The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.03.2017 Поставлена под сомнение валидность 30 тысяч HTTPS-сертификатов удостоверяющего центра Symantec (42 +9)
  Компания Google намерена применить в Chrome блокировку для достаточно большой порции HTTPS-сертификатов, выданных удостоверяющим центром Symantec. Причиной блокировки стали выявленные злоупотребления при выдаче сертификатов уровня EV (Extended Validation). В итоге, под сомнение поставлена валидность более 30 тысяч EV-сертификатов Symantec, выданных за последние несколько лет.

EV-сертификаты подтверждают заявленные параметры идентификации и по правилам для их получения требуется проведение проверки документов о принадлежности домена и физическое присутствие владельца ресурса. В случае Symantec подобная проверка не проводилась должным образом, т.е. нет гарантии, что полномочия владельца всегда проверялись. Google обращает внимание на то, что Symantec предоставил доступ к инфраструктуре удостоверяющего центра как минимум четырём сторонним организациям, которым предоставлены полномочия по выдаче сертификатов. При этом компания Symantec не обеспечила должный уровень надзора за ними и допустила несоблюдение ими установленных стандартов обслуживания.

В ответ на запросы, компания Symantec также не могла предоставить в установленные сроки отчёты с разбором имевшихся инцидентов. В частности, исследователями безопасности было выявлено, что в январе удостоверяющим центром Symantec были сгенерированы 108 неправильно выданных сертификатов. Ранее, компания Symantec уже была вовлечена в скандал, связанный с выдачей сертификатов посторонним на чужие домены, в частности осенью 2015 года было уволено несколько сотрудников, которые были уличены в выдаче тестовых сертификатов на домены (в том числе на домены google.com, gmail.com и gstatic.com), без получения согласия владельцев доменов.

В пик своей активности, после покупки бизнеса аутентификации у VeriSign, доля выданных Symantec сертификатов превышала 30%, а по данным телеметрии Firefox в около 42% всех проверок фигурируют сертификаты Symantec. Оценив соразмерность имеющихся рисков и негативный эффект от удара по владельцам сайтов, использующих сертификаты Symantec, в Chrome намерены провести поэтапную блокировку. В первую очередь планируется отозвать EV-статус для всех сертификатов Symantec, т.е. данные сертификаты продолжат работу, но как сертификаты DV (Domain validation, верификация по домену), без отображения индикатора расширенной аутентификации и имени владельца. В дальнейшем постепенно все проблемные сертификаты будут заблокированы путём сокращения максимального срока их действия.

Symantec будет дано время на перепроверку и замену сертификатов. При этом EV-сертифиткаты от Symantec не будут распознаваться до тех пор, пока сообщество не убедится, что процесс выдачи EV-сертификатов не приведен к требованиям правил, но эмбарго на EV-сертификаты будет снято не раньше чем через год. В Chrome 59 значение максимального срока действия сертификатов Symantec планируется ограничить 33 месяцами, Chrome 60 - 27 месяцами, Chrome 61 - 21,.... Chrome 64 - 9 месяцами. Кроме того, для всех новых сертификатов предлагается сразу ограничить срок действия 9 месяцами.

  1. OpenNews: Раскрыты данные о взломах инфраструктуры VeriSign в 2010 году
  2. OpenNews: Уязвимость в Symantec Antivirus, позволяющая получить полный контроль над системой
  3. OpenNews: В Chrome планируют отказаться от онлайн-проверки сертификатов. В Firefox намерены блокировать Trustwave CA
  4. OpenNews: Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign
  5. OpenNews: Уязвимость в удостоверяющем центре Comodo позволила получить сертификат для чужого домена
Обсуждение (42 +9) | Тип: Проблемы безопасности |
24.03.2017 Выпуск операционной системы Chrome OS 57 (26 +2)
  Компания Google представлила релиз операционной системы Chrome OS 57, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 57. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач.

Сборка Chrome OS 57 доступна для всех актуальных моделей Chromebook, за исключением AOpen Chromebase Mini, AOpen Chromebox Mini, Chromebook Pixel (2015), ASUS Chromebook Flip C302, ASUS Chromebook Flip C100PA, Samsung Chromebook Plus и Acer Chromebook R13 (CB5 - 312T). Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0.

Основные изменения в Chrome OS 57:

  • Включена скрытая аутентификация;
  • Обновлены предлагаемые по умолчанию обои рабочего стола и заставка при загрузке;
  • В файловом менеджере обеспечено отображение мультимедийных файлов из установленных приложений для платформы Android;
  • В файловом менеджере расширен спектр метаданных, поддерживаемых режимом быстрого просмотра параметров файлов (свойства показываются при нажатии пробела, выбрав файл). В том числе обеспечен показ жанра, трека, продолжительности, альбома и года записи для музыкальных файлов, настройки камеры, параметры экспозиции, светочувствительности и местоположения для фотографий;
  • Во всех поддерживаемых устройствах реализована функция разблокировки экрана по PIN-коду;
  • В приложении для управления встроенной камерой добавлен интерфейс для переключения между фронтальной и задней камерами.
  • В Citrix Receiver добавлена поддержка копирования и вставки изображений через буфер обмена;
  • На устройствах, поддерживающих планшетный режим, кнопка питания теперь отключает экран.

  1. OpenNews: Выпуск web-браузера Chrome 57
  2. OpenNews: Разработчики Chrome намерены перейти к полной остановке выполнения фоновых вкладок
  3. OpenNews: В Chrome тестируют новый подход к компиляции JavaScript
  4. OpenNews: Выпуск операционной системы Chrome OS 56
  5. OpenNews: Выпуск операционной системы Chrome OS 55
Обсуждение (26 +2) | Тип: Программы |
24.03.2017 Финальный бета-выпуск Ubuntu 17.04 (78 +12)
  Сформирован финальный бета-выпуск дистрибутива Ubuntu 17.04 "Zesty Zapus". Готовые тестовые образы созданы для Ubuntu, Ubuntu Server, Kubuntu, Lubuntu, Xubuntu, Ubuntu Budgie, Ubuntu GNOME, Ubuntu Kylin, Ubuntu MATE и Ubuntu Studio. Релиз Ubuntu 17.04 запланирован на 13 апреля.

Основные новшества:

  • Реализована поддержка принтеров, не требующих установки специфичных драйверов для вывода на печать. Новый режим доступен не только для устройств, совместимых с протоколами IPP Everywhere и Apple AirPrint, но и для некоторых обычных принтеров, поддерживающих PDF, Postscript и PCL, и работающих по сети или через локальное USB-соединение. Внесённые изменения нацелены на то, чтобы сделать подключение принтера не сложнее работы с USB Flash - все настройки выполняются автоматически, достаточно подключить принтер к USB-порту или включить сетевой принтер в локальной сети.
  • Используемые в дистрибутиве компоненты GNOME обновлены до версии 3.24, за исключением файлового менеджера Nautilus (3.20), эмулятора терминала (3.20), Evolution (3.22) и центра установки приложений (3.22).
  • Прекращена поставка по умолчанию gconf, который был полностью заменён на gsettings;
  • Для новых установок вместо раздела подкачки задействован файл подкачки, размер которого по умолчанию будет устанавливаться в 5% от свободного места в ФС, но не больше, чем 2 Гб. Использование файла в существующей ФС для хранения данных подкачки существенно увеличивает гибкость и позволяет в любое время изменить размер подкачки;
  • Ядро Linux обновлено до версии 4.10. Из новых версий также можно отметить X Server 1.18.4, Mesa 17, LibreOffice 5.3, QEMU 2.8, libvirt 2.5;
  • В состав включён фреймворк DPDK 16.11 (Data Plane Development Kit), предназначенный для создания высокопроизводительных сетевых приложений, напрямую обрабатывающих пакеты минуя сетевой стек ядра;
  • В качестве DNS-резолвера по умолчанию задействован systemd-resolved.
  • Прекращена поддержка 32-разрядной архитектуры PowerPC (big-endian). Поддержка 64-разрядной архитектуры ppc64el оставлена в полном объёме.
  • Внесены улучшения в пользовательский сеанс на базе оболочки Unity 8 и дисплейного сервера Mir (пакет unity8-desktop-session);
  • В репозиторий включено развиваемое разработчиками Ubuntu Kylin пользовательское окружение UKUI (Ubuntu Kylin User Interface), которое является форком проекта MATE и предлагает модернизированный вариант классической организации рабочего стола, стилизованный под оформление Windows 7. Целью разработки называется намерение предоставить оформление, более дружественное для пользователей из Китая, которые привыкли к интерфейсу Windows. Пользователю предлагается собственная реализация двухпанельного меню, возможность объединения сходных задач в одно окно с манипуляцией ими как единым целым, модернизированая панель управления и файловый менеджер Peony (форк Caja).
  • Ubuntu GNOME: В состав включен свежий выпуск рабочего стола GNOME 3.24 с поддержкой режима ночной подсветки. Кулинарное приложение GNOME Recipes не вошло в базовую поставку, но доступно из репозитория. Для работы с самодостаточными пакетами по умолчанию выполнена интеграция инструментария Flatpak 0.8 (поддержка пакетов Snap сохранена, в комплекте представлены оба инструментария). По умолчанию задействовано Chrome-дополнение chrome-gnome-shell, необходимое для установки расширений из каталога extensions.gnome.org. Движок поисковой индексации контента tracker изолирован в специальном sandbox-окружении. Из базовой поставки удалены: программа для записи CD/DVD brasero, почтовый клиент evolution, программа управления GPG/SSH-ключами seahorse, диагностическая утилита xdiagnose, набор пиктограмм gnome-icon-theme (используются пиктограммы из набора темы оформления Adwaita);
  • Ubuntu Budgie: новая официальная редакция, которая предлагает пользовательское окружение на основе рабочего стола Budgie. Дистрибутив поставляется с выпуском Budgie 10.2.9, который работает поверх штатных низкоуровневых компонентов и библиотек GNOME 3.24 (в будущем проект будет переписан на Qt). Рабочий стол построен на основе собственной реализации оболочки GNOME Shell, панели, апплетов и системы вывода уведомлений Основу Budgie составляет панель, близкая по организации работы к классическим панелям рабочего стола. Все элементы панели являются апплетами, что позволяет гибко настраивать состав, менять размещение и заменять реализации основных элементов панели на свой вкус. В состав включена тема оформления для придания Qt-приложениям стиля GTK+;
  • Ubuntu Studio: Пакет system-config-printer-gnome заменён на system-config-printer. В состав включен набор утилит pm-utils. Обновлены версии программ: Blender 2.78a, KDEnlive 16.12.3, GIMP 2.8.20, qJackCtl 0.4.2, Ardour 5.0.0, Scribus 1.4.6, Darktable 2.2.1, Pitivi 0.98, Inkscape 0.92.1;
  • Xubuntu: Задействован новый выпуск панели задач xfce4-taskmanager, в которой добавлена возможность выбора процессов через клик на связанных с ними окнах. Обновлён файловый менеджер Thunar 1.6.11, в котором устранены проблемы, проявляющиеся при копировании и переименовании. В набор настроек xubuntu-default-settings добавлены новые шаблоны для файлов и таблиц в форматах OpenDocument;
  • Kubuntu: Рабочий стол обновлён до KDE Plasma 5.9, библиотеки до KDE Frameworks 5.31, а набор приложений до KDE Applications 16.12.3. По умолчанию задействован режим Folder View. Задействованы варианты офисного пакета Calligra, просмотрщика документов Okular и программы для записи оптических дисков K3B, переведённые на Qt5 и технологии KDE 5.
  • Ubuntu MATE: Рабочий стол обновлён до версии 1.18, полностью переведённой на GTK3+. Добавлена возможность использования меню Brisk, развиваемого проектом Solus. В Ubuntu MATE Settings 17.04.5 добавлена поддержка использования тем оформления в стиле GTK+ для Qt4 и Qt5, добавлена новая раскладка панели - Pantheon, используемая с меню Brisk. В Ubuntu MATE Welcome 17.04.8 добавлена поддержка пакетной установки/удаления сразу нескольких приложений, добавленных в очередь. В MATE Menu 17.04.2 добавлена возможность подключения редактора меню Menulibre вместо Mozo. В MATE Dock Applet 0.76 изменено оформление индикатора и добавлена поддержка вывода уведомлений о запуске программ.
  • Lubuntu: Обновлены пакеты LXDE, например, панель LXPanel обновлена с версии 0.8.2 до 0.9.3. Продолжается работа над альтернативной сборкой с рабочим столом LXQt;

  1. OpenNews: Canonical продолжит выпуск обновлений после окончания времени поддержки Ubuntu 12.04 LTS
  2. OpenNews: Разработчики Ubuntu Kylin развивают новое пользовательское окружение UKUI
  3. OpenNews: Бета-выпуск Ubuntu 17.04
  4. OpenNews: Релиз дистрибутива Ubuntu 16.10
Обсуждение (78 +12) | Тип: Программы |
24.03.2017 OpenSSL переходит на новую лицензию, совместимую с GPL (34 +11)
  Разработчики криптографической библиотеки OpenSSL объявили о запуске финальной стадии инициативы по смене лицензии на исходные тексты проекта. Вместо собственной лицензии OpenSSL, основанной на тексте устаревшей лицензии Apache 1.0, код предлагается распространять под типовой лицензией Apache 2.0. Всем разработчикам отправлено уведомление с просьбой утвердить предстоящее изменение.

Ключевой причиной смены лицензии является несовместимость старой лицензии с GPL, что создаёт трудности при использовании OpenSSL в проектах с лицензией GPL и требует включения явных исключений в лицензионное соглашение GPL-продуктов. В частности, старая лицензия требует явного упоминания OpenSSL в рекламных материалах при использовании библиотек OpenSSL, а также добавления специального примечания в случае поставки OpenSSL в составе продукта.

Подобные требования вызывают несовместимость с GPL и усложняют жизнь GPL-проектам, использующим OpenSSL. Такие проекты вынуждены применять специфичные лицензионные соглашения, в которых основной текст GPL дополняется пунктом, в котором владельцы имущественных прав на код явно разрешают связывание приложения с библиотекой OpenSSL, указывая, что требования GPL не распространяется на связывание с OpenSSL. Без данного пункта пользователям приложения можно предъявить претензию в нарушении GPL.

Так как имущественные права на код OpenSSL не были переданы одной организации и остались в руках конечных разработчиков, для изменения лицензии потребовалось провести огромную работу по определению всех участников разработки. В итоге было выявлено около 400 индивидуальных разработчиков, внёсших более 31 тысячи изменений. Спустя около полутора лет, ушедших на подготовку к перелицензированию, проект перешёл на стадию согласования изменений с каждым из разработчиков.

Чтобы избежать подобных согласований в будущем проект ввёл в практику подписание лицензионного соглашения CLA (Contributor License Agreement), которое подготовлено в двух вариантах - для индивидуальных разработчиков и для компаний, работники которых занимались улучшением OpenSSL в рамках основной работы. Подписание соглашение обязательно для добавления нового кода в OpenSSL, но при приёме тривиальных патчей сделано исключение - простые патчи принимаются без CLA.

Тем временем, разработчики OpenBSD начали обсуждение возможных проблем с переносом кода из OpenSSL в LibreSSL, в случае смены лицензии. Многие из разработчиков LibreSSL не намерены передавать свои права.

  1. OpenNews: Микроядерная ОС Genode переходит на лицензию AGPL
  2. OpenNews: Конфликт между WordPress и Wix, связанный с нарушением лицензии GPL
  3. OpenNews: Релиз DNS-сервера BIND 9.11, перешедшего на новую лицензию
  4. OpenNews: Проект LLVM планирует сменить лицензию
  5. OpenNews: Основатели MySQL начали продвижение лицензии BSL, как альтернативы Open Core
Обсуждение (34 +11) | Тип: К сведению |
23.03.2017 Выпуск NTPsec 0.9.7, защищённого форка NTPD (10 +15)
  Представлен новый выпуск проекта NTPsec, в рамках которого развивается форк эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированный на переработке кодовой базы с целью повышения безопасности. Исходные тексты NTPsec размещены в репозитории на GitLab. В развитии NTPsec участвуют некоторые разработчики оригинального NTP Classic, инженеры из компаний Hewlett Packard и Akamai Technologies, а также участники проектов GPSD и RTEMS. Одним из инициаторов создания проекта является Эрик Реймонд (Eric S. Raymond), один из основателей организации OSI (Open Source Initiative).

