В ближайшее время ожидается обновление продукта ONLYOFFICE DesktopEditors, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная интеграция с ONLYOFFICE.

В OnlyOffice заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины для создания шаблонов и добавления видео с YouTube. Готовые сборки сформированы для Windows и Linux (deb- и rpm-пакеты).

• В редакторе документов добавлена поддержка вставки таблицы рисунков, которая похожа на оглавление документа, но перечисляет используемые в документе рисунки, диаграммы, формулы и таблицы.
• В табличном процессоре появились настройки для проверки данных, позволяющие ограничить тип данных, вводимых в заданную ячейку таблицы, а также предоставить возможность ввода на основе выпадающих списков.

  В табличном процессоре реализована возможность вставки срезов (slicer) в сводные (pivot) таблицы, позволяющих наглядно оценить работу фильтров для понимания того, какие именно данные показаны.

  

  Предоставлена возможность отмены автоматического расширения таблиц. Добавлены функции GROWTH, TREND, LOGEST, UNIQUE, MUNIT и RANDARRAY. Добавлена возможность определения собственных форматов чисел.

  
• В редактор презентаций добавлена кнопка для увеличения или уменьшения шрифта, а также предоставлена возможность настройки автоформатирования данных по мере ввода.
• В различных диалоговых окнах добавлена возможность использования Tab и Shift+Tab.
• Предоставлена возможность установки размера шрифта в 300pt (409pt для электронных таблиц).
• Добавлен перевод на белорусский язык.
• Для бета-выпусков реализован специальный индикатор в панели инструментов.

Кроме того, опубликован новый выпуск платформы OnlyOffice AppServer, позволяющей создавать собственные масштабируемые офисные системы на основе модулей OnlyOffice. Среди развиваемых модулей (не все пока доступны): People (управления группами), Documents (управление и совместная работа с документами), Chat (обмен сообщениями), Mail (электронная почта), Calendar (календарь-планировщик), Projects (управление проектами и отслеживание решения поставленных задач), CRM (организация взаимодействия с клиентами и управление продажами).

1. OpenNews: Выпуск офисного пакета OnlyOffice 6.0
2. OpenNews: Новая версия ONLYOFFICE c интерфейсом на основе вкладок
3. OpenNews: Новая версия онлайн-редакторов документов ONLYOFFICE 5.1
4. OpenNews: Новый выпуск редакторов ONLYOFFICE с поддержкой макросов
5. OpenNews: Опубликовано приложение для интеграции ONLYOFFICE с ownCloud

Flutter рассматривается как альтернатива React Native и позволяет на основе одной кодовой базы выпускать приложения для разных платформ, включая iOS, Android, Windows, macOS и Linux, а также приложения для запуска в браузерах. Ранее написанные на Flutter 1 мобильные приложения после перехода на Flutter 2 без переписывания кода смогут быть адаптированы для работы на рабочем столе и в Web.

Основная часть кода Flutter реализована на языке Dart, а runtime-движок для выполнения приложений написан на C++. При разработке приложений, помимо родного для Flutter языка Dart, можно использовать интерфейс Dart Foreign Function для вызова кода на C/C++. Высокая производительность выполнения достигается благодаря компиляции приложений в машинный код для целевых платформ. При этом программу не нужно перекомпилировать после каждого изменения - Dart предоставляет режим горячей перезагрузки, позволяющий вносить изменения в работающее приложение и сразу оценивать результат.

Во Flutter 2 заявлена полноценная поддержка создания приложений для Web, пригодная для рабочих внедрений. Упоминается три основных сценария применения Flutter для Web: разработка обособленных web-приложений (PWA, Progressive Web Apps), создание одностраничных web-приложений (SPA, Single page apps) и преобразование мобильных приложений в web-приложения. Из особенностей средств разработки для Web называется задействование механизмов ускорения отрисовки 2D и 3D-графики, гибкая компоновка элементов на экране и компилируемый в WebAssembly движок отрисовки CanvasKit.

Поддержка приложений для рабочего стола находится на стадии бета-тестирования и будет стабилизирована в этом году в одном из следующих выпусков. О поддержке разработки с использованием Flutter заявили компании Canonical, Microsoft и Toyota. Компания Canonical выбрала Flutter в качестве основного фреймворка для своих приложений и в том числе применяет Flutter при разработке нового инсталлятора для Ubuntu. Компания Microsoft адаптировала Flutter для складных устройств с несколькими экранами, таких как Surface Duo. Компания Toyota планирует использовать Flutter для автомобильных информационно-развлекательных систем. На основе Flutter также построена пользовательская оболочка развиваемой в Google микроядерной операционной системы Fuchsia.

Одновременно опубликован релиз языка программирования Dart 2.12, в котором продолжено развитие кардинально переработанной ветки Dart 2. Dart 2 отличается от изначального варианта языка Dart применением сильной статической типизации (типы могут выводиться автоматически, поэтому указание типов не является обязательным, но динамическая типизация больше не используется и вычисленный изначально тип закрепляется за переменной и в дальнейшем применяется строгая проверка типа).

Выпуск примечателен стабилизацией режима безопасного использования значения "Null" (null safety), который позволят избежать крахов, вызванных попытками использования переменных, значение которых не определено и выставлено в "Null". Режим подразумевает, что переменные не могут иметь неопределённые значения, если им явно не присваивается значение null. В режиме строго учитываются типы переменных, что позволяет компилятору применять дополнительные оптимизации. Соответствие типов проверяется на этапе компиляции, например, в случае попытки присвоения значения "Null" переменной с типом, не подразумевающим неопределённое состояние, таким как "int", будет выведена ошибка.

Другим важным улучшением Dart 2.12 стала стабильная реализация библиотеки FFI, позволяющей создавать высокопроизводительный код, из которого можно обращаться к API на языке Си. Внесены оптимизации производительности и размера. Добавлены инструменты для разработчиков и система профилирования кода, написанные с использованием Flutter, а также новые плагины для разработки приложений на Dart и Flutter для Android Studio/IntelliJ и VS Code.

1. OpenNews: Google и Canonical реализовали во Flutter возможность создания десктоп-приложений для Linux
2. OpenNews: В ОС Fuchsia работают над поддержкой запуска немодифицированных Linux-программ
3. OpenNews: Язык Dart утверждён ассоциацией Ecma в качестве международного стандарта
4. OpenNews: Выпуск языка программирования Dart 2.0
5. OpenNews: Для Ubuntu Desktop развивается новый инсталлятор

Сообщество сможет не только принимать участие в наполнении поисковых индексов, но и участвовать в создании альтернативных моделей ранжирования для недопущения цензурирования и однобокой подачи материала. Для выбора наиболее релевантных материалов в Cliqz применяется модель на основе анализа анонимного лога запросов и кликов, совершаемых пользователями в браузере. Участие в накоплении подобных данных будет по желанию. Вместе с сообществом также будет развиваться система Goggles, предлагающая предметно-ориентированный язык для написания фильтров результатов поиска. Пользователь сможет сам выбирать фильтры с которыми он согласен и отключать те, что считает неприемлемыми.

