать дополнительные устройства вывода, задавать параметры вращения экрана и использовать режим автоматического поворота в зависимости от показаний датчика ориентации в пространстве, автоматически калибровать сенсорный экран.

    Для запуска Plasma поверх Wayland отныне не требуется компонент XWayland, но он может понадобиться для запуска приложений, собранных для X11. Выбор комозитного менеджера теперь осуществляется автоматически, в зависимости от используемой платформы. Добавлена возможность раскрытия окон Wayland на весь экран. Увеличена отзывчивость ввода. В KWin добавлена реализация ночного режима, при котором уменьшается интенсивность синего цвета для снижения утомляемости.

    В композитный сервер с реализацией Wayland добавлена поддержка протоколов xdg_shell_unstable_v6, xdg_foreign_unstable_v2, idle_inhibit_unstable_v1, server_decoration_palette, appmenu и wl_data_device_manager_v3;

  • Улучшен интерфейс центра установки приложений (Discover): линейные заголовки в секциях, не предусматривающих навигации, нажатие Enter для начала поиска, расширенный конфигуратор источников загрузки пакетов, возможность показа скриншотов предлагаемых для установки приложений. Для дистрибутивов добавлена функция обновления в offline-режиме. Повышено удобство работы на устройствах с небольшими экранами как у смартфона. В систему уведомлений интегрированы глобальные оповещения PackageKit (обновление дистрибутива до нового релиза, предложение перезагрузки);
  • В параметры окна и панель меню добавлена кнопка для быстрого включения/выключения глобального меню без необходимости совершения дополнительных шагов по изменению настроек;
  • KRunner адаптирован для использования людьми с ослабленным зрением через экранный ридер типа Orca;
  • В апплете Icon теперь используются favicon-файлы сайтов;
  • В блоках уведомлений возвращена возможность выделения текста и помещения в буфер обмена ссылок;
  • Представлена компактная раскладка меню запуска приложений Kickoff (Slim Kickoff);
  • В апплете показа прогноза погоды добавлена опция для отображения температуры на панели, рядом с пиктограммой состояния погоды;
  • В апплеты монитогринга System Activity и System Monitor добавлены графики нагрузки на CPU для отдельных процессов;

  1. Главная ссылка к новости
  2. OpenNews: Релиз рабочего стола KDE Plasma 5.11
  3. OpenNews: Проект KDE определил концепцию разработки рабочего стола Plasma
  4. OpenNews: Релиз рабочего стола KDE Plasma 5.10
  5. OpenNews: Разработчики KDE обсудили интеграцию web-браузера с рабочим столом Plasma
  6. OpenNews: Мобильная платформа Plasma Mobile портирована для устройств Nexus 5X
Обсуждение (144 +35) | Тип: Программы |
16.01.2018 Новые Web API в Firefox будут доступны только для HTTPS (190 –14)
  Компания Mozilla объявила о применении принципа защищённого контекста (Secure Context) к новым Web-технологиям, которые будут появляться в будущих выпусках Firefox. Secure Context подразумевает, что ряд возможностей для web-разработки станет доступен только при открытии с использованием защищённого соединения. По мнению разработчиков, данная тактика позволит ускорить повсеместный переход сайтов на HTTPS, а в случае доступа по HTTP усложнит проведение атак, которые могут привести к утечке персональных данных или получению низкоуровневого доступа к оборудованию.

По возможности все новшества теперь будут привязываться к HTTPS, в том числе новые CSS-свойства, расширения существующих объектов JavaScript, новые HTTP-заголовки и новые Web API (например, WebVR). Привязка к HTTPS также может быть обеспечена и для уже присутствующих возможностей, доступ к которым по HTTP сопряжён с угрозами для безопасности и приватности. При этом предусмотрен ряд исключений, которые могут быть приняты если возможность уже доступна в других браузерах без привязки к Secure Context или если применение ограничений приводит к чрезмерной сложности в реализации. Например, новое CSS-свойство color, вероятно останется доступно для HTTP.

В настоящее время только для HTTPS доступны такие API, как Geolocation, Service workers и Storage, так как использование данных API по незашифрованным каналам связи повышает риски, связанные с безопасностью и приватностью. На этапе рассмотрения находится перевод в Secure Context функций Encrypted Media Extensions и Web Crypto API. Уже утверждён перевод в Secure Context интерфейсов Generic sensor API, Credential Management Level 1 и Web NFC API.

Контекст будет признаваться безопасным в случае локального доступа (через http://localhost или file://) или обращения по HTTPS, при условии, что все элементы страницы загружаются по HTTPS (если часть контента получена через HTTP, то будет применено ограничение). Для определения доступности тех или иных возможностей при обращении по HTTP предлагается использовать CSS-правило @supports, которое рекомендуется как более предпочтительный вариант, чем API self.isSecureContext. Для упрощения перехода на Secure Context и обеспечения локального тестирования без HTTPS будет предоставлен специальный инструментарий.

  1. Главная ссылка к новости
  2. OpenNews: В Chrome будет принудительно включаться HTTPS для доменов .dev и .foo
  3. OpenNews: В Chrome 63 появятся средства информирования о попытках перехвата HTTPS
  4. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
  5. OpenNews: Доля обращений по HTTPS среди пользователей Firefox превысила 50%
  6. OpenNews: Проект Mozilla заявил о намерении отказаться от незашифрованного HTTP
Обсуждение (190 –14) | Тип: К сведению |
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor