В ближайшее время ожидается обновление продукта ONLYOFFICE DesktopEditors, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная интеграция с ONLYOFFICE.

В OnlyOffice заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины для создания шаблонов и добавления видео с YouTube. Готовые сборки сформированы для Windows и Linux (deb- и rpm-пакеты).

• В редакторе документов добавлена поддержка вставки таблицы рисунков, которая похожа на оглавление документа, но перечисляет используемые в документе рисунки, диаграммы, формулы и таблицы.
• В табличном процессоре появились настройки для проверки данных, позволяющие ограничить тип данных, вводимых в заданную ячейку таблицы, а также предоставить возможность ввода на основе выпадающих списков.

  В табличном процессоре реализована возможность вставки срезов (slicer) в сводные (pivot) таблицы, позволяющих наглядно оценить работу фильтров для понимания того, какие именно данные показаны.

  

  Предоставлена возможность отмены автоматического расширения таблиц. Добавлены функции GROWTH, TREND, LOGEST, UNIQUE, MUNIT и RANDARRAY. Добавлена возможность определения собственных форматов чисел.

  
• В редактор презентаций добавлена кнопка для увеличения или уменьшения шрифта, а также предоставлена возможность настройки автоформатирования данных по мере ввода.
• В различных диалоговых окнах добавлена возможность использования Tab и Shift+Tab.
• Предоставлена возможность установки размера шрифта в 300pt (409pt для электронных таблиц).
• Добавлен перевод на белорусский язык.
• Для бета-выпусков реализован специальный индикатор в панели инструментов.

Кроме того, опубликован новый выпуск платформы OnlyOffice AppServer, позволяющей создавать собственные масштабируемые офисные системы на основе модулей OnlyOffice. Среди развиваемых модулей (не все пока доступны): People (управления группами), Documents (управление и совместная работа с документами), Chat (обмен сообщениями), Mail (электронная почта), Calendar (календарь-планировщик), Projects (управление проектами и отслеживание решения поставленных задач), CRM (организация взаимодействия с клиентами и управление продажами).

1. Главная ссылка к новости
2. OpenNews: Выпуск офисного пакета OnlyOffice 6.0
3. OpenNews: Новая версия ONLYOFFICE c интерфейсом на основе вкладок
4. OpenNews: Новая версия онлайн-редакторов документов ONLYOFFICE 5.1
5. OpenNews: Новый выпуск редакторов ONLYOFFICE с поддержкой макросов
6. OpenNews: Опубликовано приложение для интеграции ONLYOFFICE с ownCloud

В новом выпуске:

• Осуществлён переход на новую LTS-ветку платформы Node.js 14 (ранее использовалась ветка 12.x).
• Добавлен новый API webFrameMain для доступа из основного процесса к информации о RenderFrame, выполняемых в отдельных экземплярах WebContents. API webFrameMain эквивалентен API webFrame, но может использоваться из основного процесса.
• В API BrowserWindow добавлены методы BrowserWindow.isTabletMode() и win.setTopBrowserView(), а также параметр webPreferences.preferredSizeMode и события system-context-menu, resized (Windows/macOS) и moved (Windows).
• По умолчанию активированы настройки contextIsolation и worldSafeExecuteJavaScript, включающие дополнительную изоляцию и механизмы защиты при выполнении JavaScript.
• По умолчанию активирована настройка crashReporter.start({ compress }). Удалён устаревший API crashReporter.
• Обеспечена возможность доступа к необъектным API через метод exposeInMainWorld в contextBridge.
• В API для разработки дополнений добавлены отдельные элементы API chrome.management.
• Устаревший модуль "remote" заменён на "@electron/remote".

Напомним, что Electron позволяет создавать любые графические приложения с использованием браузерных технологий, логика работы которых определяется на JavaScript, HTML и CSS, а функциональность может быть расширена через систему дополнений. Разработчикам доступны модули Node.js, а также расширенный API для формирования нативных диалогов, интеграции приложений, создания контекстных меню, интеграции с системой вывода уведомлений, манипуляции окнами, взаимодействия с подсистемами Chromium.

В отличие от web-приложений, программы на базе Electron поставляются в виде самодостаточных исполняемых файлов, не привязанных к браузеру. При этом разработчику не нужно заботиться о портировании приложения для различных платформ, Electron обеспечит возможность сборки для всех систем, поддерживаемых в Chromium. Electron также предоставляет средства для организации автоматической доставки и установки обновлений (обновления можно доставлять как с отдельного сервера, так и напрямую с GitHub).

Из программ, построенных на базе платформы Electron можно отметить редактор Atom, почтовые клиенты Nylas и Mailspring, инструментарий для работы с Git GitKraken, система ведения блогов WordPress Desktop, BitTorrent-клиент WebTorrent Desktop, а также официальные клиенты к таким сервисам, как Skype, Signal, Slack, Basecamp, Twitch, Ghost, Wire, Wrike, Visual Studio Code и Discord. Всего в каталоге программ Electron представлено 1016 приложений. Для упрощения разработки новых приложений подготовлен набор типовых демонстрационных приложений, включающих примеры кода для решения различных задач.

1. Главная ссылка к новости
2. OpenNews: Выпуск Electron 11.0.0, платформы создания приложений на базе движка Chromium
3. OpenNews: В сборки Chromium и Electron будет добавлена поддержка Wayland
4. OpenNews: Платформа Electron прекращает поддержку 32-разрядных систем Linux
5. OpenNews: Выпуск серверной JavaScript-платформы Node.js 14.0
6. OpenNews: Релиз Chrome 89

Старый и новый тарифы подразумевают отказ от получения услуг технической поддержки и продаются по одной цене - 349 долларов в год. Отличие в том, что новый тариф допускает использование RHEL только на физических серверах, а старый позволял устанавливать дистрибутив и на виртуальные машины. Кроме того, у нового тарифа появилось примечание, что он не предназначен для рабочих внедрений (production environment). Таким образом, пользователи, запускающие RHEL в виртуальных машинах, теперь вынуждены использовать стандартный тариф с технической поддержкой, стоимость которого составляет $799 в год.

Кроме того, представители Red Hat пояснили, что расширенная после сворачивания классического CentOS программа Red Hat Developer, позволяющая бесплатно использовать RHEL в окружениях, насчитывающих до 16 виртуальных или физических систем, распространяется только на индивидуальных разработчиков, а не на предприятия. Т.е. сотрудники компании могут использовать дистрибутивы по подписке Red Hat Developer только в личных целях, но для коммерческого применения RHEL на предприятии требуется покупка лицензии.

1. Главная ссылка к новости
2. OpenNews: Red Hat Enterprise Linux стал бесплатен для организаций, развивающих открытое ПО
3. OpenNews: Red Hat представил бесплатные варианты Red Hat Enterprise Linux
4. OpenNews: Эмуляция сборки Red Hat Enterprise Linux на базе Fedora Rawhide
5. OpenNews: Red Hat объясняет трансформацию CentOS желанием сделать более открытой разработку RHEL
6. OpenNews: Red Hat прекращает разработку CentOS 8 в пользу тестового CentOS Stream

Flutter рассматривается как альтернатива React Native и позволяет на основе одной кодовой базы выпускать приложения для разных платформ, включая iOS, Android, Windows, macOS и Linux, а также приложения для запуска в браузерах. Ранее написанные на Flutter 1 мобильные приложения после перехода на Flutter 2 без переписывания кода смогут быть адаптированы для работы на рабочем столе и в Web.

Основная часть кода Flutter реализована на языке Dart, а runtime-движок для выполнения приложений написан на C++. При разработке приложений, помимо родного для Flutter языка Dart, можно использовать интерфейс Dart Foreign Function для вызова кода на C/C++. Высокая производительность выполнения достигается благодаря компиляции приложений в машинный код для целевых платформ. При этом программу не нужно перекомпилировать после каждого изменения - Dart предоставляет режим горячей перезагрузки, позволяющий вносить изменения в работающее приложение и сразу оценивать результат.

Во Flutter 2 заявлена полноценная поддержка создания приложений для Web, пригодная для рабочих внедрений. Упоминается три основных сценария применения Flutter для Web: разработка обособленных web-приложений (PWA, Progressive Web Apps), создание одностраничных web-приложений (SPA, Single page apps) и преобразование мобильных приложений в web-приложения. Из особенностей средств разработки для Web называется задействование механизмов ускорения отрисовки 2D и 3D-графики, гибкая компоновка элементов на экране и компилируемый в WebAssembly движок отрисовки CanvasKit.

Поддержка приложений для рабочего стола находится на стадии бета-тестирования и будет стабилизирована в этом году в одном из следующих выпусков. О поддержке разработки с использованием Flutter заявили компании Canonical, Microsoft и Toyota. Компания Canonical выбрала Flutter в качестве основного фреймворка для своих приложений и в том числе применяет Flutter при разработке нового инсталлятора для Ubuntu. Компания Microsoft адаптировала Flutter для складных устройств с несколькими экранами, таких как Surface Duo. Компания Toyota планирует использовать Flutter для автомобильных информационно-развлекательных систем. На основе Flutter также построена пользовательская оболочка развиваемой в Google микроядерной операционной системы Fuchsia.

Одновременно опубликован релиз языка программирования Dart 2.12, в котором продолжено развитие кардинально переработанной ветки Dart 2. Dart 2 отличается от изначального варианта языка Dart применением сильной статической типизации (типы могут выводиться автоматически, поэтому указание типов не является обязательным, но динамическая типизация больше не используется и вычисленный изначально тип закрепляется за переменной и в дальнейшем применяется строгая проверка типа).

Выпуск примечателен стабилизацией режима безопасного использования значения "Null" (null safety), который позволят избежать крахов, вызванных попытками использования переменных, значение которых не определено и выставлено в "Null". Режим подразумевает, что переменные не могут иметь неопределённые значения, если им явно не присваивается значение null. В режиме строго учитываются типы переменных, что позволяет компилятору применять дополнительные оптимизации. Соответствие типов проверяется на этапе компиляции, например, в случае попытки присвоения значения "Null" переменной с типом, не подразумевающим неопределённое состояние, таким как "int", будет выведена ошибка.

Другим важным улучшением Dart 2.12 стала стабильная реализация библиотеки FFI, позволяющей создавать высокопроизводительный код, из которого можно обращаться к API на языке Си. Внесены оптимизации производительности и размера. Добавлены инструменты для разработчиков и система профилирования кода, написанные с использованием Flutter, а также новые плагины для разработки приложений на Dart и Flutter для Android Studio/IntelliJ и VS Code.

1. Главная ссылка к новости
2. OpenNews: Google и Canonical реализовали во Flutter возможность создания десктоп-приложений для Linux
3. OpenNews: В ОС Fuchsia работают над поддержкой запуска немодифицированных Linux-программ
4. OpenNews: Язык Dart утверждён ассоциацией Ecma в качестве международного стандарта
5. OpenNews: Выпуск языка программирования Dart 2.0
6. OpenNews: Для Ubuntu Desktop развивается новый инсталлятор

В частности, предложенные в 5.12-rc1 изменения нарушили нормальную работу с файлом подкачки и привели к потере смещения начала данных подкачки в ФС, что привело к катастрофическим результатам - перетиранию содержимого ФС случайными данными подкачки. Проблема затрагивает только системы с файлом подкачки (swapfile) и не проявляется при использовании для подкачки отдельного дискового раздела.

1. Главная ссылка к новости
2. OpenNews: В ядро Linux 5.12 принята подсистема KFence для выявления ошибок при работе с памятью
3. OpenNews: Ubuntu переходит на использование файла подкачки вместо раздела подкачки
4. OpenNews: Релиз ядра Linux 5.11
5. OpenNews: Линус Торвальдс пояснил, в чём проблемы реализации ZFS для ядра Linux
6. OpenNews: Проблема с потерей данных на SSD при использовании ядра Linux 5.1, LVM и dm-crypt

Кроме того, для предприятий и для тех, кому необходимо больше времени на обновление, раз в 8 недель будет выпускаться редакция Extended Stable, которая позволит переходить на новые функциональные выпуски не раз в 4 недели, а раз в 8 недель. На всём протяжении сопровождения выпусков Extended Stable раз в две недели будут формироваться обновления с устранением уязвимостей. Для Chrome OS также планируется сопровождать одновременно несколько стабильных релизов и публиковать обновления с устранением уязвимостей для прошлого стабильного выпуска, после доступного очередного функционального релиза.

1. Главная ссылка к новости
2. OpenNews: Python переходит на новый цикл формирования значительных выпусков
3. OpenNews: Firefox переходит на сокращённый цикл подготовки релизов
4. OpenNews: Firefox на пути сокращения цикла разработки и отказа от XUL
5. OpenNews: Google запретил использование Google API в сторонних браузерах на основе Chromium
6. OpenNews: Релиз Chrome 89

Основные изменения:

• Добавлена опция "быстрой битвы", чтобы игроки могли мгновенно одерживать победы в простых битвах.
• Для SDL2-версии добавлена гибкая настройка оконного режима: теперь окно игры можно растянуть до необходимого размера.
• ИИ стал еще умнее и изобретательнее. Теперь игроки не смогут так легко и без потерь проводить свои битвы с соперником.
• В игре появился просмотр карты мира. Данная опция ещё нуждается в незначительной полировке, но пользователи уже вполне могут получать нужную им информацию об игровом окружении.
• Завершена реализация быстрого разделения существ при помощи мыши: теперь в несколько кликов можно мгновенно упорядочить войска по вашему желанию.
• Добавлена частичная поддержка кампании, где можно поиграть несколько первых миссий за обе фракции. Но не забывайте, что проект еще в разработке, поэтому полная кампания будет доступна только ближе к выходу финальной 1.0 версии.
• За последний месяц было исправлено свыше 50 ошибок и переписано значительное количество кода в целях оптимизации, ускорения движка и исправления потенциальных проблем.

1. Главная ссылка к новости
2. OpenNews: Возрождение проекта Free Heroes of Might and Magic II
3. OpenNews: Выпуск движка Free Heroes of Might and Magic II 0.9

Сообщество сможет не только принимать участие в наполнении поисковых индексов, но и участвовать в создании альтернативных моделей ранжирования для недопущения цензурирования и однобокой подачи материала. Для выбора наиболее релевантных материалов в Cliqz применяется модель на основе анализа анонимного лога запросов и кликов, совершаемых пользователями в браузере. Участие в накоплении подобных данных будет по желанию. Вместе с сообществом также будет развиваться система Goggles, предлагающая предметно-ориентированный язык для написания фильтров результатов поиска. Пользователь сможет сам выбирать фильтры с которыми он согласен и отключать те, что считает неприемлемыми.

Финансирование работы поисковой системы будет осуществляться за счёт рекламы. Пользователям будет предложено два варианта - платный доступ без рекламы и бесплатный доступ с рекламой, при показе которой не будет применяться отслеживание пользователей. Интеграция с браузером позволит реализовать передачу информации о предпочтениях под контролем пользователя и без нарушения конфиденциальности, а также даст возможность добавить такие функции, как мгновенное уточнение результата по мере набора запроса. Для интеграции поисковой системы с некоммерческими проектами будет предоставлен открытый API.

Напомним, что web-браузер Brave развивается под руководством Брендана Айка (Brendan Eich), создателя языка JavaScript и бывшего руководителя Mozilla. Браузер построен на базе движка Chromium, сосредоточен на оберегании приватности пользователей, включает интегрированный движок для вырезания рекламы, может работать через Tor, предоставляет встроенную поддержку HTTPS Everywhere, IPFS и WebTorrent, предлагает альтернативный баннерам механизм финансирования издателей на основе подписки. Код проекта распространяется под свободной лицензией MPLv2.

Интересно, что в своё время компания Mozilla пыталась интегрировать Cliqz в Firefox (компания Mozilla была одним из инвесторов Cliqz), но эксперимент был провален из-за недовольства пользователей утечкой своих данных. Проблема была в том, что для обеспечения работы встроенного дополнения Cliqz все вводимые в адресной строке данные передавались на сервер сторонней коммерческой компании Cliqz GmbH, которая получала доступ к информации об открываемых пользователем сайтах и вводимых через адресную строку запросах. Утверждалось, что данные передаются анонимно и никак не привязываются к пользователю, но при этом компании известны IP-адреса пользователя и невозможно удостовериться в том, что привязка к IP удаляется, данные не оседают в логах или скрыто не используются для определения предпочтений.