Финансирование работы поисковой системы будет осуществляться за счёт рекламы. Пользователям будет предложено два варианта - платный доступ без рекламы и бесплатный доступ с рекламой, при показе которой не будет применяться отслеживание пользователей. Интеграция с браузером позволит реализовать передачу информации о предпочтениях под контролем пользователя и без нарушения конфиденциальности, а также даст возможность добавить такие функции, как мгновенное уточнение результата по мере набора запроса. Для интеграции поисковой системы с некоммерческими проектами будет предоставлен открытый API.

Напомним, что web-браузер Brave развивается под руководством Брендана Айка (Brendan Eich), создателя языка JavaScript и бывшего руководителя Mozilla. Браузер построен на базе движка Chromium, сосредоточен на оберегании приватности пользователей, включает интегрированный движок для вырезания рекламы, может работать через Tor, предоставляет встроенную поддержку HTTPS Everywhere, IPFS и WebTorrent, предлагает альтернативный баннерам механизм финансирования издателей на основе подписки. Код проекта распространяется под свободной лицензией MPLv2.

Интересно, что в своё время компания Mozilla пыталась интегрировать Cliqz в Firefox (компания Mozilla была одним из инвесторов Cliqz), но эксперимент был провален из-за недовольства пользователей утечкой своих данных. Проблема была в том, что для обеспечения работы встроенного дополнения Cliqz все вводимые в адресной строке данные передавались на сервер сторонней коммерческой компании Cliqz GmbH, которая получала доступ к информации об открываемых пользователем сайтах и вводимых через адресную строку запросах. Утверждалось, что данные передаются анонимно и никак не привязываются к пользователю, но при этом компании известны IP-адреса пользователя и невозможно удостовериться в том, что привязка к IP удаляется, данные не оседают в логах или скрыто не используются для определения предпочтений.

1. OpenNews: В Brave выявлена утечка через DNS сведений об открываемых в Tor-режиме onion-сайтах
2. OpenNews: В браузер Brave встроена поддержка распределённой сети IPFS
3. OpenNews: В браузере Brave выявлена подстановка реферального кода при открытии некоторых сайтов
4. OpenNews: Выпуск браузера Brave 1.0, развиваемого при участии создателя JavaScript
5. OpenNews: В браузер Brave интегрировано обращение к archive.org для просмотра удалённых страниц

Основные изменения в Chrome 89:

• Версия Chrome для Android отныне сможет запускаться только на устройствах, сертифицированных в Play Protect. В виртуальных машинах и эмуляторах Chrome для Android сможет использоваться если эмулируется допустимое устройство или эмулятор разработан в Google. Проверить сертифицировано устройство или нет можно в приложении Google Play в секции настроек (на странице с настройками в самом низу показан статус "Play Protect certification"). Для несертифицированных устройств, например при использовании сторонних прошивок, для запуска Chrome пользователям предлагается зарегистрировать свои устройства.
• Для небольшого процента пользователей включено открытие сайтов по умолчанию через HTTPS при наборе имён хостов в адресной строке. Например, при вводе хоста example.com по умолчанию будет открыт сайт https://example.com, а если при открытии возникли проблемы будет выполнен откат до http://example.com. Для управления использованием по умолчанию "https://" предложена настройка "chrome://flags#omnibox-default-typed-navigations-to-https".
• Включена переработанная реализация профилей, позволяющих разным пользователям разделить свои учётные записи при работе через один браузер. Например, при помощи профилей можно организовать доступ членам семьи или разделить сеансы, используемые для работы и личных интересов. Пользователь может создать новый профиль Chrome и настроить его активацию при подключении к определённой учётной записи в Google, что позволяет разным пользователям разделять закладки, настройки и историю посещений.

  В новой реализации упрощено переключение между профилями и обеспечено наглядное разделение сеансов. Браузер теперь определяет попытки входа на сайтах Google в другую учётную запись, - если эта учётная запись привязана к другому профилю, пользователю будет предложено переключиться на этот профиль. При наличии у одного пользователя привязки к нескольким профилям, предоставлена возможность выбора желаемого профиля. Возможна настройка для профилей своих цветовых схем и тем оформления, что позволяет добиться визуального разделения сеансов разных пользователей. Добавлена возможность открытия интерфейса для выбора профиля после запуска браузера.

  
• Включено отображение эскизов содержимого при наведении курсора на вкладки в верхней панели. Ранее предпросмотр содержимого вкладок был отключён по умолчанию и требовал изменения настройки "chrome://flags/#tab-hover-cards".
• Для части пользователей включена функция "Список чтения" (Reading List, "chrome://flags#read-later"), при активации которой при нажатии на звёздочку в адресной строке помимо кнопки "Добавить закладку" появляется вторая кнопка "Добавить в список чтения", а в правом углу панели закладок появляется меню "Список чтения", в котором перечислены все ранее добавленные в список страницы. При открытии страницы из списка она помечается прочитанной. Страницы в списке также могут быть отмечены прочитанными и непрочитанными вручную или удалены из списка.
• Для пользователей, входящих в учётную запись Google, без включения Chrome Sync предоставлен доступ к методам платежей и паролям, сохранённым в учётной записи Google. Возможность включена для части пользователей и постепенно будет доведена до остальных.
• Включена поддержка быстрого поиска вкладок, которая ранее требовала активации через флаг "chrome://flags/#enable-tab-search". В правом углу панели вкладок появилась новая кнопка со стрелкой вниз, при нажатии на которую появляется форма поиска, через которую можно просмотреть список всех открытых вкладок и быстро отфильтровать нужную вкладку, независимо от того в текущем или другом окне она находится. Функция также доступна через комбинацию клавиш "Ctrl+Shift+A".
• Для всех пользователей прекращена обработка ввода отдельных слов в адресной строке как попыток открытия внутренних сайтов. Ранее, в случае ввода одного слова в адресной строке, браузер вначале пытался в DNS определить наличие хоста с таким именем, полагая, что пользователь пытается открыть поддомен, и уже потом перенаправлял запрос поисковой системе. Таким образом, владелец DNS-сервера, указанного в настройках пользователя, получал сведения о состоящих из одного слова поисковых запросах, что оценивалось как нарушение конфиденциальности. Для предприятий, использующих интернет-хосты без поддомена (например, "https://helpdesk/") предоставлена опция для возвращения старого поведения.
• Предоставлена возможность закрепления версии дополнения или приложения. Например, для использования на предприятии только проверенных дополнений администратор при помощи новой политики ExtensionSettings может настроить Chrome для использования собственного URL для загрузки обновлений, вместо URL указанного в манифесте дополнения.
• На системах x86 для работы браузера теперь обязательна поддержка процессором инструкций SSE3, которые поддерживаются процессорами Intel начиная с 2004 года, а AMD - c 2005 года.
  
  
  
• Добавлены дополнительные API, нацеленные на предоставление функциональности, которая сможет заменить сторонние Cookie, применяемые для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики. Предложены для тестирования следующие API:
  • Trust Token для разделения пользователей без использования межсайтовых идентификаторов.
  • First party sets - позволяет связанным доменам объявить себя первичными для того, чтобы браузер мог учесть эту связь при межсайтовых обращениях.
  • Schemeful Same-Site для распространения понятия same-site на разные схемы URL, т.е. http://website.example и https://website.examplе будут обработаны как один сайт при межсайтовых запросах.
  • Floc для определения категории интересов пользователя без проведения индивидуальной идентификации и без привязки к истории посещения конкретных сайтов.
  • Conversion Measurement для оценки активности пользователя после перехода на рекламу.
  • User-Agent Client Hints для замены User-Agent и выборочной отдачи данных о конкретных параметрах браузера и системы (версия, платформа и т.д.).
• Добавлен API Serial, позволяющий сайтам читать и записывать данные через последовательный порт. В качестве причины появления подобного API называется возможность создавать web-приложения для прямого управления такими устройствами как микроконтроллеры и 3D-принтеры. Для получения доступа к периферийному устройству требуется явное подтверждение пользователем полномочий.
• Добавлен API WebHID для низкоуровневого доступа к HID-устройствам (Human interface device, клавиатуры, мыши, геймпады, сенсорные панели), позволяющим реализовать логику работы с HID-устройством на JavaScript для организации работы с редкими HID-устройствами без наличия в системе специфичных драйверов. Прежде всего новый API нацелен на предоставление поддержки геймпадов.
• Добавлен API Web NFC, позволяющий web-приложениям читать и записывать NFC-тэги. Среди примеров применения нового API в web-приложениях отмечается предоставление информации о музейных экспонатах, проведение инвентаризации, получение сведений с бейджей участников конференций и т.п. Отправка и сканирование тегов производится при помощи объектов NDEFWriter и NDEFReader.
• API Web Share (объект navigator.share) выведен за рамки мобильных устройств и теперь доступен пользователям настольных браузеров (пока только для Windows и Chrome OS). API Web Share предоставляет средства для обмена информацией в социальных сетях, например, позволяет сгенерировать унифицированную кнопку для публикации в социальных сетях, которыми пользуется посетитель, или организовать отправку данных другим приложениям.
• В версиях для Android и компоненте WebView включена поддержка декодирования формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1 (в настольных версиях поддержка AVIF была включена ещё в Chrome 85). Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR).
• Добавлен новый Reporting API для получения информации о нарушении правил безопасного использования на странице привилегированных операций, заданных через заголовок COOP (Cross-Origin-Opener-Policy), который также позволяет перевести COOP в режим отладки, работающий без блокировки нарушений правил.
• Добавлена функция performance.measureUserAgentSpecificMemory(), определяющая размер памяти, израсходованный при обработке страницы.
• Для соответствия требованиям web-стандарта все URL "data:" теперь обрабатываются как потенциально заслуживающие доверия, т.е. являются частью защищённого контекста.
• В API Streams добавлена поддержка потоков байтов (Byte Streams), которые специально оптимизированы для эффективной передачи произвольных наборов байтов и минимизируют число операций копирования с данными. Вывод потока может быть записан в такие примитивы как строки или ArrayBuffer.
• В элементах SVG реализована поддержка полного синтаксиса свойства "filter", что позволяет одновременно применять к SVG и не SVG элементам такие функции фильтрации, как blur(), sepia() и grayscale().
• В CSS реализован псевдо-элемент "::target-text", который можно использовать для выделения фрагмента на который был переход по тексту (scroll-to-text) другим стилем, чем используется браузером при подсветке найденного.
• Добавлены CSS-свойства для управления скруглением углов: border-start-start-radius, border-start-end-radius, border-end-start-radius, border-end-end-radius.
• Добавлено CSS-свойство forced-colors для определения того, применяет ли браузер на странице заданную пользователем ограниченную цветовую палитру.
• Добавлено CSS-свойство forced-color-adjust для отключения принудительного ограничения цветов для отдельных элементов, оставляя для них полные возможности управления цветами через CSS.
• В JavaScript разрешено использование ключевого слова await в модулях на верхнем уровне, что позволяет более мягко интегрировать асинхронные вызовы в процесс загрузки модулей и обойтись без упаковки в "async function". Например, вместо

  
     (async function() {
       await Promise.resolve(console.log('test'));
     }());
  

  теперь можно писать

  
     await Promise.resolve(console.log('test'));
  

• В JavaScript-движке V8 ускорен вызов функций, в ситуации, когда число переданных аргументов не соответствует определённым в функции параметрам. При расхождении числа аргументов в режиме без JIT производительность возросла на 11.2%, а при использовании JIT TurboFan на 40%.
• Внесена большая порция мелких улучшений в инструменты для web-разработчиков.

Кроме нововведений и исправления ошибок в новой версии устранено 47 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. При этом отмечается, что одна из исправленных уязвимостей (CVE-2021-21166), связанная с временем жизни объектов в звуковой подсистеме, имеет характер 0-day проблемы и до исправления применялась в одном из эксплоитов. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 33 премии на сумму 61000 долларов США (две премии $10000, две премии $7500, три премии $5000, две премии $3000, четыре $1000 и две премии $500). Размер 18 вознаграждений пока не определён.

1. OpenNews: Релиз Chrome 88
2. OpenNews: В Chrome началась активация IETF QUIC и HTTP/3
3. OpenNews: В Chrome экспериментируют с показом рекламы на странице новой вкладки
4. OpenNews: В Chrome намерены удалить поддержку технологии Server Push
5. OpenNews: В Firefox, Chrome, Edge и Safari заблокирован сертификат, используемый для перехвата трафика в Казахстане

Напомним, что в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot используется небольшая прослойка shim, заверенная цифровой подписью Microsoft. Данная прослойка верифицирует GRUB2 собственным сертификатом, что позволяет разработчикам дистрибутивов не заверять каждое обновление ядра и GRUB в Microsoft. Уязвимости в GRUB2 позволяют добиться выполнения своего кода на этапе после успешной верификации shim, но до загрузки операционной системы, вклинившись в цепочку доверия при активном режиме Secure Boot и получив полный контроль за дальнейшим процессом загрузки, в том числе для загрузки другой ОС, модификации компонентов операционной системы и обхода защиты Lockdown.

Как и в случае с прошлогодней уязвимостью BootHole, для блокирования проблемы недостаточно обновить загрузчик, так как атакующий, независимо от используемой операционной системы, может для компрометации UEFI Secure Boot использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью. Проблема решается только обновлением списка отозванных сертификатов (dbx, UEFI Revocation List), но в этом случае будет потеряна возможность использования старых установочных носителей c Linux.

На системах с прошивками, в которых обновлён список отозванных сертификатов, в режиме UEFI Secure Boot можно будет загрузить только обновлённые сборки дистрибутивов Linux. Дистрибутивам же потребуется обновить инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку, сгенерировав для них новые цифровые подписи. Пользователи должны будут обновить установочные образы и иные загрузочные носители, а также загрузить список отозванных сертификатов (dbx) в прошивку UEFI. До обновления dbx в UEFI система остаётся уязвимой независимо от установки обновлений в ОС. Статус устранения уязвимостей можно оценить на данных страницах: Ubuntu, SUSE, RHEL, Debian.

Для решения проблем, возникающих при распространении отозванных сертификатов, в будущем планируется задействовать механизм SBAT (UEFI Secure Boot Advanced Targeting), поддержка которого реализована для GRUB2, shim и fwupd, и начиная со следующих обновлений будет использоваться вместо функциональности, предоставляемой пакетом dbxtool. SBAT разработан совместно с Microsoft и подразумевает добавление в исполняемые файлы компонентов UEFI новых метаданных, которые включают информацию о производителе, продукте, компоненте и версии. Указанные метаданные заверяются цифровой подписью и могут дополнительно включаться в списки разрешённых или запрещённых компонентов для UEFI Secure Boot. Таким образом, SBAT позволит при отзыве манипулировать номерами версий компонентов без необходимости перегенерации ключей для Secure Boot и без формирования новых подписей для ядра, shim, grub2 и fwupd.

Выявленные уязвимости:

• CVE-2020-14372 - при помощи команды acpi в GRUB2 привилегированный пользователь локальной системы может загрузить модифицированные таблицы ACPI, разместив SSDT (Secondary System Description Table) в каталоге /boot/efi и изменив настройки в grub.cfg. Несмотря на активность режима Secure Boot, предложенный SSDT будет выполнен ядром и может использоваться для отключения защиты LockDown, блокирующей пути обхода UEFI Secure Boot. В итоге атакующий может добиться загрузки своего модуля ядра или запуска кода через механизм kexec, без проверки цифровой подписи.
• CVE-2020-25632 - обращение к уже освобождённой области памяти (use-after-free) в реализации команды rmmod, проявляющееся при попытке выгрузить любой модуль без учёта связанных с ним зависимостей. Уязвимость не исключает создание эксплоита, который может привести к выполнению кода в обход верификации Secure Boot.
• CVE-2020-25647 - запись за границы буфера в функции grub_usb_device_initialize(), вызываемой при инициализации USB-устройств. Проблема может быть эксплуатирована через подключение специально подготовленного USB-устройства, выдающего параметры, размер которых не соответствует размеру буфера, выделенного для структур USB. Атакующий может добиться выполнения кода, не верифицированного в Secure Boot, через манипуляции с USB-устройствами.
• CVE-2020-27749 - переполнение буфера в функции grub_parser_split_cmdline(), которое может быть вызвано указанием в командной строке GRUB2 переменных, размером более 1 КБ. Уязвимость позволяет добиться выполнения кода в обход Secure Boot.
• CVE-2020-27779 - команда cutmem даёт возможность атакующему удалить диапазон адресов из памяти для обхода Secure Boot.
• CVE-2021-3418 - изменения в shim_lock создали дополнительный вектор для эксплуатации прошлогодней уязвимости CVE-2020-15705. При установке в dbx сертификата, используемого для подписи GRUB2, GRUB2 позволял загрузить любое ядро напрямую без проверки подписи.
• CVE-2021-20225 - возможность записи данных за пределы буфера при запуске команд с очень большим числом опций.
• CVE-2021-20233 - возможность записи данных за границу буфера из-за неверного расчёта размера буфера при использовании кавычек. При расчёте размера предполагалось, что для экранирования одинарной кавычки требуется три символа, хотя на деле необходимо четыре.

1. OpenNews: Критическая уязвимость в загрузчике GRUB2, позволяющая обойти UEFI Secure Boot
2. OpenNews: В обновлении GRUB2 выявлена проблема, приводящая к невозможности загрузки
3. OpenNews: Дистрибутивы устранили проблемы с обновлением GRUB2
4. OpenNews: Релиз менеджера загрузки GNU GRUB 2.04
5. OpenNews: Методы отключения защиты Lockdown в Ubuntu для удалённого обхода UEFI Secure Boot

Разработчики OpenSSH напомнили о грядущем переводе в разряд устаревших алгоритмов, использующих хеши SHA-1, в связи с повышением эффективности коллизионных атак с заданным префиксом (стоимость подбора коллизии оценивается примерно в 50 тысяч долларов). В одном из ближайших выпусков планируют отключить по умолчанию возможность использования алгоритма цифровых подписей по открытому ключу "ssh-rsa", который упоминается в оригинальном RFC для протокола SSH и остаётся широко распространённым на практике.

Для проверки применения ssh-rsa в своих системах можно попробовать подключиться по ssh с опцией "-oHostKeyAlgorithms=-ssh-rsa". При этом отключение по умолчанию цифровых подписей "ssh-rsa" не означает полный отказ от использования RSA-ключей, так как помимо SHA-1 протокол SSH допускает применение других алгоритмов вычисления хэшей. В частности, помимо "ssh-rsa" останется возможность использования связок "rsa-sha2-256" (RSA/SHA256) и "rsa-sha2-512" (RSA/SHA512).

Для сглаживания перехода на новые алгоритмы в OpenSSH 8.5 по умолчанию включена настройка UpdateHostKeys, которая позволяет автоматически перевести клиентов на более надёжные алгоритмы. При помощи указанной настройки включается специальное расширение протокола "hostkeys@openssh.com", позволяющее серверу после прохождения аутентификации информировать клиента о всех доступных ключах хоста. Клиент может отразить эти ключи в своём файле ~/.ssh/known_hosts, что позволяет организовать обновление ключей хоста и упрощает смену ключей на сервере.

Использование UpdateHostKeys ограничено несколькими оговорками, которые в будущем могут быть отменены: ключ должен упоминаться в UserKnownHostsFile и не использоваться в GlobalKnownHostsFile; ключ должен присутствовать только под одним именем; не должен применяться сертификат хостового ключа; в known_hosts не должно применяться масок по имени хоста; должна быть отключена настройка VerifyHostKeyDNS; должен быть активен параметр UserKnownHostsFile.

Среди рекомендуемых для миграции алгоритмов упомянуты rsa-sha2-256/512 на базе RFC8332 RSA SHA-2 (поддерживается с OpenSSH 7.2 и используется по умолчанию), ssh-ed25519 (поддерживается с OpenSSH 6.5) и ecdsa-sha2-nistp256/384/521 на базе RFC5656 ECDSA (поддерживается с OpenSSH 5.7).

Другие изменения:

• Изменения, связанные с безопасностью:
  • В ssh-agent устранена уязвимость, вызванная повторным освобождением уже освобождённой области памяти (double-free). Проблема проявляется с выпуска OpenSSH 8.2 и потенциально может быть эксплуатирована при наличии у атакующего доступа к сокету ssh-agent на локальной системе. Эксплуатацию усложняет то, что доступ к сокету имеют только root и исходный пользователь. Наиболее вероятным сценарием атаки является перенаправление агента на учётную запись, которая подконтрольна злоумышленнику, либо на хост, на котором у злоумышленника есть root-доступ.
  • В sshd добавлена защита от передачи очень больших параметров с именем пользователя в подсистему PAM, что позволяет блокировать уязвимости в системных модулях PAM (Pluggable Authentication Module). Например, изменение позволяет предотвратить использование sshd в качестве вектора для эксплуатации недавно выявленной root-уязвимости в Solaris (CVE-2020-14871).
• Изменения, потенциально нарушающие совместимость:
  • В ssh и sshd переработан экспериментальный метод обмена ключами, стойкий к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Используемый метод основан на алгоритме NTRU Prime, разработанном для постквантовых криптосистем, и методе обмена ключами на базе эллиптических кривых X25519. Вместо sntrup4591761x25519-sha512@tinyssh.org метод теперь идентифицируется как sntrup761x25519-sha512@openssh.com (алгоритм sntrup4591761 заменён на sntrup761).
  • В ssh и sshd изменён порядок анонсирования поддерживаемых алгоритмов цифровых подписей. Первым теперь предлагается ED25519 вместо ECDSA.
  • В ssh и sshd установка параметров качества обслуживания TOS/DSCP для интерактивных сеансов теперь производится до установки TCP-соединения.
  • В ssh и sshd прекращена поддержка шифра rijndael-cbc@lysator.liu.se, который идентичен aes256-cbc и использовался до утверждения RFC-4253.
  • По умолчанию отключён параметр CheckHostIP, польза от которого незначительна, но использование существенно усложняет ротацию ключей для хостов за балансировщиками нагрузки.
• В sshd добавлены настройки PerSourceMaxStartups и PerSourceNetBlockSize для ограничения интенсивности запуска обработчиков в привязке к адресу клиента. Указанные параметры позволяют более тонко управлять ограничением на запуск процессов, по сравнению с общей настройкой MaxStartups.
• В ssh и sshd добавлена новая настройка LogVerbose, позволяющая принудительно поднять уровень сбрасываемой в лог отладочной информации, с возможностью фильтрации по шаблонам, функциям и файлам.
• В ssh при принятии нового хостового ключа обеспечен показ всех имён хостов и IP-адресов, ассоциированных с ключом.
• В ssh разрешено указание опции UserKnownHostsFile=none для отключения использования файла known_hosts при идентификации хостовых ключей.
• В ssh_config для ssh добавлена настройка KnownHostsCommand, позволяющая получить данные known_hosts из вывода указанной команды.
• В ssh_config для ssh добавлена опция PermitRemoteOpen, позволяющая ограничить точку назначения при использовании опции RemoteForward с SOCKS.
• В ssh для ключей FIDO обеспечен повторный запрос PIN в случае сбоя операции с цифровой подписью из-за некорректного PIN и отсутствия запроса PIN у пользователя (например, когда не удалось получить корректные биометрические данные и устройство откатилось на ручной ввод PIN-а).
• В sshd в основанный на seccomp-bpf механизм изоляции процесса на платформе Linux добавлена поддержка дополнительных системных вызовов.
• Обновлена утилита contrib/ssh-copy-id.

1. OpenNews: Релиз OpenSSH 8.4
2. OpenNews: Уязвимость в SSH-клиентах OpenSSH и PuTTY
3. OpenNews: Релиз OpenSSH 8.3 с устранением уязвимости в scp
4. OpenNews: Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутентификации FIDO/U2F
5. OpenNews: Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP

В качестве причин отказа от поддержки Telegram Desktop нынешними сопровождающими называется отталкивающее и неприязненное отношение разработчиков, которые даже не пытаются разобраться в ошибках, приводящих к проблемам со сборкой из исходных текстов в дистрибутивах Linux. Сообщения о подобных ошибках сразу закрываются с признаком "WONTFIX" и рекомендацией использовать полупроприетарные бинарные сборки с официального сайта.

Ситуацию усугубляет то, что проблемы, мешающие сборке пакетов, регулярно всплывают в новых релизах, а на все попытки устранить недоработки в upstream сводятся к заявлениям, что разработчики поддерживают только статическое связывание tg_owt и все проблемы при создании собственных сборок следует решать самостоятельно. Например, недавно была прекращена поддержка сборки с версиями Qt меньше 5.15 и все обращения с предложениями как-то решить возникшую проблему просто игнорировались.

Также отмечается общая запутанность организации сборки Telegram Desktop, усложняющая сопровождение. Проект разбит на четыре разных репозитория (приложение, библиотека для webrtc, сценарии для системы сборки cmake и библиотека для обработки звука), но только в одном репозитории формируются релизы, а остальные три просто обновляются по мере разработки без фиксации состояния. Дополнительно сборку затрудняют конфликты с зависимостями, возникающие при попытке обеспечить поддержку Wayland и x11, PulseAudio и ALSA, OpenSSL и LibreSSL.

Дополнение: Позиция другой стороны конфликта сводится к тому, что большая часть сообщений о проблемах неактуальна или быстро исправлена, а разногласия заключаются в нежелании поддерживать своими силами старые версии Qt и динамическое связывание с библиотекой tg_owt.

1. OpenNews: GPL-код из Telegram взят мессенджером Mail.ru без соблюдения GPL
2. OpenNews: Релиз Telegram Desktop 2.2
3. OpenNews: Выпуск десктоп-клиента Telegram 2.0
4. OpenNews: Комиссия по ценным бумагам США приостановила размещение криптовалюты Telegram
5. OpenNews: Роскомнадзор снял ограничения на доступ к мессенджеру Telegram

В Linux Mint не собирается телеметрия, поэтому для оценки актуальности компонентов дистрибутива использовался косвенный метод на основе анализа используемых версий Firefox. Разработчики Linux Mint совместно с компанией Yahoo проанализировали какая версия браузера применяется пользователями Linux Mint. После выпуска пакета с обновлением Firefox 85.0 на основе значения заголовка User Agent, передаваемого при обращении к сервисами Yahoo, была вычислена динамика перехода пользователей Linux Mint на новую версию Firеfox. Результат оказался неутешительным и за неделю на новую версию перешло только 30% пользователей, а остальные продолжали выходить в сеть с устаревших выпусков.

Более того, оказалось, что часть пользователей вообще не устанавливает обновления и продолжает использовать Firefox 77, предложенный в выпуске Linux Mint 20. Также выявлено, что 5% пользователей (по другой статистике 30%) продолжают использовать ветку Linux Mint 17.x, поддержка которой прекращена в апреле 2019 года, т.е. обновления на данных системах не устанавливались уже два года. Показатель 5% получен на основе оценки запросов со стартовой страницы браузера, а 30% на основе обращений пакетного менеджера APT к репозиториям.

Из комментариев пользователей, не обновляющих свои системы, можно понять, что основными причинами использования старых версий является неосведомлённость о наличии обновлений, установка на устаревшем оборудовании, на котором недостаточно ресурсов для работы новых версий дистрибутива, нежелание менять привычное окружение, появление регрессивных изменений в новых ветках, таких как проблемы с видеодрайверами, и прекращение поддержки 32-разрядных систем.

Разработчики Linux Mint рассматривали два основных пути более активного продвижения обновлений: усиление информирования пользователей о наличии обновлений и автоматическая установка обновлений по умолчанию с возможностью легко вернуться к ручному режиму для тех, кто привык самостоятельно контролировать свою систему.

В следующем выпуске Linux Mint решено добавить в менеджер обновлений дополнительные метрики, позволяющие оценивать актуальность пакетов в системе, такие как число дней с момента последнего применения обновлений. В случае длительного отсутствия обновлений Update Manager начнёт выводить напоминания о необходимости применения накопившихся обновлений или перехода на новую ветку дистрибутива. При этом предупреждения можно будет отключить в настройках. Linux Mint продолжает придерживаться принципа, что жёсткое навязывание недопустимо, так как пользователь является владельцем компьютера и волен делать с ним что угодно. Переход на автоматическую установку обновлений пока не планируется.

1. OpenNews: В Linux Mint отмечены проблемы с распространением обновлений с устранением уязвимостей
2. OpenNews: Linux Mint будет блокировать скрытую от пользователя установку snapd
3. OpenNews: Релиз дистрибутива Linux Mint 20
4. OpenNews: Linux Mint начал формирование классического пакета с Chromium
5. OpenNews: Релиз дистрибутива Linux Mint 20.1

Подобная функциональность уже присутствовала в ядре в виде опции сборки KASAN (kernel address sanitizer, использует Address Sanitizer в современных gcc и clang) - однако позиционировалась в основном для отладочного применения. Подсистема KFence отличается от KASAN высокой скоростью работы, что позволяет использовать эту возможность даже на ядрах в рабочих системах.

Применение на рабочих системах даст возможность отлавливать ошибки работы с памятью, которые не проявляются в тестовых запусках и всплывают только на рабочих нагрузках или при длительной работе (при большом uptime). Кроме того, применение KFence на рабочих системах даст возможность существенно увеличить число машин, вовлечённых в проверку работы ядра с памятью.

Минимальные накладные расходы, не зависящие от нагрузки, достигаются в KFence благодаря подстановке страниц защиты (guard pages) в кучу через фиксированные интервалы. После истечения времени очередного интервала защиты KFence через штатную систему распределения памяти (SLAB или SLUB allocator) добавляет очередную страницу защиты из пула объектов KFence, и начинает новый отчёт счётчика времени. Каждый объект KFence размещается в отдельной странице памяти, а страницы памяти по левой и правой границе образуют страницы защиты (guard pages), размер которых выбирается случайно.

Таким образом, страницы с объектами отделяются друг от друга страницами защиты, которые настраиваются на генерацию "page fault" при любом обращении. Для выявления операций записи за границу буфера внутри страниц с объектами дополнительно используются "красные зоны" на основе шаблонов, которые занимают память, не используемую объектами, остающуюся при выравнивании размера страниц памяти.

---+-----------+-----------+-----------+-----------+-----------+---
   | xxxxxxxxx | O :       | xxxxxxxxx |       : O | xxxxxxxxx |
   | xxxxxxxxx | B :       | xxxxxxxxx |       : B | xxxxxxxxx |
   | x GUARD x | J : RED-  | x GUARD x | RED-  : J | x GUARD x |
   | xxxxxxxxx | E :  ZONE | xxxxxxxxx |  ZONE : E | xxxxxxxxx |
   | xxxxxxxxx | C :       | xxxxxxxxx |       : C | xxxxxxxxx |
   | xxxxxxxxx | T :       | xxxxxxxxx |       : T | xxxxxxxxx |
---+-----------+-----------+-----------+-----------+-----------+---

В случае попытки обращения к области вне границ буфера операция затрагивает страницу защиты, что приводит к генерации "page fault", который перехватывает KFence и выводит в лог данные о выявленной проблеме. По умолчанию KFence не блокирует ошибку и лишь выводит предупреждение в лог, но предусмотрена настройка "panic_on_warn", позволяющая в случае выявления ошибки переводить ядро в состояние краха (panic).

1. OpenNews: Выпуск модуля LKRG 0.8 для защиты от эксплуатации уязвимостей в ядре Linux
2. OpenNews: Проблемы с безопасностью в патчах, предложенных сотрудником Huawei для защиты ядра Linux
3. OpenNews: Экспериментальная поддержка пересборки ядра Linux в Clang с механизмом защиты CFI
4. OpenNews: Проект grsecurity опубликовал реализацию механизма защиты RAP для ядра Linux
5. OpenNews: Проект по продвижению в ядро Linux новых технологий активной защиты

Ключевые улучшения:

• Обновлены версии пакетов, включая ядро Linux 5.10.16, glibc 2.32, LLVM 11.0.1, GCC 10.2, rpm 4.16.1.2, dnf 4.6.0, Mesa 20.3.4, X.Org 1.20.10, Firefox 78, Chromium 88, LibreOffice 7.0.4.2, Python 3.8.7, Perl 5.32.1, Ruby 2.7.2, Rust 1.49.0, PHP 8.0.2, Java 11, Qt 5.15.2, GTK 3.24.24/4.1.0, QEmu 5.2, Xen 4.14, VirtualBox 6.1.18.
• Обновлены версии рабочих столов KDE Plasma 5.20.4, GNOME 3.38, Xfce 4.16, LXQt 0.16.0, MATE 1.24.2, Cinnamon 4.8.3 и Enlightenment E24.2. Сеанс с GNOME теперь по умолчанию запускается с использованием Wayland, а в сеанс KDE добавлена опциональная поддержка Wayland.
• В инсталлятор добавлена поддержка установки на разделы с файловой системой F2FS. Расширен спектр поддерживаемых беспроводных чипов и добавлена возможность загрузки установочного образа (Stage2) по Wi-Fi с подключением через WPA2 (ранее поддерживался только WEP). В редакторе дисковых разделов улучшена поддержка файловых систем NILFS, XFS, exFAT и NTFS.
• Значительно ускорена загрузка и установка дистрибутива в Live-режиме, благодаря задействованию алгоритма сжатия Zstd в squashfs и оптимизации определения оборудования. Добавлена поддержка установки обновлений на последней стадии инсталляции дистрибутива.
• В режим загрузки для восстановления после сбоя добавлена поддержка восстановления шифрованных разделов LVM/LUKS.
• В пакетный менеджер rpm добавлены оптимизации для SSD-накопителей и задействовано сжатие метаданных при помощи алгоритма Zstd вместо Xz. В urpmi добавлена опция для переустановки пакетов.
• Проведена чистка дистрибутива от модулей, привязанных к Python2.
• Переработано приложение MageiaWelcome, предназначенное для первичной настройки и ознакомления пользователя с системой. Приложение написано на Python с использованием QML, теперь поддерживает изменение размера окна и оснащено линейным интерфейсом, предлагающим пользователю последовательность шагов по настройке.
• В Isodumper, утилиту для записи ISO-образов на внешние накопители, добавлена поддержка верификации образов с использованием контрольных сумм sha3 и возможность хранения раздела с сохраняющимися данными пользователей в зашифрованном виде.
• В базовый набор кодеков включена поддержка формата mp3, патенты на который истекли в 2017 году. Для H.264, H.265/HEVC и AAC требуется установка дополнительных кодеков.
• Продолжена работа по обеспечению поддержки платформы ARM и переводу данной архитектуры в число первичных. Официальные сборки для ARM пока не формируются, а инсталлятор остаётся экспериментальным, но уже обеспечена сборка всех пакетов для AArch64 и ARMv7.

1. OpenNews: Релиз дистрибутива OpenMandriva Lx 4.2
2. OpenNews: Выпуск дистрибутива Mageia 7, форка Mandriva Linux
3. OpenNews: Скомпрометирована инфраструктура проекта Mageia
4. OpenNews: Из Mandriva ушли почти все разработчики и основали форк проекта - Mageia
5. OpenNews: Первый бета-выпуск мобильной платформы /e/, развиваемой создателем Mandrake Linux

OnionShare запускает на локальной системе web-сервер, работающий в форме скрытого сервиса Tor, и делает его доступным для других пользователей. Для доступа к серверу генерируется непредсказуемый onion-адрес, который выступает в роли точки входа для организации обмена файлами (например, "http://ash4...pajf2b.onion/slug", где slug - два случайных слова для усиления защиты). Для загрузки или отправки файлов другим пользователям достаточно открыть этот адрес в Tor Browser. В отличие от отправки файлов по email или через такие сервисы, как Google Drive, DropBox и WeTransfer, система OnionShare является самодостаточной, не требует обращения к внешним серверам и позволяет передать файл без посредников напрямую со своего компьютера.

От других участников обмена файлами не требуется установка OnionShare, достаточно обычного Tor Browser и одного экземпляра OnionShare у одного из пользователей. Конфиденциальность пересылки осуществляется путём безопасной передачи адреса, например, используя режим end2end-шифрования в мессенджере. После завершения передачи адрес сразу удаляется, т.е. передать файл второй раз в обычном режиме не получится (требуется применение отдельного публичного режима). Для управления отдаваемыми и принимаемыми файлами, а также для контроля за передачей данных, на стороне запущенного на системе пользователя сервера предоставляется графический интерфейс.

Основные новшества:

• Реализована поддержка вкладок, позволяющих одновременно выполнять несколько действий в программе. Поддерживается запуск четырёх типов сервисов во вкладках: предоставление доступа к своим файлами, получение сторонних файлов, управление локальным сайтом и общение в чате. Для каждого сервиса можно открывать несколько вкладок, например, можно запустить несколько локальных сайтов и создать несколько чатов. После перезапуска ранее открытые вкладки сохраняются и привязываются к тому же OnionShare-адресу.
• Добавлена возможность создания защищённых одноразовых чат-комнат для анонимного общения без сохранения истории переписки. Доступ к чату предоставляется на основе типового адреса OnionShare, который можно отправить участникам, с которыми необходимо что-то обсудить. К чату можно подключиться без необходимости установки OnionShare, просто открыв присланный адрес в Tor Browser. Обмен сообщениями в чате шифруется с использованием оконечного шифрования, реализованного на базе штатных onion-сервисов Tor без изобретения дополнительных механизмов шифрования.

  В качестве возможной области применения встроенного чата называются ситуации, в которых требуется что-то обсудить без оставления следов, - в обычных мессенджерах нет гарантии того, что отправленное сообщение будет удалено получателем и не осядет в промежуточных хранилищах и дисковом кэше. В чате OnionShare сообщения только показываются и нигде не сохраняются. Чат OnionShare также можно использовать для организации быстрого общения без заведения учётных записей или когда нужно обеспечить анонимность участника.

  
• Расширены возможности для работы с OnionShare из командной строки без запуска графического интерфейса. Интерфейс командной строки выделен в отдельное приложение onionshare-cli, которое в том числе можно использовать на серверах без монитора. Поддерживаются все базовые операции, например, для создания чата можно запустить команду "onionshare-cli --chat", для создания сайта - "onionshare-cli --website", а для приёма файла - "onionshare-cli --receive".

1. OpenNews: Проект Tor опубликовал OnionShare 2.2
2. OpenNews: Выпуск Whonix 15, дистрибутива для обеспечения анонимных коммуникаций
3. OpenNews: Проект Tor представил OnionShare 2, приложение для защищённого обмена файлами
4. OpenNews: В libtorrent добавлена поддержка протокола WebTorrent
5. OpenNews: Выпуск libtorrent 2.0 с поддержкой протокола BitTorrent 2

От государственных служб поступило 44 требования удаления контента из-за нарушений локальных законодательств, все из которых были получены из России (в 2019 году было 16 запросов - 8 из России, 6 из Китая и 2 из Испании). Запросы охватывали 44 проекта и в основном касались заметок в gist.github.com (в 2019 году - 54 проекта). Все блокировоки по запросу РФ были отправлены Роскомнадзором и связаны с публикацией инструкций по проведению суицида, продвижением религиозных сект и мошенническими действиями. За два первых месяца 2021 года от Роскомнадзора пока поступило только 2 запроса.

Дополнительно было получено 13 запросов об удалении, связанных с нарушением локальных законодательств, которые также нарушали условия использования сервиса (Terms of Service). Запросы охватывали 12 учётных записей пользователей и один репозиторий. В данных случаях причиной блокировок стали попытки фишинга (запросы из Непала, США и Шри-Ланки), дезинформация (Уругвай) и другие нарушения условий использования (Великобритания и Китай). Три запроса (из Дании, Кореи и США) были отклонены из-за отсутствия должных доказательств.

Из-за получения жалоб на нарушения условий использования сервиса, не связанных с DMCA, GitHub скрыл 4826 учётных записей, из которых 415 впоследствии были восстановлены. Блокировка доступа владельца учётной записи были предпринята в 47 случаях (15 учётных записей затем были разблокированы). Для 1178 учётных записей одновременно были применены и блокировка и скрытие (восстановлены затем были 29 учётных записей). В разрезе проектов было отключено 2405 проектов и возвращены только 4.

GitHub также получил 303 запроса о раскрытии данных пользователей (в 2019 году - 261). 155 подобных запросов было отправлено в форме судебных повесток (134 криминальных дела и 21 гражданское), 117 - судебных постановлений и 23 ордера на обыск. 93.1% запросов были отправлены правоохранительными органами, а 6.9% по гражданским искам. Удовлетворено 206 запросов из 303, в результате чего раскрыты сведения о 11909 учётных записях (в 2019 году - 1250). Пользователи были уведомлены о раскрытии их данных только 14 раз, так как оставшиеся 192 запроса были снабжены предписанием о неразглашении информации (gag order).

Определённое число запросов также поступило от спецслужб США в рамках закона о негласном наблюдении в целях внешней разведки, но точное число запросов данной категории не подлежит разглашению, сообщается только, что подобных запросов меньше 250.

За год в GitHub поступило 2500 апелляций о необоснованных блокировках при выполнении требований по ограничению экспорта в отношении территорий (Крым, Иран, Куба, Сирия и Северная Корея), подпадающих под санкции санкций США. 2122 апелляции были приняты, 316 отклонены и 62 возвращены с запросом дополнительных сведений.

1. OpenNews: GitHub опубликовал отчёт о блокировках в 2019 году
2. OpenNews: GitHub опубликовал статистику за 2020 год
3. OpenNews: GitHub принял меры для исключения необоснованных блокировок
4. OpenNews: GitHub начал ограничивать пользователей с территорий, подпадающих под санкции США
5. OpenNews: GitHub снял ограничения для разработчиков из Ирана

В частности, новая программа охватывает организации и проекты, вовлечённые в разработку и хостинг программного обеспечения, распространяемого под открытыми лицензиями, одобренными для включения в репозитории Fedora Linux. Бесплатное применение RHEL в подобных организациях разрешено в элементах инфраструктуры, таких как сборочные системы, системы непрерывной интеграции, почтовые и web-серверы. Участникам программы дополнительно предоставляется доступ к порталу Red Hat с документацией, базе знаний, форумам и системе аналитики Red Hat Insights. Формально сервис поддержки не охватывает участников "RHEL for Open Source Infrastructure", но в зависимости от важности проекта компания Red Hat не исключает возможность предоставления бесплатной технической поддержки.

Представленная программа пока ограничена только организациями и не затрагивает индивидуальных разработчиков, текущих партнёров и клиентов Red Hat, государственные организации, образовательные учреждения и некоммерческие организации, желающие использовать RHEL в областях, не связанных с поддержанием инфраструктуры для разработки открытого ПО. Доступ для участия в программе "RHEL for Open Source Infrastructure" предоставляется на основе заявок, отправленных на email "rosi-program@redhat.com". Индивидуальные разработчики могут получить возможность бесплатной установки RHEL, воспользовавшись уже действующей программой "Red Hat Developer". В дальнейшем планируется реализовать ещё несколько программ, закрывающих потребность в традиционном CentOS, в частности подобные программы появятся для некоммерческих организаций, не связанных с открытым ПО, и образовательных учреждений.

