Состоялся релиз языка системного программирования Rust 1.34, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для … Читать далее Выпуск языка программирования Rust 1.34

Джоржио Маоне (Giorgio Maone), создатель проекта NoScript, представил первый доступный для тестирования выпуск дополнения для браузера Chrome. Сборка соответствует версии 10.6.1 для Firefox и стала возможной благодаря переводу ветки NoScript 10 на технологию WebExtension. Выпуск для Chrome имеет статус бета-версии и доступен для загрузки из Chrome Web Store. В конце июня планируется выпустить NoScript 11, который станет первым релизом со стабильной поддержкой Chrome/Chromium. Дополнение, предназначенное для блокирования опасного и нежелательного JavaScript-кода, а также различных видов атак (XSS, DNS Rebinding, CSRF, Clickjacking), используется в составе Tor Browser и многих дистрибутивов, ориентированных на обеспечение конфиденциальности. Отмечается, что появление версии для Chrome является … Читать далее Первый публичный выпуск дополнения NoScript для Chrome

Компания NVIDIA опубликовала исходные тексты системы машинного обучения SPADE (GauGAN), позволяющей синтезировать реалистичные пейзажи на основе грубых набросков, а также связанные с проектом нетренированные модели. Система была продемонстрирована в марте на конференции GTC 2019, но код был опубликован только вчера. Наработки открыты под свободной лицензией CC BY-NC-SA 4.0 (Creative Commons Attribution-NonCommercial-ShareAlike 4.0), допускающей использование только в некоммерческих целях. Код написан на языке Python с применением фреймворка PyTorch. Наброски оформляются в виде сегментированной карты, определяющей размещение примерных объектов на сцене. Характер генерируемых объектов задаётся при помощи цветовых меток. Например, голубая заливка преобразуется в небо, синяя в воду, тёмно зелёная в деревья, … Читать далее NVIDIA открыла код системы машинного обучения, синтезирующей пейзажи по наброскам

В рамках проекта VSCodium развивается сборка редактора кода Visual Studio Code (VSCode), содержащая только свободные компоненты, почищенная от элементов бренда Microsoft и избавленная от кода для сбора телеметрии. Сборки VSCodium подготовлены для Windows, macOS и Linux, и поставляются со встроенной поддержкой Git, JavaScript, TypeScript и Node.js. По функциональности VSCodium повторяет Visual Studio Code и обеспечивает совместимость на уровне плагинов (через плагины доступна поддержка C++, C#, Java, Python, PHP и Go. Visual Studio Code развивается компанией Microsoft как открытый проект, доступный под лицензией MIT, но официально предоставляемые бинарные сборки не тождественны исходных текстам и включают компоненты для отслеживания действий в редакторе … Читать далее Проект VSCodium развивает полностью открытый вариант редактора Visual Studio Code

Представлен новый значительный выпуск реализации языка программирования AWK от проекта GNU — Gawk 5.0.0. AWK был разработан в 70-х годах прошлого века и не претерпел значительных изменений с середины 80-х годов, в которых был определен основной костяк языка, что позволило на протяжении последних десятилетий сохранить первозданную стабильность и простоту языка. Несмотря на преклонный возраст, AWK до сих пор активно используется администраторами для выполнения рутинных работ, связанных с разбором различного рода текстовых файлов и генерацией несложной результирующей статистики. Ключевые изменения: Реализована поддержка пространств имён; Добавлена поддержка определённых в стандарте POSIX спецификаторов формата «%a» и «%A» для функции printf; Подпрограммы для обработки … Читать далее Новая версия интерпретатора GNU Awk 5.0