Проект полностью совместим с классическим пакетом NTP и использует те же алгоритмы. Отличия NTPsec в основном касаются переработки внутренностей с внедрением передовых техник предотвращения проведения атак. Среди особенностей проекта:

  • Все функции работы с памятью и строками заменены на защищённые аналоги, не допускающие переполнения буфера.
  • Поставляемые в комплекте экземпляры libevent2 заменены на внешние зависимости.
  • Удалены неиспользуемые компоненты библиотек ISC.
  • Осуществлён переход к манипуляции наносекундными отрезками времени вместо микросекунд.
  • Исправлены ошибки, выявленные при использовании статических анализаторов.
  • C целью унификации их имён изменены названия утилит: sntp переименован в ntpdig, ntp-keygen в ntpkeygen, ntp-wait в ntpwait, update-leap в ntpleapfetch;
  • Из состава исключён демон ntpsnmpd, который не соответствует RFC 5907;
  • Удалены утилиты ntpdc, вместо которых следует использовать ntpq;
  • Прекращена поддержки устаревших типов эталонных часов;
  • Добавлена новая утилита ntpfrob, предоставляющая средства для диагностики и тонкой настройки локального хронометра.
  • Вместо программы ntpdate предложена shell-обвязка над утилитой ntpdig.
  • Вывод часов приведён в соответствие с форматом ISO8601.

В выпуске NTPsec 0.9.7 отражены результаты аудита кодовой базы, проведённого компанией Cure53.de на средства, предоставленные Mozilla Foundation в рамках инициативы "Secure Open Source". В результате проверки была выявлена серия новых уязвимостей, которые также устранены в свежем обновлении оригинального ntp-4.2.8p10. NTPsec затрагивают 4 из 9 выявленных уязвимостей, две из которых (CVE-2017-6463, CVE-2017-6464) могут использоваться для инициирования отказа в обслуживании, одна (CVE-2017-6458) может привести к переполнению буфера при выполнении ctl_put() и одна (CVE-2017-6451) связана с некорректным применением snprintf() в функции mx4200_send(). В оригинальном NTP дополнительно устранены: переполнение буфера (CVE-2017-6462) в DPTS Clock, повышение привилегий в коде User Library для Windows (CVE-2017-6455), переполнение стека при обработке параметров командной строки в инсталляторе для Windows (CVE-2017-6452), переполнение буфера в ntpq при выполнении операции reslist (CVE-2017-6460) и некорректное завершение структуры данных в инсталляторе для Windows (CVE-2017-6459).

Дополнительно в NTPsec 0.9.7 продолжена чистка кода - при подготовке нового выпуска кодовая база сокращена приблизительно на 60 тысяч строк, что примерно 26% от размера кодовой базы в момент форка. Ранее поставляемые в секции contrib программы cpu-temp-log, smartctl-temp-log, temper-temp-log и zone-temp-log теперь объединены в одну утилиту ntplogtemp, упрощающую ведение лога изменения показателей системных датчиков температуры. Драйвер эталонных часов SHM (Shared Memory Driver) теперь может работать на системах без часов реального времени (RTC, Real Time Clock).

В состав включён новый скрипт buildprep, выполняющий подготовительные работы для сборки исходных текстов NTPsec, такие как проверка, загрузка и установка необходимых зависимостей. Проведена работа по увеличению точности - увеличено число знаков в выводе различных утилит, например, driftfile теперь отображает 6 знаков после запятой, вместо 3, а в полях файлов со статистикой отображается 9 знаков после запятой, вместо 6. Похожее увеличение точности вывода также реализовано в ntpq и ntpmon, что может нарушить совместимость со скриптами, осуществляющими автоматический разбор вывода.

По мнению Эрика Реймонда, основная работа уже выполнена и состояние проекта NTPsec уже вполне готово для начала работы над первым стабильным релизом NTPsec 1.0, рекомендованным для промышленного внедрения. Перед релизом усилия можно сосредоточить на оттачивании и тестировании имеющейся кодовой базы. Из планов отмечается подготовка пакетов для популярных дистрибутивов и их продвижение в репозитории. Из областей, в которых можно продолжить упрощение кодовой базы упоминается возможность сокращения кода, применяемого для обработки сетевых сокетов - предлагается удалить нестандартный код для перебора имеющихся сетевых интерфейсов и использовать прикрепление обработчика с использованием маски.

  1. OpenNews: В рамках проекта NTPsec создан защищённый форк NTPD
  2. OpenNews: Рассматривается возможность перевода NTPsec на язык Rust или Go
  3. OpenNews: Представлен NTP-сервер Ntimed, который будет развиваться параллельно с NTPD
  4. OpenNews: Проект OpenBSD выпустил NTP-сервер OpenNTPD 6.0
  5. OpenNews: Выпуск ntpd 4.2.8p9 с устранением уязвимостей
Обсуждение (10 +15) | Тип: Программы |
22.03.2017 Выпуск пользовательского окружения GNOME 3.24 (121 +19)
  После шести месяцев разработки официально представлен выпуск десктоп-окружения GNOME 3.24. По сравнению с прошлым выпуском было внесено более 28 тысяч изменений, в реализации которых приняли участие 753 разработчика. Из наиболее значительных изменений в новой версии можно отметить режим ночной подсветки, включение в состав приложения для просмотра кулинарных рецептов, улучшение области уведомлений, расширение поддержки самодостаточных пакетов Flatpak, модернизация браузера Epiphany. Для быстрой оценки возможностей GNOME 3.24 подготовлены специализированные Live-сборки на основе Fedora, openSUSE, Ubuntu и ALT Linux Sisyphus.

Основные новшества:

  • Реализован режим ночной подсветки ("Night Light"), который меняет цветовую температуру в зависимости от времени суток. Например, при работе в ночное время GNOME автоматически уменьшает интенсивность синего цвета на экране, делая цветовую гамму более тёплой, что снижает напряжение глаз и сокращает факторы возникновения бессонницы после работы перед сном. В настройках можно изменить график активации ночного режима, а в системном меню временно отключить его действие. Поддержка ночного режима обеспечена как при работе поверх X11, так и поверх Wayland;
  • В интерфейсе настройки параметров системы (GNOME Settings) переработаны разделы управления online-аккаунтами, принтерами и пользователями. Изменения коснулись только оформления, вся ранее доступная функциональность сохранена. В интерфейсе настройки online-аккаунтов более ясно выделена информация об уже добавленных учётных записях и доступных для использования службах. В интерфейсе настройки принтеров улучшено представление информации об имеющихся устройствах - на сводную страницу добавлено отображение местоположения каждого принтера и информация об уровне чернил в картриджах;
  • Оптимизировано оформление области уведомлений, упрощён доступ к ранее показанным уведомлениям. В область уведомлений встроен виджет для отображения прогноза погоды, который показывает краткий прогноз на день и ссылку на вызов программы Weather для получения более подробной информации;
  • В состав включено новое приложение Recipes, предоставляющее доступ к базе кулинарных рецептов, формируемой сообществом пользователей GNOME. Пользователь имеет возможность не только просматривать и искать рецепты, но и добавлять собственные, предлагать правки, создавать и распечатывать списки покупок, корректировать число ингредиентов в зависимости от числа порций, добавлять в закладки интересные рецепты и оставлять комментарии. Программа также предлагает режим "свободные руки", который инструктирует о всех шагах для приготовления блюда, не требуя прикасаться к компьютеру;
  • Проведена значительная модернизация интерфейса web-браузера Epiphany (GNOME Web), построенного на движке WebKitGTK+ 2.16. В том числе представлена новая реализация адресной строки и добавлено новое всплывающее меню (popover) со списком открытых вкладок. Полностью переработан интерфейс для управления коллекцией закладок. Реализован новый простой интерфейс для добавления закладки на страницу в один клик, а также всплывающее меню для быстрого доступа к закладкам.

    Добавлен интерфейс для контроля за персональными данными, сохраняемыми сайтами на локальный диск, который позволяет просмотреть и удалить содержимое кэша, хранилища сеансов, IndexedDB и WebSQL. Улучшено обнаружение форм с паролями, параметры аутентификации теперь могут сохраняться для динамически создаваемых форм. Улучшена реализация режима инкогнито - данные сеансов теперь не оседают во временной директории, а держатся в памяти. Для дополнительной защиты от отслеживания пользователя произведена интеграция чёрного списка EasyPrivacy. Для страниц с формами ввода пароля, открываемых без HTTPS, обеспечен вывод бросающегося с глаза предупреждения.

  • В менеджере фотографий существенно улучшен обзорный режим просмотра коллекции изображений - увеличен размер миниатюр и обеспечено их масштабирование для полного использования имеющегося экранного пространства. Проведена работа по повышению качества и оперативному обновлению изменений. Добавлены инструменты для корректировки экспозиции и теней. Обеспечен показ местоположения снимка, если в метаданных указаны координаты GPS;
  • Расширена поддержка самодостаточных пакетов Flatpak. Обеспечено более гладкое обновление Flatpak-приложений. Добавлена поддержка новых возможностей Flatpak, таких как автоматическая загрузки необходимых для работы программы runtime-компонентов;
  • В Builder, интегрированную среду разработки, оптимизированную для создания приложений для GNOME, добавлены средства для упаковки создаваемых приложений в виде самодостаточных пакетов Flatpak. Кроме того, в Builder добавлена поддержка систем сборки CMake, Meson и Cargo (Rust). Предоставлены средства для быстрого развёртывания окружения для разработчика - из Builder теперь можно в один клик установить SDK и инструментарий разработчика (даже для Flatpak и Rust) или обновить их. Обеспечена интеграция с Valgrind для упрощения отладки проблем с распределением памяти;
  • Подготовлен набор более крупных и ярких пиктограмм, представленных в разрешении 512×512 пикселей (ранее максимальны размер составлял 256×256), что позволяет значительно улучшить детализацию отображения пиктограмм на экранах c высокой плотностью размещения пикселей (HiDPI). Кроме того, модернизирован визуальный стиль многих пиктограмм, определяющих устройства, документы, каталоги, типы файлов и приложения;
  • В IRC-клиент Polari внесена порция улучшений, например, при клике на имени пользователя теперь отображается всплывающее меню, через которое можно быстро начать приватный чат или запросить уведомление о появлении пользователя в online. Реализован режим фоновой работы, при котором Polari продолжает выполнение в фоне без открытых окон. Добавлена проверка орфографии. В диалог подключения к каналу добавлено отображение списка доступных каналов;
  • В GNOME Games, интерфейс для загрузки и запуска игр, внесена большая порция улучшений. Добавлена возможность запуска игр на базе платформы Libretro;
  • При работе под управлением Wayland добавлена возможность использования графических планшетов Wacom, в том числе доступны средства для настройки Wacom. Из общих улучшений отмечается появление унифицированной системы настройки стилуса, позволяющей создавать конфигурации не привязанные к устройствам и использовать готовые преднастройки;
  • В календарь-планировщик добавлен недельный обзор событий, позволяющий разом просмотреть все мероприятия на неделю;
  • Продолжено усовершенствование оформления интерфейса для установки приложений (GNOME Software). Добавлены новые пиктограммы для выделения установленных приложений, обновлено представление пользовательского рейтинга и показана информация о дисковом пространстве, которое займёт приложение после установки;
  • В файловом менеджере упрощена работа с защищёнными файлами и каталогами. Если для доступа к файлу или каталогу требуются дополнительные полномочия, отныне автоматически выводится диалог для ввода пароля, без необходимости ручного запуска sudo или работы под пользователем root;
  • Расширено соблюдение правил типографики, при оформлении текста теперь максимально возможно используются символы Unicode;
  • Улучшен внешний вид калькулятора, добавлено окно для настройки горячих клавиш, реализованы новые всплывающие меню с переменными и функциями, улучшено выделение ошибок, расширены возможности по работе с комплексными числами;
  • Добавлена поддержка систем с двумя видеокартами. На подобных системах перед запуском приложения теперь можно выбрать, какой из GPU использовать. В настройках представлены параметры обеих видеокарт;
  • В Mutter добавлена поддержка расширений EGLStreams и EGLDevice, позволяющих использовать проприетарные драйверы NVIDIA (начиная с выпуска 370) для запуска GNOME поверх Wayland;
  • В Mutter на системах с OpenGL задействовано расширение GL_*_texture_swizzle, которое позволяет обойтись без программного преобразования пикселей при сохранении текстур из формата изображений cairo. Тестирование производительности скроллинга (тест scrolling-performance) на системах с GPU Intel при использовании Wayland и отрисовки через Cairo показало снижение нагрузки на CPU с 45-50% до 25-30%;
  • В рамках текущего цикла разработки не был сформирован релиз GTK+ 3.24, вместо которого поставляется ветка GTK+ 3.22, которая будет поддерживаться три года. Параллельно ведётся разработка новой стабильной ветки GTK+ 4, которая пока не готова. Из уже подготовленных для GTK+ 4 изменений отмечаются средства записи активности в GTK+ Inspector, поддержка спецификации CSS-фильтров, большая чистка API и создание нового модуля отрисовки на базе графического API Vulkan.

  1. OpenNews: Выпуск десктоп-окружения MATE 1.18, форка GNOME 2
  2. OpenNews: Состоялся релиз пользовательского окружения GNOME 3.22
  3. OpenNews: Увидел свет GNOME 3.20
  4. OpenNews: Проект GNOME планирует изменить метод разработки GTK+ и выпустить GTK+ 4
  5. OpenNews: Выпуск графического тулкита GTK+ 3.22
Обсуждение (121 +19) | Тип: Программы | Интересно
22.03.2017 Релиз среды разработки приложений KDevelop 5.1 (53 +19)
  Состоялся релиз интегрированной среды программирования KDevelop 5.1, полностью поддерживающей процесс разработки для KDE 5, в том числе с использованием Clang в качестве компилятора. Код проекта распространяется под лицензией GPL и использует библиотеки KDE Frameworks 5 и Qt 5.

Основные новшества:

  • Добавлена поддержка LLDB в качестве альтернативного бэкенда для организации отладки кода в KDevelop, работающего напрямую с обособленным LLDB MI Driver (lldb-mi). Реализован новый фреймворк для взаимодействия с внешними отладчиками, который может использоваться как с GDB, так и с отладчиком LLDB, развиваемым проектом LLVM;
  • В меню добавлена новая секций "Analyzer", в которой предложен набор инструментов для работы с плагинами для анализа кода. В основной состав включён плагин analyzer, предоставляющий средства для статического анализа при помощи утилиты Cppcheck, позволяющей выявлять типовые ошибки в коде на языках C/C++, такие как обращение к области за границами буфера, утечки памяти, разыменования нулевых указателей, использование неинициализированных переменных и т.п. Кроме Cppcheck также реализована поддержка проверки кода через Valgrind, clang-tidy и krazy2, но код плагинов для данных систем пока полностью не стабилизирован и развивается в отдельных репозиториях (планируется включить их в основной репозиторий в одном из следующих выпусков);
  • Добавлена начальная поддержка разработки проектов с компонентами на языке OpenCL, применяемом для организации параллельных вычислений с привлечением мощностей GPU. Входящий в состав KDevelop бэкенд на базе Clang адаптирован для разбора кода на языке OpenCL. В следующем выпуски ожидается включение поддержки технологии NVIDIA CUDA;
  • Расширена поддержка языка Python. Добавлен разбор новых элементов синтаксиса и семантики Python 3.6. Решены многие проблемы в движке анализа семантики Python (например, значительно улучшены средства определения типов), переписан код для интеграции с компонентами проверки стилей;
  • Обеспечена интеграция с системой управления версиями Perforce, реализованная в виде надстройки над утилитой p4 по аналогии с надстройкой для Git и Bazaar;
  • Добавлен интерфейс для выбора цветовой схемы не выходя из KDevelop, что удобно при запуске в окружениях рабочего стола, отличных от KDE Plasma, в которых усложнено изменение настроек цветовой схемы;
  • Улучшена работа на платформе Windows и готовится к выпуску первый вариант KDevelop для macOS.

  1. OpenNews: Релиз среды разработки приложений KDevelop 5.0
  2. OpenNews: Релиз среды разработки приложений KDevelop 4.7.0. Планы развития KDevelop 5
  3. OpenNews: Для KDevelop подготовлены средства для разработки на Python 3
  4. OpenNews: Релиз среды разработки приложений KDevelop 4.6.0
  5. OpenNews: Для текстовых редакторов KDE и IDE KDevelop представлена поддержка языка D
Обсуждение (53 +19) | Тип: Программы |
21.03.2017 Предварительный выпуск платформы Android 8 (66 +14)
  Компания Google анонсировала предварительный выпуск следующей редакции открытой мобильной платформы Android - Android O Developer Preview. Релиз Android O, который будет поставляться под номером Android 8, ожидается в третьем квартале 2017 года. До этого времени периодически будут выпускаться предварительные выпуски Developer Preview, предоставляющие средства для разработки приложений с учётом новых возможностей платформы.

Для оценки новых возможностей платформы предложена программа бета-тестирования, в рамках которой экспериментальную ветку можно установить и поддерживать в актуальном виде через штатный интерфейс установки обновлений (OTA, over-the-air), без необходимости ручной замены прошивки. Обновления доступны для пользователей устройств Nexus 5X, Nexus 6P, Nexus Player, Pixel и Pixel XL.

Ключевые особенности Android O Developer Preview:

  • Для сокращения энергопотребления и продления времени автономной работы представлена новая система для автоматического ограничения активности фонового выполнения приложений. Ограничение производится в трёх направлениях: блокирование неявных broadcast-обработчиков, лимитирование доступа к сервисам в фоновом режиме и снижение частоты предоставления информации о местоположении;
  • Реализация каналов уведомлений, позволяющих приложениям разделять уведомления на категории с предоставлением пользователю гибких возможностей по управлению различными типами уведомлений. Вместо управления всеми уведомлениями приложения как одним целым, появилась возможность настройки поведения или блокирования отдельных каналов, на которые приложение разделяет свои уведомления. Например, для приложения чтения новостей можно отключить уведомления о показе политических и спортивных мероприятий, оставив вывод уведомлений о новостях развития технологий. В новом выпуске также представлены новые методы оформления и группировки уведомлений;
  • Представлен новый API Autofill для создания индивидуальных приложений-обработчиков автоматического заполнения форм. По аналогии с тем, как можно подключать различные реализации экранных клавиатур, появилась возможность создания приложений, берущих на себя работу сохранения и безопасного доступа к таким данным, как адреса, имена пользователей, пароли, номера карт и т.п.
  • Поддержка нового многооконного режима "картинка в картинке" (PIP API, Picture in Picture), позволяющей приложениям выводить окна поверх мультимедийного контента. Например, при поступлении нового сообщения в чате во время просмотра видео можно отобразить окно для написания ответа непосредственно поверх видео. Ранее PIP API был доступен только для Android TV, но теперь адаптирован для смартфонов и планшетов. Кроме PIP API в новой версии также предоставлена возможность создания приложениям окон, выводимых поверх контетента (overlay window) вместо системного окна для отображения предупреждений;
  • Добавлена поддержка организации вывода на несколько экранов (multi-display). Если приложение поддерживает многооконный режим и к устройству подключено несколько экранов, то пользователь теперь может перемещать окна с из одного экрана на другой, а приложение выбирать на каком экране отобразить информацию;
  • Возможность разработки с использованием новых API, появившихся в Java 8, включая API java.time. Поддержка языковых возможностей Java 8 добавлена в компилятор javac и набор утилит dx. Инструментарий Jack переведён в разряд устаревших;
  • Проведена оптимизация Android Runtime. По сравнению с Android 7 скорость прохождения некоторых тестов увеличилась до двух раз;
  • Шрифты стали полноценными ресурсами и могут использоваться приложениями в XML-макетах, в том числе в XML можно определять семейства шрифтов, указывая стиль, размер и файлы со шрифтами;
  • Поддержка адаптивных пиктограмм, подстраивающихся под интерфейс, применяемый производителем устройства. Например, можно сделать пиктограмму, которая может быть как круглой, так и квадратной или со сглаженными углами. Также реализованы новые анимированные действия с пиктограммами, применяемые в ланчере, ярлыках, настройках, диалогах обмена данными и обзорном экране;
  • Возможность использования цветового пространства Wide-gamut в приложениях, работающих с изображениями;
  • Добавлена поддержка звуковых кодеков для высококачественной передачи звука через Bluetooth, таких как LDAC;
  • Добавлена поддержка технологии Wi-Fi Aware (Neighbor Awareness Networking или NAN), которая при наличии совместимого оборудования позволяет находить и подключаться к другим устройствам, поддерживающим Wi-Fi Aware, через установку прямого беспроводного соединения без необходимости использования точки доступа;
  • Представлен фреймворк Telecom, расширяющий API ConnectionService и позволяющий интегрировать сторонние программы дозвона с системным пользовательским интерфейсом и бесшовно взаимодействовать с другими звуковыми приложениями. Например, приложение может отображать информацию о поступившем звонке в различных видах интерфейсов, таких как головной экран автомобильной информационно-развлекательной системы;
  • Добавлены средства для организации навигации по интерфейсу с использованием клавиатуры. Например, перемещения указателя клавишами управления курсором или смена фокуса табуляцией. Возможность стала актуальной после реализации поддержки в Google Play возможности запуска приложений на устройствах с Chrome OS, снабжённых полноценной клавиатурой;
  • Представлен API AAudio API, предназначенный для использования в приложениях профессиональной обработки звука, требующих максимальной производительности и минимальных задержек при работе со звуком. При использовании AAudio отправка и получение звуковых данных производится через потоки;
  • В браузерном движке WebView появилась поддержка многопроцессного режима, при котором обработка разного web-контента выносится в отдельные изолированные друг от друга процессы. В Android O данный режим включен по умолчанию. Для приложений в WebView также предложены новые API для обработки ошибок и крахов. Опционально реализована возможность предварительной проверки URL на безопасность связанного с ним контента в сервисе Google Safe Browsing.

  1. OpenNews: Выпуск платформы Android 7.1
  2. OpenNews: Релиз мобильной платформы Android 7.0
Обсуждение (66 +14) | Тип: Программы |
21.03.2017 Выпуск Red Hat Enterprise Linux 6.9 (93 +13)
  После десяти месяцев разработки компания Red Hat представила релиз дистрибутива Red Hat Enterprise Linux 6.9. RHEL 6.9 является первым выпуском, подготовленным в рамках второй стадии сопровождения, на которой приоритеты сместились в сторону исправления ошибок и проблем безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем. Включение значительных функциональных улучшений прекращено. Установочные образы RHEL 6.9 доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal.

10 мая 2017 года ветка Red Hat Enterprise Linux 6 перейдёт на третью стадию поддержки, на которой будут формироваться только обновления с устранением уязвимостей и особо важных ошибок. Внесение изменений, связанных с поддержкой нового оборудования будет прекращено, за исключением поддержания компонентов, необходимых для работы в системах виртуализации. Ветка RHEL 6.x сопровождается параллельно с веткой RHEL 7.x и будет поддерживаться до 30 ноября 2020 года.

Ключевые изменения в Red Hat Enterprise Linux 6.9:

  • Проведена большая чистка устаревших алгоритмов и протоколов, безопасность которых поставлена под сомнение. В том числе блокированы алгоритмы, фигурирующие в таких атаках как DROWN против SSL 2.0, SLOTH против MD5, LOGJAM и FREAK против TLS.