1. Главная ссылка к новости
2. OpenNews: В Brave выявлена утечка через DNS сведений об открываемых в Tor-режиме onion-сайтах
3. OpenNews: В браузер Brave встроена поддержка распределённой сети IPFS
4. OpenNews: В браузере Brave выявлена подстановка реферального кода при открытии некоторых сайтов
5. OpenNews: Выпуск браузера Brave 1.0, развиваемого при участии создателя JavaScript
6. OpenNews: В браузер Brave интегрировано обращение к archive.org для просмотра удалённых страниц

Offline-режим подразумевает установку обновлений не во время работы, а на начальном этапе загрузки системы, на котором обновляемые компоненты не могут привести к конфликтам и проблемам в работе уже запущенных приложений. В качестве примера проблем, которые возникали при установке обновлений на лету, упоминается необходимость перезапуска Firefox, крахи запущенных экземпляров файлового менеджера Dolphin и сбои в работе экрана блокировки системы.

При инициировании обновления системы через интерфейс Discover обновления теперь не будут устанавливаться сразу - после загрузки необходимых пакетов будет выведено уведомление о необходимости перезагрузки системы для завершения обновления. При использовании других интерфейсов управления пакетами, таких как pkcon и apt-get, обновления как и раньше будут установлены сразу. Прежнее поведение также сохранится для пакетов в форматах flatpak и snap.

Напомним, что проект KDE neon создан Джонатаном Ридделом (Jonathan Riddell), смещённым с поста лидера дистрибутива Kubuntu, с целью предоставления возможности установки свежих версий программ и компонентов KDE. Сборки и связанные с ними репозитории обновляются сразу после выхода релизов KDE, без необходимости ожидания появления новых версий в репозиториях дистрибутивов. В инфраструктуре проекта задействован сервер непрерывной интеграции Jenkins, который периодически сканирует содержимое серверов на предмет появления новых релизов. При выявлении новых компонентов стартует специальный сборочный контейнер на базе Docker, в котором оперативно формируется обновление пакетов.

1. Главная ссылка к новости
2. OpenNews: В Fedora 18 будут доступны offline-обновления и пакетный менеджер DNF
3. OpenNews: В GNOME 3.6 ожидается реализация offline-обновления системы
4. OpenNews: Red Hat и SUSE объединили усилия в продвижении механизмов обновления ядра без перезагрузки
5. OpenNews: Возможно, скомпрометировано одно из зеркал проекта KDE neon
6. OpenNews: Выпуск KDE Neon на базе Ubuntu 20.04

В отличие от прошлых выпусков openSUSE Leap, версия 15.3 построена не через пересборку src-пакетов SUSE Linux Enterprise, а с использованием единого с SUSE Linux Enterprise 15 SP 3 набора бинарных пакетов. Предполагается, что использование одних и тех же бинарных пакетов в SUSE и openSUSE упростит миграцию от одного дистрибутива к другому, сэкономит ресурсы на сборку пакетов, распространение обновлений и тестирование, унифицирует различия в spec-файлах и позволит отойти от диагностики разных сборок пакетов при разборе сообщений об ошибках. Рабочий стол Xfce обновлён до ветки 4.16.

1. Главная ссылка к новости
2. OpenNews: Arch Linux, Fedora, Debian, Slackware и openSUSE могут отказаться от поставки Chromium
3. OpenNews: openSUSE обеспечит предсказуемый процесс формирования релизов
4. OpenNews: Chromium будет удалён из репозиториев openSUSE, если не найдётся новый сопровождающий
5. OpenNews: Альфа-выпуск дистрибутива openSUSE Jump с бинарными пакетами из SUSE Linux Enterprise
6. OpenNews: Релиз дистрибутива openSUSE Leap 15.2

В новом выпуске:

• Выполнена синхронизация с веткой FreeBSD 12.2 (p4);
• В инсталляторе реализована установка подходящего графического драйвера и решены проблемы с загрузкой через UEFI.
• Улучшено автоматическое определение графического драйвера. Если драйвер не подобран то обеспечен откат на драйверы VESA или SCFB.
• Улучшена поддержка тачпадов. Добавлена утилита DSBXinput для упрощения настройки мыши и тачпада.
• Добавлен rc-скрипт для сохранения и восстановления параметров яркости экрана.
• Добавлен графический интерфейс для упрощения установки Linux-сборок Chrome, Brave и Vivaldi, через которые можно работать с Netflix, Prime Video и Spotify.
• Добавлена возможность выбора альтернативного оконного менеджера при нажатии F1 на экране входа в систему.
• Вместо wifimgr для настройки беспроводного соединения задействован NetworkMgr.
• Подсистема для автозапуска программ приведена в соответствие со спецификациями XDG.
• Оставшееся место на диске теперь монтируется в раздел /data. Обеспечено автоматическое создание точек монтирования /compat, /var/tmp, /var/db и /usr/ports.
• Из-за устаревания драйвера drm-legacy-kmod прекращена поддержка ускорения графики для архитектуры i386 при использовании GPU Intel и AMD.

1. Главная ссылка к новости
2. OpenNews: Началось бета-тестирование FreeBSD 13.0
3. OpenNews: Выпуск GhostBSD 21.01.15
4. OpenNews: Выпуск операционной системы MidnightBSD 2.0
5. OpenNews: Выпуск дистрибутива NomadBSD 1.3.2

Основные изменения в Chrome 89:

• Версия Chrome для Android отныне сможет запускаться только на устройствах, сертифицированных в Play Protect. В виртуальных машинах и эмуляторах Chrome для Android сможет использоваться если эмулируется допустимое устройство или эмулятор разработан в Google. Проверить сертифицировано устройство или нет можно в приложении Google Play в секции настроек (на странице с настройками в самом низу показан статус "Play Protect certification"). Для несертифицированных устройств, например при использовании сторонних прошивок, для запуска Chrome пользователям предлагается зарегистрировать свои устройства.
• Для небольшого процента пользователей включено открытие сайтов по умолчанию через HTTPS при наборе имён хостов в адресной строке. Например, при вводе хоста example.com по умолчанию будет открыт сайт https://example.com, а если при открытии возникли проблемы будет выполнен откат до http://example.com. Для управления использованием по умолчанию "https://" предложена настройка "chrome://flags#omnibox-default-typed-navigations-to-https".
• Включена переработанная реализация профилей, позволяющих разным пользователям разделить свои учётные записи при работе через один браузер. Например, при помощи профилей можно организовать доступ членам семьи или разделить сеансы, используемые для работы и личных интересов. Пользователь может создать новый профиль Chrome и настроить его активацию при подключении к определённой учётной записи в Google, что позволяет разным пользователям разделять закладки, настройки и историю посещений.

  В новой реализации упрощено переключение между профилями и обеспечено наглядное разделение сеансов. Браузер теперь определяет попытки входа на сайтах Google в другую учётную запись, - если эта учётная запись привязана к другому профилю, пользователю будет предложено переключиться на этот профиль. При наличии у одного пользователя привязки к нескольким профилям, предоставлена возможность выбора желаемого профиля. Возможна настройка для профилей своих цветовых схем и тем оформления, что позволяет добиться визуального разделения сеансов разных пользователей. Добавлена возможность открытия интерфейса для выбора профиля после запуска браузера.