Немецкий медиаконцерн Axel Springer, один из крупнейших издателей в Европе, выдвинул судебный иск о нарушении авторских прав против компании Eyeo, разрабатывающей блокировщик рекламы Adblock Plus. По мнению истца применение блокировщиков не только подорывает источники финансирования цифровой журналистики, но в долгосрочной перспективе ставит под угрозу открытый доступ к информации в Интернете. Это вторая попытка судебного преследования Adblock Plus со стороны медиаконцерна Axel Springer, который в прошлом году проиграл в региональном и верховном судах Германии, признавших, что пользователи имеют право блокировать рекламу, а Adblock Plus может использовать бизнес-модель, подразумевающую поддержание белого списка с приемлемой рекламой. На этот раз выбрана другая стратегия и … Читать далее Судебный иск против Adblock Plus, манипулирующий изменением кода на сайтах

Опубликованы новые подробности про взлом инфраструктуры децентрализованной платформы обмена сообщениями Matrix, о котором сообщалось утром. Проблемным звеном, через которое проникли атакующие была система непрерывной интеграции Jenkins, которая была взломана ещё 13 марта. Затем на сервере c Jenkins был перехвачен перенаправленный SSH-агентом вход одного из администраторов и 4 апреля атакующие получили доступ к другим серверам инфраструктуры. При второй атаке сайт matrix.org был перенаправлен на другой сервер (matrixnotorg.github.io) через изменение параметров DNS, используя перехваченный при первой атаке ключ к API системы доставки контента Сloudflare. При пересборке содержимого серверов после первого взлома администраторы Matrix обновили только новые персональные ключи и упустили обновление ключа … Читать далее Подробности про второй взлом Matrix. Скомпрометированы GPG-ключи проекта

После шести месяцев разработки компания Cisco опубликовала релиз Snort 2.9.13.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. Основные новшества: Добавлена поддержка перезагрузки правил после их обновления; Реализован сценарий добавления пакета в чёрный список с гарантией, что новый сеанс будет разрешён; Обеспечена обработка нового предупреждения препроцессора о некорректном окончании заголовка HTTP; Изменено вычисление хэша файла, передаваемого через FTP/HTTP с указанием смещения; Устранена проблема с зависанием соединений с запросом аутентификации в наполовину закрытом состоянии; Изменён таймаут для UDP-пакетов, отправляемых на нестандартные сетевые порты. Читать далее Релиз системы обнаружения атак Snort 2.9.13.0

Представлен новый значительный выпуск реализации языка программирования AWK от проекта GNU — Gawk 5.0.0. AWK был разработан в 70-х годах прошлого века и не претерпел значительных изменений с середины 80-х годов, в которых был определен основной костяк языка, что позволило на протяжении последних десятилетий сохранить первозданную стабильность и простоту языка. Несмотря на преклонный возраст, AWK до сих пор активно используется администраторами для выполнения рутинных работ, связанных с разбором различного рода текстовых файлов и генерацией несложной результирующей статистики. Ключевые изменения: Реализована поддержка пространств имён; Добавлена поддержка определённых в стандарте POSIX спецификаторов формата «%a» и «%A» для функции printf; Подпрограммы для обработки … Читать далее Новая версия языка программирования GNU Awk 5.0

Доступен экспериментальный выпуск открытой реализации Win32 API — Wine 4.6. С момента выпуска версии 4.5 было закрыто 50 отчётов об ошибках и внесено 384 изменения. Наиболее важные изменения: Добавлена начальная реализация бэкенда к WineD3D на базе графического API Vulkan; Добавлена возможность загрузки библиотек Mono из общих каталогов; Libwine.dll больше не требуется при использовании Wine DLL в Windows; Регрессивные тесты скомпилированы в исполняемом формате PE; В реализацию библиотеки Common Controls добавлена кнопка с выпадающим списком действий (SplitButton); В typelib добавлена поддержка сложных структур; Система захвата видео переведена на использование второй версии Video4Linux; Представлена начальная версия отладочного движка (Debug Engine DLL); Закрыты … Читать далее Выпуск Wine 4.6