    • Полностью удалена поддержка протокола SSLv2 и экспортных наборов шифров, включающих недостаточно защищённые устаревшие алгоритмы шифрования;
    • Ограничено использование MD5 и SHA-0 в качестве алгоритма для создания цифровых подписей;
    • Запрещена установка защищённых соединений с сервером при использовании в TLS параметров DH (Diffie-Hellman), размером менее 1024 бит.
    • Отключено использование RC4 в контекстах, не приводящих к проблемам с нарушением совместимости (например, RC4 отключен в OpenSSH);
  • В OpenSSL, NSS, GnuTLS, rsyslog и vsftpd добавлена поддержка протокола TLS 1.2;
  • В Postfix обеспечена возможность задания в конфигурации допустимых версий TLS. Например, для запрета TLS 1.1 можно указать "smtpd_tls_mandatory_protocols = !TLSv1.1";
  • В NetworkManager добавлена поддержка ручной настройки DNS (при указании dns=none в настройках NetworkManager, прекращается автоматическое изменение /etc/resolv.conf);
  • В файл конфигурации /etc/sysconfig/network добавлена поддержка опции NO_DHCP_HOSTNAME, при указании которой скриптам инициализации не даётся получить имея хоста через DHCP;
  • В Perl-модулях Net::SSLeay и IO::Socket::SSL реализована возможность жесткого определения допустимой версии протокола TLS;
  • В состав включена утилита cpuid, выводящая информацию о возможностях CPU на основании данных, полученных через инструкцию CPUID;
  • В состав базовой системы включен инструментарий cloud-init, с реализацией конфигурируемого процесса инициализации, оптимизированного для обеспечения загрузки образов для cloud-окружений. Cloud-init позволяет унифицировать процесс задания конфигурации во время загрузки, таких как локаль, имя хоста, SSH-ключи и точки монтирования;
  • В PAM-модуль pam_faillock добавлена опция "unlock_time=never", при указании которой в случае превышения лимита на допустимое число попыток аутентификации, вход пользователя будет заблокирован бессрочно и разблокирование потребует вмешательства администратора;
  • В менеджере кластерных ресурсов Pacemaker добавлена возможность создания аварийных агентов (alert agents), позволяющих выполнить внешние действия в случае наступления определённых событий в кластере. В агентах ресурсов Pacemaker Oracle и OraLsnr добавлена поддержка СУБД Oracle 11g;
  • В состав включён интерфейс luci для обеспечения аутентификации узлов в кластере и защиты систем из нескольких узлов от MITM-атак;
  • В разряд поддерживаемых переведён пакет clufter с набором утилит для анализа и преобразования форматов конфигурации кластера. Версия пакета обновлена до clufter 0.59.8;
  • Различные компоненты приведены к соответствию требованиям стандартов PCI-DSS (Payment Card Industry Data Security Standards), определяющих требования к безопасности при хранении данных о держателях платёжных карт;
  • Добавлена поддержка контроллеров RealTek RTS5250S SD4.0, что позволяет использовать картридеры на базе Realtek RTS5205;
  • Добавлен драйвер smartpqi для новых систем хранения Microsemi smartPQI;
  • Прошивка Chelsio обновлена до версии 1.15.37.0;
  • Обновлены версии драйверов:
    • bnxt_en -добавлена поддержка BCM5731X, BCM5741X и 57404 Network Partitioning (NPAR);
    • ahci - добавлена поддержка контроллеров Marwell 88SE9230;
    • mpt3sas - добавлена поддержка SAS3416 , SAS3508, SAS3408 и SAS3516 Fusion-MPT Tri-Mode RAID On Chip;
    • megaraid_sas;
    • В device-mapper-multipath добавлена конфигурация для дисковых массивов Huawei XSG1;
  • Добавлены средства для проведения бесшовной миграции стационарных окружений на базе RHEL 6 на RHEL 7 или в форму изолированных контейнеров, пригодных для выполнения в системах на базе RHEL 7, Red Hat Enterprise Linux Atomic Host и Red Hat OpenShift Container Platform.

  1. OpenNews: Объявление о прекращении поддержки Red Hat Enterprise Linux 5 и репозитория EPEL 5
  2. OpenNews: В Red Hat Enterprise Linux 6.9 будет проведена чистка небезопасных алгоритмов и протоколов
  3. OpenNews: Доступен дистрибутив SUSE Linux Enterprise 12 SP2
  4. OpenNews: Релиз Red Hat Enterprise Linux 7.3
  5. OpenNews: Выпуск Red Hat Enterprise Linux 6.8
Обсуждение (93 +13) | Тип: Программы |
21.03.2017 GitHub добавил защиту от атак, использующих коллизии SHA-1 (20 +10)
  GitHub сообщил о внедрении системы определения и блокирования атак, связанных с использования коллизий SHA-1 в Git-репозиториях. Несмотря на то, что пока не зафиксировано реальных атак по подмене объектов в Git через манипуляцию коллизиями SHA-1, GitHub решил перестраховаться и предоставил превентивную защиту.

Напомним, что существующая атака на PDF, позволяющая создать два документа с одним хэшем и разным содержанием, основана на задействовании уже рассчитанной коллизии SHA-1. Атака строится на использовании шаблона, состоящего из вызывающей коллизию известной последовательности и дополняющего эту последовательность набора данных, который подобран таким образом, чтобы не влиять на итоговый хэш SHA-1. Так как во всех атаках используется один и тот же шаблон известной коллизии, а вычисление новой коллизии требует гигантских вычислительных мощностей, то для блокирования атаки достаточно блокировать известный шаблон, по крайней мере до нахождения новой коллизии.

В Git применение данного метода атаки затруднено, так как для подмены объекта, необходимо, чтобы подменяемый объект уже содержал шаблон коллизии, т.е. произвольный блок подменить не получится. Теоретически возможна лишь замена уже ранее добавленного атакующим блока, но она затруднена тем, что в изначально принятом в репозиторий блоке должен присутствовать достаточно большой кусок вызывающих коллизию бинарных данных, что при работе с кодом не останется незамеченным.

Кроме того, проведение атаки усложняет то, что каждый объект в Git дополнительно содержит служебный заголовок, содержимое которого не может контролироваться атакующим, но который участвует при вычислении проверочного хэша. Иными словами имеется лишь возможность создать два набора данных, содержащих большую порцию идентичных бинарных данных и небольшой блок специально подобранных различающихся данных, но после помещения их в Git из-за добавления заголовка с параметрами коммита, условия возникновения коллизии нарушатся.

Как вариант обхода данной проблемы упоминается атака по замене репозитория. Например, атакующий может добиться принятия своего кода (с бинарным блоком, вызывающим коллизию) в репозиторий и создания SHA-1 подписи для тега или коммита. Затем он может подготовить вариант этого репозитория, в котором содержимое его коммита будет подменено без изменения проверочного хэша SHA-1. Остаётся подменить настоящий репозиторий на подготовленный атакующим изменённый вариант, что может быть совершено, например, через взлом сервера, на котором размещён репозиторий.

Тем временем разработчики Git начали работу по реализации возможности использования альтернативных хэшей, отличных от SHA-1. Уже представлен набор изменений, избавляющий код Git от жёсткой привязки к SHA-1. План ухода от SHA-1 подразумевает добавление опциональной поддержки SHA3-256, которая сможет применяться параллельно с SHA-1. Таким образом, переведённый на SHA3-256 локальный репозиторий сможет взаимодействовать с Git-серверами (как минимум на уровне push/fetch), поддерживающими только SHA-1, а пользователи смогут одновременно использовать идентификаторы объектов SHA-1 и SHA3-256.

  1. OpenNews: Энтузиасты воссоздали метод мгновенной генерации PDF-файлов с одинаковым хэшем SHA-1
  2. OpenNews: Google продемонстрировал первую успешную атаку на алгоритм хеширования SHA-1
  3. OpenNews: До конца года ожидается появление практических атак по подбору коллизий для SHA-1
  4. OpenNews: В рамках соблюдения закона DMCA в 2015 году из GitHub было удалено более 8 тысяч проектов
  5. OpenNews: Уязвимость, позволяющая осуществить подстановку SQL-кода в GitHub Enterprise
Обсуждение (20 +10) | Тип: К сведению |
21.03.2017 Разработчики KDE обсудили интеграцию web-браузера с рабочим столом Plasma (73 –9)
  На очередной встрече разработчиков KDE рассмотрена работа по расширению интеграции браузера в окружение Plasma. На рабочий стол будет добавлена поддержка вывода уведомлений от web-приложений, реализован индикатор загрузки файлов через браузер и предложена функция управления воспроизведением мультимединой информации. Для реализации подобных возможностей будет подготовлено специальное дополнение для web-браузеров, организующее обмен информацией между браузером и оболочкой Plasma.