Напомним, что ключевое отличие сборки CentOS Stream в том, что классический CentOS выступал в роли "downstream", т.е. собирался из уже сформированных стабильных релизов RHEL и был полностью двоично совместим с пакетами RHEL, а CentOS Stream позиционируется как "upstream" для RHEL, т.е. в нём будет проходить тестовая обкатка пакетов перед включением в релизы RHEL. Подобное изменение позволит сообществу принимать участие в разработке RHEL, контролировать готовящиеся изменения и влиять на принимаемые решения, но не устраивает тех, кому просто нужен стабильно работающий дистрибутив с длительным сроком поддержки.

1. OpenNews: Red Hat представил бесплатные варианты Red Hat Enterprise Linux
2. OpenNews: Эмуляция сборки Red Hat Enterprise Linux на базе Fedora Rawhide
3. OpenNews: Red Hat объясняет трансформацию CentOS желанием сделать более открытой разработку RHEL
4. OpenNews: Red Hat прекращает разработку CentOS 8 в пользу тестового CentOS Stream
5. OpenNews: Представлен дистрибутив Red Hat Enterprise Linux 8.3

Применение автоматической блокировки всех форков предусмотрено только, если зафиксировано более 100 форков, заявитель провёл рецензирование достаточного количества форков и подтвердил нарушение в них своей интеллектуальной собственности. Для автоматической блокировки форков заявитель должен явно указать в своей жалобе, что на основе выполненной ручной проверки можно сделать вывод о наличии во всех или большинстве форков идентичного нарушения. Если число форков не превышает 100, то блокировка как и раньше выполняется на основе индивидуального перечисления в жалобе форков, выявленных заявителем.

Автоматическая блокировка форков поможет решить проблему с неконтролируемым тиражированием пользователями блокируемых репозиториев. Например, в 2018 году после утечки кода загрузчика iBoot, компания Apple не успевала отправлять жалобы на появление форков, которых было создано более 250 и они продолжали создаваться, несмотря на все усилия Apple перекрыть утечку кода. Компания Apple потребовала от GitHub блокировать всю цепочку форков от репозиториев, уличённых в размещении iBoot, но GitHub отказался и согласился блокировать только явно упомянутые репозитории, так как DMCA требует точной идентификации материала, в котором выявлено нарушение имущественных прав.

В ноябре прошлого года после инцидента с блокировкой youtube-dl GitHub добавил предупреждение о недопустимости повторной публикации заблокированного контента другими пользователями, так как подобные действия рассматриваются как нарушение условий использования GitHub и могут привести к приостановке действия учётной записи пользователя. Данного предупреждения оказалось недостаточно и теперь GitHub согласился блокировать сразу все форки.

1. OpenNews: Репозиторий проекта RE3 заблокирован на GitHub
2. OpenNews: GitHub разблокировал youtube-dl и принял меры для исключения необоснованных блокировок
3. OpenNews: По требованию Google заблокированы 135 репозиториев на GitHub
4. OpenNews: В сеть попали исходные коды GitHub и GitHub Enterprise (подтверждено)
5. OpenNews: GitHub предупредил о возможной блокировке пользователей, тиражирующих заблокированные репозитории

В новой версии:

• Реализована возможность создания внешних сервисов для закрепления данных пользователей (pinning - привязка данных к узлу, для гарантирования, что важные данные сохранены). Закреплённые за сервисом данные могут иметь отдельные имена, отличающиеся от идентификатора содержимого (CID). Возможен поиск данных как по имени, так и по CID. Для обработки запросов по закреплению данных предложен API IPFS Pinning Service, который может использоваться непосредственно в go-ipfs. В командной строке для прикрепления предложена команда "ipfs pin remote":

  
     ipfs pin remote service add mysrv https://my-service.example.com/api-endpoint myAccessToken
     ipfs pin remote add /ipfs/bafymydata --service=mysrv --name=myfile  
     ipfs pin remote ls --service=mysrv --name=myfile
     ipfs pin remote rm --service=mysrv --name=myfile
  

• Ускорены операции привязки (pinning) и отвязки (unpinning) данных на локальном узле. Увеличение производительности и сокращение потребляемой памяти особенно заметно при выполнении операций вывода или изменения на системах с большим числом привязок.
• При формировании ссылок "https://" для шлюзов добавлена возможность передачи имён DNSLink с использованием поддоменов. Например, для загрузки имени "ipns://en.wikipedia-on-ipfs.org" помимо ранее поддерживаемых ссылок "https://dweb.link/ipns/en.wikipedia-on-ipfs.org" теперь можно использовать ссылки "https://en-wikipedia--on--ipfs-org.ipns.dweb.link", в которых точки в изначальных именах заменяются на символ "-", а существующие символы "-" экранируются ещё одним подобным символом.
• Расширена поддержка протокола QUIC. Для увеличения производительности предоставлена возможность увеличения принимающих буферов для UDP.

Напомним, что в IPFS ссылка для доступа к файлу непосредственно связана с его содержимым и включает криптографический хэш содержимого. Адрес файла невозможно произвольно переименовать, он может измениться только после изменения содержимого. Аналогично невозможно внести изменение в файл без изменения адреса (старый вариант останется на прежнем адресе, а новый будет доступен через другой адрес, так как хэш от содержимого файла изменится). Учитывая то, что идентификатор файла меняется при каждом изменении, чтобы каждый раз не передавать новые ссылки предоставляются сервисы для привязки постоянных адресов, учитывающих разные версии файла (IPNS), или закрепления псевдонима по аналогии с традиционными ФС и DNS (MFS (Mutable File System) и DNSLink).

По аналогии с BitTorrent данные непосредственно хранятся на системах участников, которые обмениваются информацией в режиме P2P, без привязки к централизованным узлам. При необходимости получить файл с определённым содержимым система находит участников, у которых имеется данный файл и отдаёт его с их систем частями в несколько потоков. После загрузки файла на свою систему участник автоматически становится одной из точек по его раздаче. Для определения участников сети на узлах которых присутствует интересующий контент используется распределённая хэш таблица (DHT). Для доступа к глобальной ФС IPFS может использоваться протокол HTTP или монтироваться виртуальная ФС /ipfs при помощи модуля FUSE.

IPFS помогает решить такие задачи как надёжность хранения (если исходное хранилище будет выведено из строя, файл можно загрузить с систем других пользователей), противостояние цензурированию контента (для блокировки потребуется заблокировать все системы пользователей, на которых имеется копия данных) и организация доступа при отсутствии прямого соединения к интернету или при плохом качестве канала связи (можно загрузить данные через ближайших участников в локальной сети). Кроме хранения файлов и обмена данными IPFS может использоваться как основа для создания новых сервисов, например, для организации работы сайтов, не привязанных к серверам, или для создания распределённых приложений.

1. OpenNews: Выпуск глобальной децентрализованной файловой системы IPFS 0.7
2. OpenNews: Выпуск Venus 0.9, реализации платформы хранения FileCoin
3. OpenNews: В браузер Brave встроена поддержка распределённой сети IPFS
4. OpenNews: Для Chrome развивается API для прямых TCP и UDP коммуникаций
5. OpenNews: Представлена децентрализованная СУБД Noms, основанная на идеях Git