Состоялся выпуск дистрибутива NixOS 19.03, основанного на пакетном менеджере Nix и предоставляющего ряд собственных разработок, упрощающих настройку и сопровождение системы. Например, в NixOS используется единый файл системной конфигурации (configuration.nix), предоставляется возможность быстрого отката обновлений, присутствует поддержка переключения между различными состояниями системы, поддерживается установка индивидуальных пакетов отдельными пользователями (пакет ставится в домашнюю директорию), возможна одновременная установка нескольких версий одной программы. Размер полного установочного образа с KDE — 1 Гб, сокращённого консольного варианта — 400 Мб. Основные новшества: В состав включено десктоп-окружение Pantheon, разрабатываемое проектом Elementary OS (включение через services.xserver.desktopManager.pantheon.enable); Существенно переработан модуль с системой оркестровки контейнеров Kubernetes, который разделён на отдельные … Читать далее Выпуск дистрибутива NixOS 19.03, использующего пакетный менеджер Nix

Проект GNU опубликовал релиз текстового редактора GNU Emacs 26.2. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта Джону Вигли (John Wiegley) осенью 2015 года. Из наиболее заметных улучшений можно отметить обеспечение совместимости со спецификацией Unicode 11, возможность сборки модулей Emacs вне дерева исходных текстов Emacs, появление в Dired (режим для работы с файлами и каталогами) команды ‘Z’ для сжатия всех файлов в каталоге, улучшение поддержки Mercurial в режиме VC. При сборке в режиме ‘—with-xwidgets’ теперь требуется наличие браузерного движка WebKit2. Изменён синтаксис shadow-файлов конфигурации («~/.emacs.d/shadows» и «~/.emacs.d/shadow_todo»). Читать далее Выпуск текстового редактора GNU Emacs 26.2

После двух месяцев разработки представлен релиз системного менеджера systemd 242. Из новшеств можно отметить поддержку туннелей L2TP, возможность управления поведением systemd-logind при перезапуске через переменные окружения, поддержку расширенных загрузочных разделов XBOOTLDR для монтирования /boot, возможность загрузки с корневым разделом в overlayfs, а также большое число новых настроек для разных типов юнитов. Основные изменения: В systemd-networkd обеспечена поддержка туннелей L2TP; В sd-boot и bootctl реализована поддержка разделов XBOOTLDR (Extended Boot Loader), предназначенных для монтирования в /boot, в дополнение к разделам ESP, монтируемым в /efi или /boot/efi. Ядра, настройки, образы initrd и EFI теперь могут загружаться как из разделов ESP, так и … Читать далее Выпуск системного менеджера systemd 242

Разработчики платформы для децентрализованного обмена сообщениями Matrix объявили об экстренном отключении серверов Matrix.org и Riot.im (основной клиент Matrix) в связи со взломом инфраструктуры проекта. Первое отключение состоялось вчера вечером, после чего работа серверов была восстановлена, а приложения пересобраны из эталонных исходных текстов. Но несколько минут назад серверы были скомпрометированы второй раз. Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной миллионов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix. Изменённый код сайта размещён в репозитории атакующих на GitHub (не … Читать далее Взлом инфраструктуры matrix.org

Компания Google предложила разработчикам браузеров ввести в практику блокировку загрузки опасных типов файлов, в случае если ссылающаяся на загрузку страница открыта по HTTPS, но загрузка инициируется без шифрования по HTTP. Проблема заключается в том, что во время загрузки индикация безопасности отсутствует, файл просто загружается в фоне. Когда подобная загрузка запускается со страницы, открытой по HTTP, пользователь уже предупреждён в адресной строке о небезопасности сайта. Но если сайт открыт по HTTPS, в адресной строке стоит индикатор защищённого соединения и у пользователя может создаться ложное ощущение о безопасности запускаемой загрузки, производимой при помощи HTTP, в то время как контент может быть подменён … Читать далее Google предложил блокировать загрузку некоторых файлов через HTTP по ссылкам с HTTPS-сайтов

Доступен релиз Proxmox Virtual Environment 5.4, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix XenServer. Размер установочного iso-образа 640 Мб. Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. … Читать далее Релиз Proxmox VE 5.4, дистрибутива для организации работы виртуальных серверов

