The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

23.03.2017 Netflix объявил об официальной поддержке платформы Linux (33 +6)
  Популярный на западе сервис потокового видеовещания Netflix, предоставляющий услуги по цифровому прокату фильмов, анонсировал официальную поддержку платформы Linux. Возможность работы с Netflix из Linux с применением штатных web-технологий и без использования плагина Microsoft Silverlight была реализована ещё в 2014 году, но она ограничивалась применением браузера Chrome. Отныне Firefox официально может использоваться для отображения в Linux защищённого авторскими правами видео из Netflix.

  1. Главная ссылка к новости
  2. OpenNews: Linux-версия Firefox 49 сможет воспроизводить защищённый медиаконтент Netflix и Amazon
  3. OpenNews: В состав FreeBSD принята высокопроизводительная реализация sendfile от Netflix
  4. OpenNews: В Ubuntu и Fedora обеспечена поддержка Netflix
  5. OpenNews: Для Linux обеспечена официальная поддержка Netflix
  6. OpenNews: В Chrome для Linux появилась возможность работы с Netflix без плагинов
Обсуждение (33 +6) | Тип: К сведению |
23.03.2017 Выпуск NTPsec 0.9.7, защищённого форка NTPD (4 +8)
  Представлен новый выпуск проекта NTPsec, в рамках которого развивается форк эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированный на переработке кодовой базы с целью повышения безопасности. Исходные тексты NTPsec размещены в репозитории на GitLab. В развитии NTPsec участвуют некоторые разработчики оригинального NTP Classic, инженеры из компаний Hewlett Packard и Akamai Technologies, а также участники проектов GPSD и RTEMS. Одним из инициаторов создания проекта является Эрик Реймонд (Eric S. Raymond), один из основателей организации OSI (Open Source Initiative).

Проект полностью совместим с классическим пакетом NTP и использует те же алгоритмы. Олтичия NTPsec в основном касаются переработки внутренностей с внедрением передовых техник предотвращения проведения атак. Среди особенностей проекта:

  • Все функции работы с памятью и строками заменены на защищённые аналоги, не допускающие переполнения буфера.
  • Поставляемые в комплекте экземпляры libevent2 заменены на внешние зависимости.
  • Удалены неиспользуемые компоненты библиотек ISC.
  • Осуществлён переход к манипуляции наносекундными отрезками времени вместо микросекунд.
  • Исправлены ошибки, выявленные при использовании статических анализаторов.
  • C целью унификации их имён изменены названия утилит: sntp переименован в ntpdig, ntp-keygen в ntpkeygen, ntp-wait в ntpwait, update-leap в ntpleapfetch;
  • Из состава исключён демон ntpsnmpd, который не соответствует RFC 5907;
  • Удалены утилиты ntpdc, вместо которых следует использовать ntpq;
  • Прекращена поддержки устаревших типов эталонных часов;
  • Добавлена новая утилита ntpfrob, предоставляющая средства для диагностики и тонкой настройки локального хронометра.
  • Вместо программы ntpdate предложена shell-обвязка над утилитой ntpdig.
  • Вывод часов приведён в соответствие с форматом ISO8601.

В выпуске NTPsec 0.9.7 отражены результаты аудита кодовой базы, проведённого компанией Cure53.de на средства, предоставленные Mozilla Foundation в рамках инициативы "Secure Open Source". В результате проверки была выявлена серия новых уязвимостей, которые также устранены в свежем обновлении оригинального ntp-4.2.8p10. NTPsec затрагивают 4 из 9 выявленных уязвимостей, две из которых (CVE-2017-6463, CVE-2017-6464) могут использоваться для инициирования отказа в обслуживании, одна (CVE-2017-6458) может привести к переполнению буфера при выполнении ctl_put() и одна (CVE-2017-6451) связана с некорректным применением snprintf() в функции mx4200_send(). В оригинальном NTP дополнительно устранены: переполнение буфера (CVE-2017-6462) в DPTS Clock, повышение привилегий в коде User Library для Windows (CVE-2017-6455), переполнение стека при обработке параметров командной строки в инсталляторе для Windows (CVE-2017-6452), переполнение буфера в ntpq при выполнении операции reslist (CVE-2017-6460) и некорректное завершение структуры данных в инсталляторе для Windows (CVE-2017-6459).

Дополнительно в NTPsec 0.9.7 продолжена чистка кода - при подготовке нового выпуска кодовая база сокращена приблизительно на 60 тысяч строк, что примерно 26% от размера кодовой базы в момент форка. Ранее поставляемые в секции contrib программы cpu-temp-log, smartctl-temp-log, temper-temp-log и zone-temp-log теперь объединены в одну утилиту ntplogtemp, упрощающую ведение лога изменения показателей системных датчиков температуры. Драйвер эталонных часов SHM (Shared Memory Driver) теперь может работать на системах без часов реального времени (RTC, Real Time Clock).

В состав включён новый скрипт buildprep, выполняющий подготовительные работы для сборки исходных текстов NTPsec, такие как проверка, загрузка и установка необходимых зависимостей. Проведена работа по увеличению точности - увеличено число знаков в выводе различных утилит, например, driftfile теперь отображает 6 знаков после запятой, вместо 3, а в полях файлов со статистикой отображается 9 знаков после запятой, вместо 6. Похожее увеличение точности вывода также релизовано в ntpq и ntpmon, что может нарушить совместимость со скриптами, осуществляющими автоматический разбор вывода.

По мнению Эрика Реймонда, основная работа уже выполнена и состояние проекта NTPsec уже вполне готово для начала работы над первым стабильным релизом NTPsec 1.0, рекомендованным для промышленного внедрения. Перед релизом усилия можно сосредоточить на оттачивании и тестировании имеющейся кодовой базы. Из планов отмечается подготовка пакетов для популярных дистрибутивов и их продвижение в репозитории. Из областей, в которых можно продолжить упрощение кодовой базы упоминается возможность сокращения кода, применяемого для обработки сетевых сокетов - предлагается удалить нестандартный код для перебора имеющихся сетевых интерфейсов и использовать прикрепление обработчика с использованием маски.

  1. Главная ссылка к новости
  2. OpenNews: В рамках проекта NTPsec создан защищённый форк NTPD
  3. OpenNews: Рассматривается возможность перевода NTPsec на язык Rust или Go
  4. OpenNews: Представлен NTP-сервер Ntimed, который будет развиваться параллельно с NTPD
  5. OpenNews: Проект OpenBSD выпустил NTP-сервер OpenNTPD 6.0
  6. OpenNews: Выпуск ntpd 4.2.8p9 с устранением уязвимостей
Обсуждение (4 +8) | Тип: Программы |
23.03.2017 Microsoft устранил проблему, замедлявшую работу Office 365 Onedrive в Linux (50 +11)
  Компания Microsoft устранила проблему в сервисе Office 365 Onedrive for Business, которая существенно понижала качество работы пользователей Linux с облачным хранилищем. Примечательно, что компания была уведомлена пользователями о проблеме в ноябре прошлого года, и в качестве решения порекомендовала перейти на другую ОС, указав, что платформа Linux не поддерживается сайтом Office 365. После получения широкой огласки и волны недовольства в социальных сетях компания Microsoft удалила изначальный ответ и информировала пользователя о решении проблемы.

Суть проблемы была в том, что при обращении к сервису Onedrive из любого Linux-браузера (неважно Firefox или Chrome), страница открывалась очень медленно, потребляя значительные системные ресурсы. Если ту же самую страницу открыть из то го же самого браузера, но заменив в идентификаторе (User Agent) "Linux" на "Windows", то проблема исчезала и открытие страницы производилось мгновенно. В том числе можно было взять Windows-браузер и, воспользовавшись дополнением для изменения User Agent, прописать идентификатор, специфичный для Linux, и получить огромное замедление работы, или взять любой Linux-браузер, заменить в отдаваемом серверу идентификаторе User Agent слово "Linux" на "Windows" и избавиться от проблемы с производительностью. Причём нагрузка создавалась значительная: загружалось около 100 Мб данных, примерно на две минуты браузер на 100% нагружал CPU, а интерфейс становился неотзывчивым.

Разработчики сервиса OneDrive из Microsoft извинились перед пользователями и сообщили, что проблема была вызвана ошибкой в коде упреждающей загрузки компонентов (StaticLoad.aspx). Для предварительной загрузки ресурсов на платформах iOS, Chrome OS, macOS и Windows использовался штатный браузерный механизм link preload для загрузки ссылок до обращения к ним. Для Linux для упреждающей загрузки ресурсов осуществлялся откат на запасной, менее эффективный вариант кода. Для решения проблемы инженеры Microsoft временно отключили упреждающую загрузку и намерены обновить реализацию StaticLoad.aspx, предварительно протестировав её в Linux.

  1. Главная ссылка к новости
  2. OpenNews: Microsoft пытается принизить возможности Linux через продавцов компьютерной техники
  3. OpenNews: Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot
  4. OpenNews: Microsoft запускает рекламную кампанию против Drupal и отменяет её
  5. OpenNews: Google, Amazon и Microsoft заключили соглашение с AdBlock Plus
Обсуждение (50 +11) | Тип: Тема для размышления |
22.03.2017 Выпуск пользовательского окружения GNOME 3.24 (92 +23)
  После шести месяцев разработки официально представлен выпуск десктоп-окружения GNOME 3.24. По сравнению с прошлым выпуском было внесено более 28 тысяч изменений, в реализации которых приняли участие 753 разработчика. Из наиболее значительных изменений в новой версии можно отметить режим ночной подсветки, включение в состав приложения для просмотра кулинарных рецептов, улучшение области уведомлений, расширение поддержки самодостаточных пакетов Flatpak, модернизация браузера Epiphany. Для быстрой оценки возможностей GNOME 3.24 подготовлены специализированные Live-сборки на основе Fedora, openSUSE, Ubuntu и ALT Linux Sisyphus.

Основные новшества:

  • Реализован режим ночной подсветки ("Night Light"), который меняет цветовую температуру в зависимости от времени суток. Например, при работе в ночное время GNOME автоматически уменьшает интенсивность синего цвета на экране, делая цветовую гамму более тёплой, что снижает напряжение глаз и сокращает факторы возникновения бессонницы после работы перед сном. В настройках можно изменить график активации ночного режима, а в системном меню временно отключить его действие. Поддержка ночного режима обеспечена, как при работе поверх X11, так и Wayland;
  • В интерфейсе настройки параметров системы (GNOME Settings) переработаны разделы управления online-аккаунтами, принтерами и пользователями. Изменения коснулись только оформления, вся ранее доступная функциональность сохранена. В интерфейсе настройки online-аккаунтов более ясно выделена информация об уже добавленных учётных записях и доступных для использования службах. В интерфейсе настройки принтеров улучшено представление информации об имеющихся устройствах - на сводную страницу добавлено отображение местоположения каждого принтера и информация об уровне чернил в картриджах;
  • Оптимизировано оформление области уведомлений, упрощён доступ к ранее показанным уведомлениям. В область уведомлений встроен виджет для отображения прогноза погоды, который показывает краткий прогноз на день и ссылку на вызов программы Weather для получения более подробной информации;
  • В состав включено новое приложение Recipes, предоставляющее доступ к базе кулинарных рецептов, формируемой сообществом пользователей GNOME. Пользователь имеет возможность не только просматривать и искать рецепты, но и добавлять собственные, предлагать правки, создавать и распечатывать списки покупок, корректировать число ингредиентов в зависимости от числа порций, добавлять в закладки интересные рецепты и оставлять комментарии. Программа также предлагает режим "свободные руки", который инструктирует о всех шагах для приготовления блюда, не требуя прикасаться к компьютеру;
  • Проведена значительная модернизация интерфейса web-браузера Epiphany (GNOME Web), построенного на движке WebKitGTK+ 2.16. В том числе представлена новая реализация адресной строки и добавлено новое всплывающее меню (popover) со списком открытых вкладок. Полностью переработан интерфейс для управления коллекцией закладок. Реализован новый простой интерфейс для добавления закладки на страницу в один клик, а также всплывающее меню для быстрого доступа к закладкам.

    Добавлен интерфейс для контроля за персональными данными, сохраняемыми сайтами на локальный диск, который позволяет просмотреть и удалить содержимое кэша, хранилища сеансов, IndexedDB и WebSQL. Улучшено обнаружение форм с паролями, параметры аутентификации теперь могут сохраняться для динамически создаваемых форм. Улучшена реализация режима инкогнито - данные сеансов теперь не оседают во временной директории, а держатся в памяти. Для дополнительной защиты от отслеживания пользователя произведена интеграция чёрного списка EasyPrivacy. Для страниц с формами ввода пароля, открываемых без HTTPS, обеспечен вывод бросающегося с глаза предупреждения.

  • В менеджере фотографий существенно улучшен обзорный режим просмотра коллекции изображений - увеличен размер миниатюр и обеспечено их масштабирование для полного использования имеющегося экранного пространства. Проведена работа по повышению качества и оперативному обновлению изменений. Добавлены инструменты для корректировки экспозиции и чёрного цвета. Обеспечен показ местоположения снимка, если в метаданных указаны координаты GPS;
  • Расширена поддержка самодостаточных пакетов Flatpak. Обеспечено более гладкое обновление Flatpak-приложений. Добавлена поддержка новых возможностей Flatpak, таких как автоматическая загрузки необходимых для работы программы runtime-компонентов;
  • В Builder, интегрированную среду разработки, оптимизированную для создания приложений для GNOME, добавлены средства для упаковки создаваемых приложений в виде самодостаточных пакетов Flatpak. Кроме того, в Builder добавлена поддержка систем сборки CMake, Meson и Cargo (Rust). Предоставлены средства для быстрого развёртывания окружения для разработчика - из Builder теперь можно в один клик установить SDK и инструментарий разработчика (даже для Flatpak и Rust) или обновить их. Обеспечена интеграция с Valgrind для упрощения отладки проблем с распределением памяти;
  • Подготовлен набор более крупных и ярких пиктограмм, представленных в разрешении 512×512 пикселей (ранее максимальны размер составлял 256×256), что позволяет значительно улучшить детализацию отображения пиктограмм на экранах c высокой плотностью размещения пикселей (HiDPI). Кроме того, модернизирован визуальный стиль многих пиктограмм, определяющих устройства, документы, каталоги, типы файлов и приложения;
  • В IRC-клиент Polari внесена порция улучшений, например, при клике на имени пользователя теперь отображается всплывающее меню, через которое можно быстро начать приватный чат или запросить уведомление о появлении пользователя в online. Реализован режим фоновой работы, при котором Polari продолжает выполнение в фоне без открытых окон. Добавлена проверка орфографии. В диалог подключения к каналу добавлено отображение списка доступных каналов;
  • В GNOME Games, интерфейс для загрузки и запуска игр, внесена большая порция улучшений. Добавлена возможность запуска игр на базе платформы Libretro;
  • При работе под управлением Wayland добавлена возможность использования графических планшетов Wacom, в том числе доступны средства для настройки Wacom. Из общих улучшений отмечается появление унифицированной системы настройки стилуса, позволяющей создавать конфигурации не привязанные к устройствам и использовать готовые преднастройки;
  • В календарь-планировщик добавлен недельный обзор событий, позволяющий разом просмотреть все мероприятия на неделю;
  • Продолжено усовершенствование оформления интерфейса для установки приложений (GNOME Software). Добавлены новые пиктограммы для выделения установленных приложений, обновлено представление пользовательского рейтинга и показана информация о дисковом пространстве, которое займёт приложение после установки;
  • В файловом менеджере упрощена работа с защищёнными файлами и каталогами. Если для доступа к файлу или каталогу требуются дополнительные полномочия, отныне автоматически выводится диалог для ввода пароля, без необходимости ручного запуска sudo или работы под пользователем root;
  • Расширено соблюдение правил типографики, при оформлении текста теперь максимально возможно используются символы Unicode;
  • Улучшен внешний вид калькулятора, добавлено окно для настройки горячих клавиш, реализованы новые всплывающие меню с переменными и функциями, улучшено выделение ошибок, расширены возможности по работе с комплексными числами;
  • Добавлена поддержка систем с двумя видеокартами. На подобных системах перед запуском приложения теперь можно выбрать, какой из GPU использовать. В настройках представлены параметры обеих видеокарт;
  • В Mutter добавлена поддержка расширений EGLStreams и EGLDevice, позволяющих использовать проприетарные драйверы NVIDIA (начиная с выпуска 370) для запуска GNOME поверх Wayland;
  • В Mutter на системах с OpenGL задействовано расширение GL_*_texture_swizzle, которое позволяет обойтись без программного преобразования пикселей при сохранении текстур из формата изображений cairo. Тестирование производительности скроллинга (тест scrolling-performance) на системах с GPU Intel при использовании Wayland и отрисовки через Cairo показало снижение нагрузки на CPU с 45-50% до 25-30%;
  • В рамках текущего цикла разработки не был сформирован релиз GTK+ 3.24, вместо которого поставляется ветка GTK+ 3.22, которая будет поддерживаться три года. Параллельно ведётся разработка новой стабильной ветки GTK+ 4, которая пока не готова. Из уже подготовленных для GTK+ 4 изменений отмечаются средства записи активности в GTK+ Inspector, поддержка спецификации CSS-фильтров, большая чистка API и создание нового модуля отрисовки на базе графического API Vulkan.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск десктоп-окружения MATE 1.18, форка GNOME 2
  3. OpenNews: Состоялся релиз пользовательского окружения GNOME 3.22
  4. OpenNews: Увидел свет GNOME 3.20
  5. OpenNews: Проект GNOME планирует изменить метод разработки GTK+ и выпустить GTK+ 4
  6. OpenNews: Выпуск графического тулкита GTK+ 3.22
Обсуждение (92 +23) | Тип: Программы | Интересно
22.03.2017 Обновление Python 3.6.1 и Ruby 2.4.1 (5 +4)
  Доступен корректирующий выпуск Python 3.6.1, в котором отражены исправления ошибок, обнаруженных за три месяца с момента релиза Python 3.6.0. Python 3.6.1 также является первым выпуском подготовленным после значительной реструктуризации процесса разработки, перехода на Git и переноса основного репозитория на GitHub.

Одновременно выпущен корректирующий релиз языка программирования Ruby 2.4.1, также содержащий только исправление ошибок.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск языка программирования Ruby 2.4.0
  3. OpenNews: Релиз web-фреймворка Ruby on Rails 5.0
  4. OpenNews: Язык Crystal пытается совместить производительность Си и удобство Ruby
  5. OpenNews: Разработка Python переведена на GitHub
  6. OpenNews: Выпуск языка программирования Python 3.6
Обсуждение (5 +4) | Тип: Программы |
22.03.2017 Релиз среды разработки приложений KDevelop 5.1 (47 +19)
  Состоялся релиз интегрированной среды программирования KDevelop 5.1, полностью поддерживающей процесс разработки для KDE 5, в том числе с использованием Clang в качестве компилятора. Код проекта распространяется под лицензией GPL и использует библиотеки KDE Frameworks 5 и Qt 5.

Основные новшества:

  • Добавлена поддержка LLDB в качестве альтернативного бэкенда для организации отладки кода в KDevelop, работающего напрямую с обособленным LLDB MI Driver (lldb-mi). Реализован новый фреймворк для взаимодействия с внешними отладчиками, который может использоваться как с GDB, так и с отладчиком LLDB, развиваемым проектом LLVM;
  • В меню добавлена новая секций "Analyzer", в которой предложен набор инструментов для работы с плагинами для анализа кода. В основной состав включён плагин analyzer, предоставляющий средства для статического анализа при помощи утилиты Cppcheck, позволяющей выявлять типовые ошибки в коде на языках C/C++, такие как обращение к области за границами буфера, утечки памяти, разыменования нулевых указателей, использование неинициализированных переменных и т.п. Кроме Cppcheck также реализована поддержка проверки кода через Valgrind, clang-tidy и krazy2, но код плагинов для данных систем пока полностью не стабилизирован и развивается в отдельных репозиториях (планируется включить их в основной репозиторий в одном из следующих выпусков);
  • Добавлена начальная поддержка разработки проектов с компонентами на языке OpenCL, применяемом для организации параллельных вычислений с привлечением мощностей GPU. Входящий в состав KDevelop бэкенд на базе Clang адаптирован для разбора кода на языке OpenCL. В следующем выпуски ожидается включение поддержки технологии NVIDIA CUDA;
  • Расширена поддержка языка Python. Добавлен разбор новых элементов синтаксиса и семантики Python 3.6. Решены многие проблемы в движке анализа семантики Python (например, значительно улучшены средства определения типов), переписан код для интеграции с компонентами проверки стилей;
  • Обеспечена интеграция с системой управления версиями Perforce, реализованная в виде надстройки над утилитой p4 по аналогии с надстройкой для Git и Bazaar;
  • Добавлен интерфейс для выбора цветовой схемы не выходя из KDevelop, что удобно при запуске в окружениях рабочего стола, отличных от KDE Plasma, в которых усложнено изменение настроек цветовой схемы;
  • Улучшена работа на платформе Windows и готовится к выпуску первый вариант KDevelop для macOS.

  1. Главная ссылка к новости
  2. OpenNews: Релиз среды разработки приложений KDevelop 5.0
  3. OpenNews: Релиз среды разработки приложений KDevelop 4.7.0. Планы развития KDevelop 5
  4. OpenNews: Для KDevelop подготовлены средства для разработки на Python 3
  5. OpenNews: Релиз среды разработки приложений KDevelop 4.6.0
  6. OpenNews: Для текстовых редакторов KDE и IDE KDevelop представлена поддержка языка D
Обсуждение (47 +19) | Тип: Программы |
22.03.2017 Критическая уязвимость в обучающей среде Moodle (24)
  В Moodle (Modular Object-Oriented Dynamic Learning Environment), свободной модульной системе для организации дистанционного обучения, выявлена критическая узявимость (CVE-2017-2641), позволяющая осуществить подстановку SQL-кода и организовать выполнение произвольного PHP-кода на сервере. На основе Moodle построены обучающие системы многих известных университетов. В каталоге Moodle зарегистрировано более 78 тысяч обучающих сайтов, в том числе 2160 в России, 655 - Украине, 151 - Беларуси и 116 - Казахстане.

В ветке Moodle 3.2 уязвимость могут эксплуатировать зарегистрированные пользователи через манипуляции с настройками профиля пользователя в web-интерфейсе. В более ранних выпусках атака возможна только через API для взаимодействия c web-сервисами при наличии соответствующих расширенных прав доступа. Уязвимость позволяет осуществить подстановку SQL-кода, которая может быть использована для получения привилегий администратора Moodle, после чего атакующий может загрузить свой плагин или шаблон и добиться выполнения произвольного PHP-кода. Уязвимость устранена в выпусках 3.2.2, 3.1.5, 3.0.9 и 2.7.19.

  1. Главная ссылка к новости
  2. OpenNews: Релиз модуля Электронный деканат 2.4.4 для системы дистанционного обучения Moodle 2.2.x
  3. OpenNews: Новая версия системы дистанционного обучения Moodle 2.2
  4. OpenNews: Релиз системы дистанционного обучения Moodle 2.0
  5. OpenNews: В Moodle добавлена поддержка отечественной формы организации учебного процесса
Обсуждение (24) | Тип: Проблемы безопасности |
22.03.2017 Выпуск nginx 1.11.11 (10 +11)
  Доступен новый выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.11.11, в котором реализованы следующие изменения:
  • Реализована директива "worker_shutdown_timeout", позволяющая задать время ожидания корректного завершения работы рабочих процессов. Если за указанное время рабочие процессы не успеют довести до конца обработку имеющихся запросов, то связанные с ними соединения будут закрыты принудительно;
  • Расширены возможности скриптов для обеспечения подсветки синтаксиса файлов конфигурации nginx в vim;
  • Устранён крах рабочего процесса, который мог возникать при установке пустого значения в директиве $limit_rate;
  • Решены проблемы с некорректной работой директив "proxy_cache_background_update", "fastcgi_cache_background_update", "scgi_cache_background_update", и "uwsgi_cache_background_update" при их использовании совместно с директивой "if";
  • Устранён крах в рабочем процессе, который мог возникать если число буферов, определённое директивой large_client_header_buffers в блоке настроек виртуального сервера, отличается от числа буфров, заданных по умолчанию;
  • Устранены ошибки в реализации почтового прокси.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск nginx 1.11.10
  3. OpenNews: Обновление nginx 1.10.3
  4. OpenNews: Увидел свет HTTP-сервер nginx 1.10.0
  5. OpenNews: Root-уязвимость из-за некорректных настроек в пакете nginx для Debian и Ubuntu
  6. OpenNews: Выпуск http-сервера nginx 1.11.0
Обсуждение (10 +11) | Тип: Программы |
21.03.2017 Предварительный выпуск платформы Android 8 (60 +13)
  Компания Google анонсировала предварительный выпуск следующей редакции открытой мобильной платформы Android - Android O Developer Preview. Релиз Android O, который будет поставляться под номером Android 8, ожидается в третьем квартале 2017 года. До этого времени периодически будут выпускаться предварительные выпуски Developer Preview, предоставляющие средства для разработки приложений с учётом новых возможностей платформы.

Для оценки новых возможностей платформы предложена программа бета-тестирования, в рамках которой экспериментальную ветку можно установить и поддерживать в актуальном виде через штатный интерфейс установки обновлений (OTA, over-the-air), без необходимости ручной замены прошивки. Обновления доступны для пользователей устройств Nexus 5X, Nexus 6P, Nexus Player, Pixel и Pixel XL.

Ключевые особенности Android O Developer Preview:

  • Для сокращения энергопотребления и продления времени автономной работы представлена новая система для автоматического ограничения активности фонового выполнения приложений. Ограничение производится в трёх направлениях: блокирование неявных broadcast-обработчиков, лимитирование доступа к сервисам в фоновом режиме и снижение частоты предоставления информации о местоположении;
  • Реализация каналов уведомлений, позволяющих приложениям разделять уведомления на категории с предоставлением пользователю гибких возможностей по управлению различными типами уведомлений. Вместо управления всеми уведомлениями приложения как одним целым, появилась возможность настройки поведения или блокирования отдельных каналов, на которые приложение разделяет свои уведомления. Например, для приложения чтения новостей можно отключить уведомления о показе политических и спортивных мероприятий, оставив вывод уведомлений о новостях развития технологий. В новом выпуске также представлены новые методы оформления и группировки уведомлений;
  • Представлен новый API Autofill для создания индивидуальных приложений-обработчиков автоматического заполнения форм. По аналогии с тем, как можно подключать различные реализации экранных клавиатур, появилась возможность создания приложений, берущих на себя работу сохранения и безопасного доступа к таким данным, как адреса, имена пользователей, пароли, номера карт и т.п.
  • Поддержка нового многооконного режима "картинка в картинке" (PIP API, Picture in Picture), позволяющей приложениям выводить окна поверх мультимедийного контента. Например, при поступлении нового сообщения в чате во время просмотра видео можно отобразить окно для написания ответа непосредственно поверх видео. Ранее PIP API был доступен только для Android TV, но теперь адаптирован для смартфонов и планшетов. Кроме PIP API в новой версии также предоставлена возможность создания приложениям окон, выводимых поверх контетента (overlay window) вместо системного окна для отображения предупреждений;
  • Добавлена поддержка организации вывода на несколько экранов (multi-display). Если приложение поддерживает многооконный режим и к устройству подключено несколько экранов, то пользователь теперь может перемещать окна с из одного экрана на другой, а приложение выбирать на каком экране отобразить информацию;
  • Возможность разработки с использованием новых API, появившихся в Java 8, включая API java.time. Поддержка языковых возможностей Java 8 добавлена в компилятор javac и набор утилит dx. Инструментарий Jack переведён в разряд устаревших;
  • Проведена оптимизация Android Runtime. По сравнению с Android 7 скорость прохождения некоторых тестов увеличилась до двух раз;
  • Шрифты стали полноценными ресурсами и могут использоваться приложениями в XML-макетах, в том числе в XML можно определять семейства шрифтов, указывая стиль, размер и файлы со шрифтами;
  • Поддержка адаптивных пиктограмм, подстраивающихся под интерфейс, применяемый производителем устройства. Например, можно сделать пиктограмму, которая может быть как круглой, так и квадратной или со сглаженными углами. Также реализованы новые анимированные действия с пиктограммами, применяемые в ланчере, ярлыках, настройках, диалогах обмена данными и обзорном экране;
  • Возможность использования цветового пространства Wide-gamut в приложениях, работающих с изображениями;
  • Добавлена поддержка звуковых кодеков для высококачественной передачи звука через Bluetooth, таких как LDAC;
  • Добавлена поддержка технологии Wi-Fi Aware (Neighbor Awareness Networking или NAN), которая при наличии совместимого оборудования позволяет находить и подключаться к другим устройствам, поддерживающим Wi-Fi Aware, через установку прямого беспроводного соединения без необходимости использования точки доступа;
  • Представлен фреймворк Telecom, расширяющий API ConnectionService и позволяющий интегрировать сторонние программы дозвона с системным пользовательским интерфейсом и бесшовно взаимодействовать с другими звуковыми приложениями. Например, приложение может отображать информацию о поступившем звонке в различных видах интерфейсов, таких как головной экран автомобильной информационно-развлекательной системы;
  • Добавлены средства для организации навигации по интерфейсу с использованием клавиатуры. Например, перемещения указателя клавишами управления курсором или смена фокуса табуляцией. Возможность стала актуальной после реализации поддержки в Google Play возможности запуска приложений на устройствах с Chrome OS, снабжённых полноценной клавиатурой;
  • Представлен API AAudio API, предназначенный для использования в приложениях профессиональной обработки звука, требующих максимальной производительности и минимальных задержек при работе со звуком. При использовании AAudio отправка и получение звуковых данных производится через потоки;
  • В браузерном движке WebView появилась поддержка многопроцессного режима, при котором обработка разного web-контента выносится в отдельные изолированные друг от друга процессы. В Android O данный режим включен по умолчанию. Для приложений в WebView также предложены новые API для обработки ошибок и крахов. Опционально реализована возможность предварительной проверки URL на безопасность связанного с ним контента в сервисе Google Safe Browsing.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск платформы Android 7.1
  3. OpenNews: Релиз мобильной платформы Android 7.0
Обсуждение (60 +13) | Тип: Программы |
21.03.2017 Выпуск Red Hat Enterprise Linux 6.9 (84 +13)
  После десяти месяцев разработки компания Red Hat представила релиз дистрибутива Red Hat Enterprise Linux 6.9. RHEL 6.9 является первым выпуском, подготовленным в рамках второй стадии сопровождения, на которой приоритеты сместились в сторону исправления ошибок и проблем безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем. Включение значительных функциональных улучшений прекращено. Установочные образы RHEL 6.9 доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal.

10 мая 2017 года ветка Red Hat Enterprise Linux 6 перейдёт на третью стадию поддержки, на которой будут формироваться только обновления с устранением уязвимостей и особо важных ошибок. Внесение изменений, связанных с поддержкой нового оборудования будет прекращено, за исключением поддержания компонентов, необходимых для работы в системах виртуализации. Ветка RHEL 6.x сопровождается параллельно с веткой RHEL 7.x и будет поддерживаться до 30 ноября 2020 года.

Ключевые изменения в Red Hat Enterprise Linux 6.9:

  • Проведена большая чистка устаревших алгоритмов и протоколов, безопасность которых поставлена под сомнение. В том числе блокированы алгоритмы, фигурирующие в таких атаках как DROWN против SSL 2.0, SLOTH против MD5, LOGJAM и FREAK против TLS.

    • Полностью удалена поддержка протокола SSLv2 и экспортных наборов шифров, включающих недостаточно защищённые устаревшие алгоритмы шифрования;
    • Ограничено использование MD5 и SHA-0 в качестве алгоритма для создания цифровых подписей;
    • Запрещена установка защищённых соединений с сервером при использовании в TLS параметров DH (Diffie-Hellman), размером менее 1024 бит.
    • Отключено использование RC4 в контекстах, не приводящих к проблемам с нарушением совместимости (например, RC4 отключен в OpenSSH);
  • В OpenSSL, NSS, GnuTLS, rsyslog и vsftpd добавлена поддержка протокола TLS 1.2;
  • В Postfix обеспечена возможность задания в конфигурации допустимых версий TLS. Например, для запрета TLS 1.1 можно указать "smtpd_tls_mandatory_protocols = !TLSv1.1";
  • В NetworkManager добавлена поддержка ручной настройки DNS (при указании dns=none в настройках NetworkManager, прекращается автоматическое изменение /etc/resolv.conf);
  • В файл конфигурации /etc/sysconfig/network добавлена поддержка опции NO_DHCP_HOSTNAME, при указании которой скриптам инициализации не даётся получить имея хоста через DHCP;
  • В Perl-модулях Net::SSLeay и IO::Socket::SSL реализована возможность жесткого определения допустимой версии протокола TLS;
  • В состав включена утилита cpuid, выводящая информацию о возможностях CPU на основании данных, полученных через инструкцию CPUID;
  • В состав базовой системы включен инструментарий cloud-init, с реализацией конфигурируемого процесса инициализации, оптимизированного для обеспечения загрузки образов для cloud-окружений. Cloud-init позволяет унифицировать процесс задания конфигурации во время загрузки, таких как локаль, имя хоста, SSH-ключи и точки монтирования;
  • В PAM-модуль pam_faillock добавлена опция "unlock_time=never", при указании которой в случае превышения лимита на допустимое число попыток аутентификации, вход пользователя будет заблокирован бессрочно и разблокирование потребует вмешательства администратора;
  • В менеджере кластерных ресурсов Pacemaker добавлена возможность создания аварийных агентов (alert agents), позволяющих выполнить внешние действия в случае наступления определённых событий в кластере. В агентах ресурсов Pacemaker Oracle и OraLsnr добавлена поддержка СУБД Oracle 11g;
  • В состав включён интерфейс luci для обеспечения аутентификации узлов в кластере и защиты систем из нескольких узлов от MITM-атак;
  • В разряд поддерживаемых переведён пакет clufter с набором утилит для анализа и преобразования форматов конфигурации кластера. Версия пакета обновлена до clufter 0.59.8;
  • Различные компоненты приведены к соответствию требованиям стандартов PCI-DSS (Payment Card Industry Data Security Standards), определяющих требования к безопасности при хранении данных о держателях платёжных карт;
  • Добавлена поддержка контроллеров RealTek RTS5250S SD4.0, что позволяет использовать картридеры на базе Realtek RTS5205;
  • Добавлен драйвер smartpqi для новых систем хранения Microsemi smartPQI;
  • Прошивка Chelsio обновлена до версии 1.15.37.0;
  • Обновлены версии драйверов:
    • bnxt_en -добавлена поддержка BCM5731X, BCM5741X и 57404 Network Partitioning (NPAR);
    • ahci - добавлена поддержка контроллеров Marwell 88SE9230;
    • mpt3sas - добавлена поддержка SAS3416 , SAS3508, SAS3408 и SAS3516 Fusion-MPT Tri-Mode RAID On Chip;
    • megaraid_sas;
    • В device-mapper-multipath добавлена конфигурация для дисковых массивов Huawei XSG1;
  • Добавлены средства для проведения бесшовной миграции стационарных окружений на базе RHEL 6 на RHEL 7 или в форму изолированных контейнеров, пригодных для выполнения в системах на базе RHEL 7, Red Hat Enterprise Linux Atomic Host и Red Hat OpenShift Container Platform.

  1. Главная ссылка к новости
  2. OpenNews: Объявление о прекращении поддержки Red Hat Enterprise Linux 5 и репозитория EPEL 5
  3. OpenNews: В Red Hat Enterprise Linux 6.9 будет проведена чистка небезопасных алгоритмов и протоколов
  4. OpenNews: Доступен дистрибутив SUSE Linux Enterprise 12 SP2
  5. OpenNews: Релиз Red Hat Enterprise Linux 7.3
  6. OpenNews: Выпуск Red Hat Enterprise Linux 6.8
Обсуждение (84 +13) | Тип: Программы |
21.03.2017 GitHub добавил защиту от атак, использующих коллизии SHA-1 (20 +10)
  GitHub сообщил о внедрении системы определения и блокирования атак, связанных с использования коллизий SHA-1 в Git-репозиториях. Несмотря на то, что пока не зафиксировано реальных атак по подмене объектов в Git через манипуляцию коллизиями SHA-1, GitHub решил перестраховаться и предоставил превентивную защиту.

Напомним, что существующая атака на PDF, позволяющая создать два документа с одним хэшем и разным содержанием, основана на задействовании уже рассчитанной коллизии SHA-1. Атака строится на использовании шаблона, состоящего из вызывающей коллизию известной последовательности и дополняющего эту последовательность набора данных, который подобран таким образом, чтобы не влиять на итоговый хэш SHA-1. Так как во всех атаках используется один и тот же шаблон известной коллизии, а вычисление новой коллизии требует гигантских вычислительных мощностей, то для блокирования атаки достаточно блокировать известный шаблон, по крайней мере до нахождения новой коллизии.

В Git применение данного метода атаки затруднено, так как для подмены объекта, необходимо, чтобы подменяемый объект уже содержал шаблон коллизии, т.е. произвольный блок подменить не получится. Теоретически возможна лишь замена уже ранее добавленного атакующим блока, но она затруднена тем, что в изначально принятом в репозиторий блоке должен присутствовать достаточно большой кусок вызывающих коллизию бинарных данных, что при работе с кодом не останется незамеченным.

Кроме того, проведение атаки усложняет то, что каждый объект в Git дополнительно содержит служебный заголовок, содержимое которого не может контролироваться атакующим, но который участвует при вычислении проверочного хэша. Иными словами имеется лишь возможность создать два набора данных, содержащих большую порцию идентичных бинарных данных и небольшой блок специально подобранных различающихся данных, но после помещения их в Git из-за добавления заголовка с параметрами коммита, условия возникновения коллизии нарушатся.

Как вариант обхода данной проблемы упоминается атака по замене репозитория. Например, атакующий может добиться принятия своего кода (с бинарным блоком, вызывающим коллизию) в репозиторий и создания SHA-1 подписи для тега или коммита. Затем он может подготовить вариант этого репозитория, в котором содержимое его коммита будет подменено без изменения проверочного хэша SHA-1. Остаётся подменить настоящий репозиторий на подготовленный атакующим изменённый вариант, что может быть совершено, например, через взлом сервера, на котором размещён репозиторий.

Тем временем разработчики Git начали работу по реализации возможности использования альтернативных хэшей, отличных от SHA-1. Уже представлен набор изменений, избавляющий код Git от жёсткой привязки к SHA-1. План ухода от SHA-1 подразумевает добавление опциональной поддержки SHA3-256, которая сможет применяться параллельно с SHA-1. Таким образом, переведённый на SHA3-256 локальный репозиторий сможет взаимодействовать с Git-серверами (как минимум на уровне push/fetch), поддерживающими только SHA-1, а пользователи смогут одновременно использовать идентификаторы объектов SHA-1 и SHA3-256.