KDE также экспериментирует с новыми путями распространения приложений, используя для этого самодостаточные пакеты, что предоставит разработчикам приложений больший контроль над жизненным циклом продукта, а также даст возможность не привязываться к циклам разработки KDE и более оперативно выпускать обновления. Кроме того, так как сборка подобных пакетов сможет осуществляться автоматически из Git-репозиториев, существенно упростится цепочка развёртывания продукта (не нужно заботится о соответствии версий для зависимостей). Поддержка самодостаточных пакетов будет интегрирована в центр установки приложений Discover и каталог-магазин KDE Store. В качестве основных претендентов рассматриваются Flatpak, Snap и AppImage, но окончательное решение в пользу какой-то определённой технологии пока не принято.

Из планов также обсуждалась поддержка использования жестов на тачпадах для управления оконным менеджером. Например, пользователи получат возможность использования мультитач жестов для переключения между виртуальными рабочими столами, обзора открытых окон или сводного просмотра на одном экране содержимого всех виртуальных рабочих столов.

Рассматривая состояние развиваемой с 2015 года мобильной платформы Plasma Mobile, разработчики рассказали об использовании смартфона Nexus 5X в качестве нового эталонного устройства, используемого при разработке. Первые сборки Plasma Mobile ограничивались устройствами Nexus 5 и Oneplus One, которые уже устарели. В ближайшее время ожидается появление пригодных для широкого тестирования образов для Nexus 5X, не требующих замысловатой установки.

  1. OpenNews: Проект KDE ввёл в строй новый дизайн сайта и опубликовал новый макет интерфейса Plasma Mobile
  2. OpenNews: Мобильная платформа Plasma Mobile портирована для устройств Nexus 5X
  3. OpenNews: Планы разработки KDE Plasma
  4. OpenNews: Проект KDE опубликовал первый релиз Kirigami UI, фреймворка для построения интерфейса
  5. OpenNews: Проект KDE представил ультрабук KDE Slimbook
Обсуждение (73 –9) | Тип: К сведению |
21.03.2017 Выпуск браузерного движка WebKitGTK+ 2.16 (11 +11)
  Представлен выпуск новой стабильной ветки WebKitGTK+ 2.16.0, порта браузерного движка WebKit для платформы GTK+. WebKitGTK+ позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK+, можно отметить Midori и штатный браузер GNOME (Epiphany).

Ключевые изменения:

  • Аппаратное ускорение теперь включается только при выполнении 3D-операций и не активно по умолчанию. Ранее аппаратное ускорение было включено постоянно, что приводило к накладным расходам и значительному потреблению памяти в Epiphany при работе с большим числом открытых вкладок. Задействование 3D-ускорения только при необходимости позволило существенно сократить потребление памяти;
  • Решена проблема в коде сборки мусора для JavaScript, которая мешала запуску сборщика мусора в некоторых ситуациях, что в итоге приводило к повышенному потреблению памяти;
  • Включена по умолчанию поддержка CSS Grid Layout, нового метода многослойной компоновки элементов страницы, выровненных по сетке. В основе метода заложена идея разбиения страницы на области по аналогии с табличной компоновкой с выравниванием по столбцам и строкам. В отличие от таблиц, CSS Grid Layout не определяет структуру содержимого, что позволяет применять методы адаптивной вёрстки и выстраивать произвольные макеты, которые недостижимы с использованием обычных таблиц (например, дочерние элементы могут перекрывать друг друга и переноситься в случае нехватки экранного пространства). По сравнению с Flexbox, который позволяет выравнивать элементы только в одной вертикальной плоскости, в CSS Grid Layout обеспечена возможность выравнивания элементов одновременно как по вертикальным, так и по горизонтальным направляющим, т.е. позволяет привязать выравнивание элеменов в разных столбцах.
  • Добавлен новый параметр WebKitSetting "hardware-acceleration-policy" для настройки правил включения аппаратного ускорения;
  • Добавлен новый a API для управления настройками для работы через прокси;
  • Добавлен API для создания эфемерных web-окружений, позволяющих не сохранять какие-либо данные на диск в процессе работы с сайтом в режиме инкогнито (ранее, в Epiphany режим инкогнито был реализован через создание профиля во временной директории, что могло приводить к утечке данных, фигурирующих при работе с сеансом);
  • API для обработки данных сайта WebKitWebsiteDataManager расширен методами для извлечения и удаления данных, сохраняемых сайтом на стороне клиента. Кроме таких данных, как дисковый кэш, cookie и IndexedDB, также предоставлена возможность управления данными из кэша в ОЗУ и непостоянными сессионными Cookie;
  • В системе автозаполнения форм добавлена поддержка динамически генерируемых форм ввода, изначально отсутствующих на странице и подставляемых JavaScript-кодом на лету;
  • Реализована возможность добавления собственных вкладок с настройками в виджет с параметрами вывода на печать;
  • Приложениям предоставлена возможность установки начальных прав на вывод уведомлений для избежания повторного вывода запросов на подтверждение полномочий;
  • В инструменты для отладки добавлен программный интерфейс для отслеживания потребления памяти и всплывающее окно для контроля за расходованием ресурсов.

22 марта ожидается релиз web-браузера Epiphany 3.24 (GNOME Web), основанного на движке WebKitGTK+ 2.16. Из изменений можно отметить:

  • Проведена значительная модернизация интерфейса. Представлена новая реализация адресной строки, в которой решена серия проблем, мешающих удобной работе. Добавлено новое всплывающее меню (popover) со списком открытых вкладок, которое упрощает поиск нужной страницы при большом числе вкладок;
  • Переработана система закладок. Реализован новый простой интерфейс для добавления закладки на страницу в один клик, а также всплывающее меню для быстрого доступа к закладкам. Полностью переработан интерфейс для управления коллекцией закладок;
  • Улучшена реализация режима инкогнито - как было отмечено выше, данные сеансов теперь не оседают во временной директории;
  • Представлено новое, более заметное, предупреждение, выводимое для небезопасных форм ввода пароля (открываемых без HTTPS);
  • Для дополнительной защиты от отслеживания пользователя произведена интеграция чёрного списка EasyPrivacy;
  • Добавлен диалог для контроля за персональными данными, сохраняемыми сайтами на локальный диск. В том числе, диалог позволяет просмотреть и удалить содержимое кэша, хранилища сеансов, IndexedDB и WebSQL;
  • Улучшено обнаружение форм с паролями, параметры аутентификации теперь могут сохраняться для динамически создаваемых форм.

  1. OpenNews: Выпуск браузерного движка WebKitGTK+ 2.14 с полноценной поддержкой Wayland
  2. OpenNews: Выпуск браузерного движка WebKitGTK+ 2.12.0
  3. OpenNews: Выпуск браузерного движка WebKitGTK+ 2.10.0
  4. OpenNews: Релиз Midori 0.5.11, легковесного веб-браузера на базе движка WebKit
  5. OpenNews: В WebKitGTK+ выявлены несвободные файлы
Обсуждение (11 +11) | Тип: Программы |
20.03.2017 Использование PVS-Studio для поиска дефектов безопасности (реклама) (65 +4)
  Разработчики PVS-Studio, коммерческого статического анализатора кода на языках C, C++ и C#, выступили с инициативой выявления в открытых проектах ошибок, которые могут привести к возникновению уязвимостей. Для упрощения анализа подобных ошибок составлена таблица соответствия предупреждений PVS-Studio и идентификаторов CWE (Common Weakness Enumeration), определяющих типовые ошибки, которые могут привести к появлению уязвимостей. Для примера продемонстрировано несколько предупреждений в Apache httpd, которые потенциально представляют угрозу безопасности.

Анализатор PVS-Studio всегда умел искать слабые места (потенциальные уязвимости) в коде программ, но исторически сложилось, что PVS-Studio позиционировался как инструмент для поиска ошибок, а не потенциальных уязвимостей. Станет та или иная ошибка в коде причиной уязвимости зависит от множества различных факторов - дефект иногда можно эксплуатировать, а иногда нет, как повезёт. Существенно то, что, устраняя ошибки, описанные в CWE, программист заранее защищает код от множества уязвимостей.