Мэти Ванхофом (Mathy Vanhoef), автор атаки KRACK на беспроводные сети с WPA2, и Эяль Ронен (Eyal Ronen), соавтор некоторых атак на TLS, раскрыли сведения о шести уязвимостях (CVE-2019-9494 — CVE-2019-9499) в технологии защиты беспроводных сетей WPA3, позволяющих воссоздать пароль подключения и получить доступ к беспроводной сети без знания пароля. Уязвимости объединены под кодовым именем Dragonblood и позволяют скомпрометировать метод согласования соединений Dragonfly, предоставляющий защиту от подбора паролей в offline-режиме. Кроме WPA3 метод Dragonfly также применяется для защиты от словарного подбора в протоколе EAP-pwd, применяемом в Android, RADIUS-серверах и в hostapd/wpa_supplicant. В ходе исследования выявлено два основных типа архитектурных проблем в … Читать далее Уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd

Подготовлен корректирующий выпуск Firefox 66.0.3, в котором обновлён поисковый плагин для Baidu и исправлено 4 ошибки: Устранены проблемы с производительностью некоторых игр, написанных с использованием технологий HTML5 (например, игр с сервиса pogo.com, использующего javascript-obfuscator для защиты кода от разбора); Решены проблемы с обработкой событий при нажатии клавиш в приложениях IBM Сloud и Microsoft Cloud (например, перестала работать клавиша Enter в Webchat); Обеспечено корректное отображения адресной строки на планшетах под управлением Windows 10 после возврата из режима планшета в режим ноутбука. Читать далее Корректирующий выпуск Firefox 66.0.3

В бета-версию Firefox 67 встроен код для блокирования JavaScript-вставок, осуществляющих майнинг криптовалют или отслеживающих пользователей с помощью методов скрытой идентификации («browser fingerprinting»). Блокировка осуществляется по дополнительным категориям (fingerprinting и cryptomining) в списке Disconnect.me, включающим хосты, уличённые в использовании майнеров и кода для скрытой идентификации. Код для майнинга криптовалют, который приводит к существенному увеличению нагрузки на процессор в системе пользователя, как правило, внедряется на сайты в результате взломов или используется на сомнительных сайтах как метод монетизации. Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации («Supercookies»), а также генерация идентификаторов на основе косвенных данных, таких как … Читать далее В Firefox Beta добавлен блокировщик скриптов майнинга и скрытой идентификации

Группа исследователей из университета Ка’ Фоскари (Италия) проанализировала 90 тысяч хостов, связанных с 10 тысячами крупнейших сайтов по рейтингу Alexa, и пришла к выводу, что в 5.5% из них имеются серьёзные проблемы с безопасностью в применяемых реализациях TLS. В ходе исследования были рассмотрены проблемы с применением уязвимых методов шифрования: 4818 из проблемных хостов оказались подвержены MITM-атакам, 733 содержали уязвимости, позволяющие полностью расшифровать трафик, а 912 позволяли выполнить частичную расшифровку (например, извлечь сессионные Cookie). На 898 сайтах выявлены серьёзные уязвимости, позволяющие полностью скомпрометировать их, например, через организацию подстановки скриптов на страницы. 660 (73.5%) из этих сайтов использовали на своих страницах внешние … Читать далее Около 5.5% сайтов используют уязвимые реализации TLS

В рамках предложенной в прошлом году модели совместного финансирования стартовал сбор средств на поддержание ленты новостей OpenNET в 2019 году. Как и в прошлом году задача сводится к сбору средств для оплаты работы одного человека в режиме полного рабочего дня. Возможные формы перевода можно посмотреть на странице финансовой поддержки проекта. Краткий отчёт о проделанной за год работе: Проведена ревизия оформления, полностью переделана шапка сайта, учтены пожелания по страницам форума, очень много изменено в мелочах, объединены ленты главных и мини-новостей для мобильных устройств; Добавлен лог модерирования с указанием причин удаления; Переработаны страницы участников «/~имя», добавлено отслеживание ответов, переделана система отслеживания новых … Читать далее Сбор средств на поддержание ленты новостей OpenNET в 2019 году