  1. Главная ссылка к новости
  2. OpenNews: Энтузиасты воссоздали метод мгновенной генерации PDF-файлов с одинаковым хэшем SHA-1
  3. OpenNews: Google продемонстрировал первую успешную атаку на алгоритм хеширования SHA-1
  4. OpenNews: До конца года ожидается появление практических атак по подбору коллизий для SHA-1
  5. OpenNews: В рамках соблюдения закона DMCA в 2015 году из GitHub было удалено более 8 тысяч проектов
  6. OpenNews: Уязвимость, позволяющая осуществить подстановку SQL-кода в GitHub Enterprise
Обсуждение (20 +10) | Тип: К сведению |
21.03.2017 Выпуск менеджера фотографий Shotwell 0.26 (39 +5)
  Подготовлен стабильный релиз программы для управления коллекцией фотографий Shotwell 0.26.0. Shotwell предоставляет удобные возможности каталогизации и навигации по коллекции, поддерживает группировку по времени и тегам, предоставляет инструменты для импорта и конвертации новых фотографий, поддерживает выполнение типовых операций по обработке изображений (вращение, устранение эффекта красных глаз, корректировка экспозиции, оптимизация цветности и т.п.), содержит средства для публикации в социальных сетях, таких как Facebook, Flickr и Picasa (для MediaGoblin существует экспериментальный плагин).

В новом выпуске:

  • Добавлен инструмент для усиления контраста изображения;
  • Добавлена поддержка тегов ACDSEE;
  • Обеспечена совместимость с новой версией компилятора Vala;
  • Переработан код аутентификации для web-сервисов. Код для аутентификации во внешних службах вынесен в отдельную библиотеку, что позволяет оперативно отражать изменения в API не трогая код Shotwell;
  • Проведена чистка устаревших вызовов GTK+ и GSettings. Прекращено использование Gtk.IconFactory, GtkUIManager и Gtk*Action*. Некоторые диалоги переведены на GtkTemplate, нижняя панель реализована при помощи Gtk.Revealer. Обновлены требования к минимальным версиям библиотек: GExiv2 0.10.4, GCR 3, GLib 2.40, GTK+ 3.14;
  • Плагины переведены на libsoup API;
  • Обеспечено сохранение настроек экспорта изображений;
  • Реализовано скрытие пустых боковых панелей;
  • Добавлена клавиатурная комбинация Ctrl-f для быстрого вызова сроки поиска;
  • Добавлена поддержка автоопределения кодировки, если строка не соответствует UTF-8;
  • Обновлены ключи для Google API. Налажен процесс загрузки на Youtube, благодаря переходу на использование libgdata.

  1. Главная ссылка к новости
  2. OpenNews: Новая версия менеджера фотографий Shotwell 0.25
  3. OpenNews: Новая версия менеджера фотографий Shotwell 0.24
  4. OpenNews: Новая версия менеджера фотографий Shotwell 0.23.2
  5. OpenNews: Имущественные права на Shotwell и Geary переданы организации Software Freedom Conservancy
  6. OpenNews: Группа Yorba, создавшая Shotwell и Geary, прекратила разработку
Обсуждение (39 +5) | Тип: Программы |
21.03.2017 Разработчики KDE обсудили интеграцию web-браузера с рабочим столом Plasma (72 –9)
  На очередной встрече разработчиков KDE рассмотрена работа по расширению интеграции браузера в окружение Plasma. На рабочий стол будет добавлена поддержка вывода уведомлений от web-приложений, реализован индикатор загрузки файлов через браузер и предложена функция управления воспроизведением мультимединой информации. Для реализации подобных возможностей будет подготовлено специальное дополнение для web-браузеров, организующее обмен информацией между браузером и оболочкой Plasma.

KDE также экспериментирует с новыми путями распространения приложений, используя для этого самодостаточные пакеты, что предоставит разработчикам приложений больший контроль над жизненным циклом продукта, а также даст возможность не привязываться к циклам разработки KDE и более оперативно выпускать обновления. Кроме того, так как сборка подобных пакетов сможет осуществляться автоматически из Git-репозиториев, существенно упростится цепочка развёртывания продукта (не нужно заботится о соответствии версий для зависимостей). Поддержка самодостаточных пакетов будет интегрирована в центр установки приложений Discover и каталог-магазин KDE Store. В качестве основных претендентов рассматриваются Flatpak, Snap и AppImage, но окончательное решение в пользу какой-то определённой технологии пока не принято.

Из планов также обсуждалась поддержка использования жестов на тачпадах для управления оконным менеджером. Например, пользователи получат возможность использования мультитач жестов для переключения между виртуальными рабочими столами, обзора открытых окон или сводного просмотра на одном экране содержимого всех виртуальных рабочих столов.

Рассматривая состояние развиваемой с 2015 года мобильной платформы Plasma Mobile, разработчики рассказали об использовании смартфона Nexus 5X в качестве нового эталонного устройства, используемого при разработке. Первые сборки Plasma Mobile ограничивались устройствами Nexus 5 и Oneplus One, которые уже устарели. В ближайшее время ожидается появление пригодных для широкого тестирования образов для Nexus 5X, не требующих замысловатой установки.

  1. Главная ссылка к новости
  2. OpenNews: Проект KDE ввёл в строй новый дизайн сайта и опубликовал новый макет интерфейса Plasma Mobile
  3. OpenNews: Мобильная платформа Plasma Mobile портирована для устройств Nexus 5X
  4. OpenNews: Планы разработки KDE Plasma
  5. OpenNews: Проект KDE опубликовал первый релиз Kirigami UI, фреймворка для построения интерфейса
  6. OpenNews: Проект KDE представил ультрабук KDE Slimbook
Обсуждение (72 –9) | Тип: К сведению |
21.03.2017 Выпуск браузерного движка WebKitGTK+ 2.16 (11 +11)
  Представлен выпуск новой стабильной ветки WebKitGTK+ 2.16.0, порта браузерного движка WebKit для платформы GTK+. WebKitGTK+ позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK+, можно отметить Midori и штатный браузер GNOME (Epiphany).