Команда разработчиков PVS-Studio заинтересовалась устранением потенциальных уязвимостей в различных проектах и решила отражать отдельные мероприятия по поиску уязвимостей в виде небольших еженедельных отчётов. В первом таком отчёте разработчики PVS-Studio написали о дефектах в C# проектах (CoreFX, MSBuild). Второй отчёт более интересен сообществу программистов на C и C++, и рассматривает потенциальные проблемы с безопасностью в таких проектах как FreeBSD, GCC и Clang. Как результат, разработчикам проверенных проектов направлены патчи или заведены сообщения о проблемах.

Дополнительно можно отметить новую статью о том, как и почему статические анализаторы борются с ложными срабатываниями.

  1. OpenNews: Рейтинг самых опасных ошибок при создании программ
  2. OpenNews: Статический анализатор PVS-Studio доступен для Linux (реклама)
  3. OpenNews: Отчёт о разработке Linux-версии PVS-Studio и результаты проверки LLVM (реклама)
  4. OpenNews: PVS-Studio доступен для бесплатного использования открытыми проектами (реклама)
  5. OpenNews: Методы работы и история возникновения анализатора кода PVS-Studio (реклама)
Обсуждение (65 +4) | Тип: К сведению |
20.03.2017 Релиз OpenSSH 7.5 (11 +22)
  Сформирован релиз OpenSSH 7.5, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В OpenSSH также временно оставлена поддержка протоколов SSH 1.3 и 1.5 на стороне клиента (серверная часть уже удалена), которая требует сборки со специальной опцией. Летом 2017 года планируется полностью прекратить поддержку SSHv1 и удалить компоненты с реализаций шифров Blowfish и RC4, а также RIPE-MD160 HMAC, которые в настоящее время по умолчанию отключены в настройках. В будущих выпусках также планируют запретить использование RSA-ключей размером менее 1024 бит и отключить по умолчанию поддержку шифров CBC на стороне SSH-клиента (в сервере CBC был отключен несколько лет назад).

В новой версии устранены накопившиеся ошибки и внесено несколько изменений, в основном связанных с удалением устаревших возможностей:

  • Внесена дополнительная защита для блокирования атак, манипулирующих различиями при формировании добавочного заполнения (padding oracle) в шифрах CBC (на стороне сервера CBC уже давно отключен по умолчанию и запланирован к удалению в следующем выпуске);
  • В утилите sftp-client устранена уязвимость, проявляющаяся при запуске в окружении Cygwin и позволяющая создать или изменить файлы за пределами целевой директории на стороне клиента при инициировании рекурсивной загрузки данных с сервера, подконтрольного атакующим;
  • В ssh и sshd добавлен оператор "=-", предназначенный для исключения методов из списков. Например, "Ciphers=-*cbc" исключит из списка допустимых шифров все алгоритмы с CBC;
  • Отключена возможность запуска OpenSSH без разделения привилегий. Опция UsePrivilegeSeparation объявлена устаревшей и режим разделения привилегий теперь не может быть отключен (по умолчанию данный режим активирован уже почти 15 лет);
  • Изменён формат некоторых сообщений в логе, информирующих о закрытии соединения, таймаутах, отсоединении удалённой стороны и некоторых фатальных ошибках. Для данных групп сообщений в лог теперь добавлены сведения о пользователе и состоянии аутентификации, что может потребовать модификации анализаторов логов и систем мониторинга. Например:
    
       Connection closed by user x 1.1.1.1 port 1234 [preauth]
       Connection closed by authenticating user x 10.1.1.1 port 1234 [preauth]
       Connection closed by invalid user x 1.1.1.1 port 1234 [preauth]
    
  • Прекращена поддержка версий библиотеки OpenSSL до ветки 1.0.1 (поддержка ветки 1.0.1 была прекращена проектом OpenSSL более года назад).

  1. OpenNews: Релиз OpenSSH 7.4
  2. OpenNews: DoS-уязвимость в OpenSSH
  3. OpenNews: Релиз OpenSSH 7.3
  4. OpenNews: Обход защиты OpenSSH, препятствующей определению наличия пользователя
  5. OpenNews: Разработчики OpenSSH опубликовали план прекращения поддержки протокола SSHv1
Обсуждение (11 +22) | Тип: Программы |
20.03.2017 Истёк срок действия последнего патента на технологию AC-3 (Dolby Digital) (68 +39)
  Истёк срок действия последнего патента, охватывающего технологию многоканального кодирования звука AC-3 (Dolby Digital), применяемую в стандартах цифрового телевидения (ATSC, DVB), на дисках DVD и Blu-ray, в системах потокового интернет-вещания с поддержкой объёмного звука 5.1. Ранее производители телевизоров, музыкальных центров, домашних кинотеатров, игровых приставок, аппаратных и программных мультимедийных проигрывателей вынуждены были оплачивать отчисления при реализации стандартов, в которых используется AC-3.

Если изначально объектом сбора отчислений были в основном производители звуковой техники и аппаратных устройств, то в 2012 году компания Dolby провела кампанию против разработчиков программ для воспроизведения видео, потребовав у них начать выплачивать отчисления или удалить поддержку Dolby Digital. Отныне появилась возможность реализации стандарта сжатия многоканального звука ETSI TS 102 366 без пересечения с действующими патентами, что освобождает основанные на AC-3 продукты от необходимости оплаты патентных отчислений, а также даёт возможность включения AC-3 в состав дистрибутивов, не допускающих включение пакетов обременённых патентами на ПО (Fedora, Debian).

После истечения действия патентов, для использования AC-3 в своих приложениях теперь достаточно убедиться, что в программе не упоминается торговая марка "Dolby Digital" (для избежания исков следует использовать название технологии "AC-3" или "A/52"). Также необходимо иметь в виду, что расширенные методы кодирования, такие как E-AC-3 ("Dolby Digital Plus"), MLP и TrueHD, всё ещё охватываются патентами и их применение требует отчислений.

Для кодирования и декодирования AC-3 можно использовать открытую библиотеку libavcodec (LGPLv2.1+) из состава ffmpeg с применением сборочных опций "--disable-everything --enable-decoder=ac3 --enable-demuxer=ac3 --enable-parser=ac3". Также доступны открытые библиотеки liba52 (GPLv2), которая используется проектом VLC, и valib (GPLv2, имеет неотключаемую встроенную поддержку E-AC-3) от проекта AC3Filter.

Несмотря на то, что формат кодирования AC-3 включён во многие открытые стандарты, компании Dolby удавалось около 25 лет успешно собирать отчисления с производителей звуковой техники и DVD/Blu-ray дисков, благодаря применению стратегии "evergreening". Для получения роялти в течение срока, превышающего отведённый законом период, применялись такие методы как сокрытие пересечений c уже имеющимися патентами в процессе формирования стандарта, регистрация новых патентов, охватывающих части стандарта, и скупка патентов у конкурентов, с выставлением их как важных для реализации стандарта.

Несмотря на то, что все патенты в официально заявленном списке теперь просрочены, компания Dolby не теряет надежды найти новые патенты для сбора отчислений. В частности, в 2012 году у Panasonic был куплен патент US6339757, действующий ещё три года и описывающий метод оптимизации битового распределения для цифровых звуковых сигналов. Патент US6339757 специфичен только для отдельных кодировщиков и не затрагивает декодировщики, а также кодировщик ac3enc.c от проекта ffmpeg, в котором не выполнятся корректировка битового потока после инициализации. Данный патент не включён в официальных список патентов ETSI IPR для AC-3 и применяется для точечных ударов на конкретные реализации кодировщиков.

  1. OpenNews: В Fedora добавлена встроенная поддержка MP3
  2. OpenNews: В Fedora добавлена встроенная поддержка H.264
  3. OpenNews: Проект Debian обозначил свою позицию в отношении патентов на ПО
  4. OpenNews: Лидер Debian предложил добиться соответствия требованиям Фонда СПО к полностью свободным дистрибутивам
  5. OpenNews: Формат GIF теперь полностью свободен
Обсуждение (68 +39) | Тип: К сведению |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor TopList