Ключевые изменения:

  • Аппаратное ускорение теперь включается только при выполнении 3D-операций и не активно по умолчанию. Ранее аппаратное ускорение было включено постоянно, что приводило к накладным расходам и значительному потреблению памяти в Epiphany при работе с большим числом открытых вкладок. Задействование 3D-ускорения только при необходимости позволило существенно сократить потребление памяти;
  • Решена проблема в коде сборки мусора для JavaScript, которая мешала запуску сборщика мусора в некоторых ситуациях, что в итоге приводило к повышенному потреблению памяти;
  • Включена по умолчанию поддержка CSS Grid Layout, нового метода многослойной компоновки элементов страницы, выровненных по сетке. В основе метода заложена идея разбиения страницы на области по аналогии с табличной компоновкой с выравниванием по столбцам и строкам. В отличие от таблиц, CSS Grid Layout не определяет структуру содержимого, что позволяет применять методы адаптивной вёрстки и выстраивать произвольные макеты, которые недостижимы с использованием обычных таблиц (например, дочерние элементы могут перекрывать друг друга и переноситься в случае нехватки экранного пространства). По сравнению с Flexbox, который позволяет выравнивать элементы только в одной вертикальной плоскости, в CSS Grid Layout обеспечена возможность выравнивания элементов одновременно как по вертикальным, так и по горизонтальным направляющим, т.е. позволяет привязать выравнивание элеменов в разных столбцах.
  • Добавлен новый параметр WebKitSetting "hardware-acceleration-policy" для настройки правил включения аппаратного ускорения;
  • Добавлен новый a API для управления настройками для работы через прокси;
  • Добавлен API для создания эфемерных web-окружений, позволяющих не сохранять какие-либо данные на диск в процессе работы с сайтом в режиме инкогнито (ранее, в Epiphany режим инкогнито был реализован через создание профиля во временной директории, что могло приводить к утечке данных, фигурирующих при работе с сеансом);
  • API для обработки данных сайта WebKitWebsiteDataManager расширен методами для извлечения и удаления данных, сохраняемых сайтом на стороне клиента. Кроме таких данных, как дисковый кэш, cookie и IndexedDB, также предоставлена возможность управления данными из кэша в ОЗУ и непостоянными сессионными Cookie;
  • В системе автозаполнения форм добавлена поддержка динамически генерируемых форм ввода, изначально отсутствующих на странице и подставляемых JavaScript-кодом на лету;
  • Реализована возможность добавления собственных вкладок с настройками в виджет с параметрами вывода на печать;
  • Приложениям предоставлена возможность установки начальных прав на вывод уведомлений для избежания повторного вывода запросов на подтверждение полномочий;
  • В инструменты для отладки добавлен программный интерфейс для отслеживания потребления памяти и всплывающее окно для контроля за расходованием ресурсов.

22 марта ожидается релиз web-браузера Epiphany 3.24 (GNOME Web), основанного на движке WebKitGTK+ 2.16. Из изменений можно отметить:

  • Проведена значительная модернизация интерфейса. Представлена новая реализация адресной строки, в которой решена серия проблем, мешающих удобной работе. Добавлено новое всплывающее меню (popover) со списком открытых вкладок, которое упрощает поиск нужной страницы при большом числе вкладок;
  • Переработана система закладок. Реализован новый простой интерфейс для добавления закладки на страницу в один клик, а также всплывающее меню для быстрого доступа к закладкам. Полностью переработан интерфейс для управления коллекцией закладок;
  • Улучшена реализация режима инкогнито - как было отмечено выше, данные сеансов теперь не оседают во временной директории;
  • Представлено новое, более заметное, предупреждение, выводимое для небезопасных форм ввода пароля (открываемых без HTTPS);
  • Для дополнительной защиты от отслеживания пользователя произведена интеграция чёрного списка EasyPrivacy;
  • Добавлен диалог для контроля за персональными данными, сохраняемыми сайтами на локальный диск. В том числе, диалог позволяет просмотреть и удалить содержимое кэша, хранилища сеансов, IndexedDB и WebSQL;
  • Улучшено обнаружение форм с паролями, параметры аутентификации теперь могут сохраняться для динамически создаваемых форм.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск браузерного движка WebKitGTK+ 2.14 с полноценной поддержкой Wayland
  3. OpenNews: Выпуск браузерного движка WebKitGTK+ 2.12.0
  4. OpenNews: Выпуск браузерного движка WebKitGTK+ 2.10.0
  5. OpenNews: Релиз Midori 0.5.11, легковесного веб-браузера на базе движка WebKit
  6. OpenNews: В WebKitGTK+ выявлены несвободные файлы
Обсуждение (11 +11) | Тип: Программы |
20.03.2017 Использование PVS-Studio для поиска дефектов безопасности (реклама) (58 +4)
  Разработчики PVS-Studio, коммерческого статического анализатора кода на языках C, C++ и C#, выступили с инициативой выявления в открытых проектах ошибок, которые могут привести к возникновению уязвимостей. Для упрощения анализа подобных ошибок составлена таблица соответствия предупреждений PVS-Studio и идентификаторов CWE (Common Weakness Enumeration), определяющих типовые ошибки, которые могут привести к появлению уязвимостей. Для примера продемонстрировано несколько предупреждений в Apache httpd, которые потенциально представляют угрозу безопасности.

Анализатор PVS-Studio всегда умел искать слабые места (потенциальные уязвимости) в коде программ, но исторически сложилось, что PVS-Studio позиционировался как инструмент для поиска ошибок, а не потенциальных уязвимостей. Станет та или иная ошибка в коде причиной уязвимости зависит от множества различных факторов - дефект иногда можно эксплуатировать, а иногда нет, как повезёт. Существенно то, что, устраняя ошибки, описанные в CWE, программист заранее защищает код от множества уязвимостей.

Команда разработчиков PVS-Studio заинтересовалась устранением потенциальных уязвимостей в различных проектах и решила отражать отдельные мероприятия по поиску уязвимостей в виде небольших еженедельных отчётов. В первом таком отчёте разработчики PVS-Studio написали о дефектах в C# проектах (CoreFX, MSBuild). Второй отчёт более интересен сообществу программистов на C и C++, и рассматривает потенциальные проблемы с безопасностью в таких проектах как FreeBSD, GCC и Clang. Как результат, разработчикам проверенных проектов направлены патчи или заведены сообщения о проблемах.

Дополнительно можно отметить новую статью о том, как и почему статические анализаторы борются с ложными срабатываниями.

  1. Главная ссылка к новости
  2. OpenNews: Рейтинг самых опасных ошибок при создании программ
  3. OpenNews: Статический анализатор PVS-Studio доступен для Linux (реклама)
  4. OpenNews: Отчёт о разработке Linux-версии PVS-Studio и результаты проверки LLVM (реклама)
  5. OpenNews: PVS-Studio доступен для бесплатного использования открытыми проектами (реклама)
  6. OpenNews: Методы работы и история возникновения анализатора кода PVS-Studio (реклама)
Обсуждение (58 +4) | Тип: К сведению |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor TopList