  
• Включено отображение эскизов содержимого при наведении курсора на вкладки в верхней панели. Ранее предпросмотр содержимого вкладок был отключён по умолчанию и требовал изменения настройки "chrome://flags/#tab-hover-cards".
• Для части пользователей включена функция "Список чтения" (Reading List, "chrome://flags#read-later"), при активации которой при нажатии на звёздочку в адресной строке помимо кнопки "Добавить закладку" появляется вторая кнопка "Добавить в список чтения", а в правом углу панели закладок появляется меню "Список чтения", в котором перечислены все ранее добавленные в список страницы. При открытии страницы из списка она помечается прочитанной. Страницы в списке также могут быть отмечены прочитанными и непрочитанными вручную или удалены из списка.
• Для пользователей, входящих в учётную запись Google, без включения Chrome Sync предоставлен доступ к методам платежей и паролям, сохранённым в учётной записи Google. Возможность включена для части пользователей и постепенно будет доведена до остальных.
• Включена поддержка быстрого поиска вкладок, которая ранее требовала активации через флаг "chrome://flags/#enable-tab-search". В правом углу панели вкладок появилась новая кнопка со стрелкой вниз, при нажатии на которую появляется форма поиска, через которую можно просмотреть список всех открытых вкладок и быстро отфильтровать нужную вкладку, независимо от того в текущем или другом окне она находится. Функция также доступна через комбинацию клавиш "Ctrl+Shift+A".
• Для всех пользователей прекращена обработка ввода отдельных слов в адресной строке как попыток открытия внутренних сайтов. Ранее, в случае ввода одного слова в адресной строке, браузер вначале пытался в DNS определить наличие хоста с таким именем, полагая, что пользователь пытается открыть поддомен, и уже потом перенаправлял запрос поисковой системе. Таким образом, владелец DNS-сервера, указанного в настройках пользователя, получал сведения о состоящих из одного слова поисковых запросах, что оценивалось как нарушение конфиденциальности. Для предприятий, использующих интернет-хосты без поддомена (например, "https://helpdesk/") предоставлена опция для возвращения старого поведения.
• Предоставлена возможность закрепления версии дополнения или приложения. Например, для использования на предприятии только проверенных дополнений администратор при помощи новой политики ExtensionSettings может настроить Chrome для использования собственного URL для загрузки обновлений, вместо URL указанного в манифесте дополнения.
• На системах x86 для работы браузера теперь обязательна поддержка процессором инструкций SSE3, которые поддерживаются процессорами Intel начиная с 2004 года, а AMD - c 2005 года.
  
  
  
• Добавлены дополнительные API, нацеленные на предоставление функциональности, которая сможет заменить сторонние Cookie, применяемые для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики. Предложены для тестирования следующие API:
  • Trust Token для разделения пользователей без использования межсайтовых идентификаторов.
  • First party sets - позволяет связанным доменам объявить себя первичными для того, чтобы браузер мог учесть эту связь при межсайтовых обращениях.
  • Schemeful Same-Site для распространения понятия same-site на разные схемы URL, т.е. http://website.example и https://website.examplе будут обработаны как один сайт при межсайтовых запросах.
  • Floc для определения категории интересов пользователя без проведения индивидуальной идентификации и без привязки к истории посещения конкретных сайтов.
  • Conversion Measurement для оценки активности пользователя после перехода на рекламу.
  • User-Agent Client Hints для замены User-Agent и выборочной отдачи данных о конкретных параметрах браузера и системы (версия, платформа и т.д.).
• Добавлен API Serial, позволяющий сайтам читать и записывать данные через последовательный порт. В качестве причины появления подобного API называется возможность создавать web-приложения для прямого управления такими устройствами как микроконтроллеры и 3D-принтеры. Для получения доступа к периферийному устройству требуется явное подтверждение пользователем полномочий.
• Добавлен API WebHID для низкоуровневого доступа к HID-устройствам (Human interface device, клавиатуры, мыши, геймпады, сенсорные панели), позволяющим реализовать логику работы с HID-устройством на JavaScript для организации работы с редкими HID-устройствами без наличия в системе специфичных драйверов. Прежде всего новый API нацелен на предоставление поддержки геймпадов.
• Добавлен API Web NFC, позволяющий web-приложениям читать и записывать NFC-тэги. Среди примеров применения нового API в web-приложениях отмечается предоставление информации о музейных экспонатах, проведение инвентаризации, получение сведений с бейджей участников конференций и т.п. Отправка и сканирование тегов производится при помощи объектов NDEFWriter и NDEFReader.
• API Web Share (объект navigator.share) выведен за рамки мобильных устройств и теперь доступен пользователям настольных браузеров (пока только для Windows и Chrome OS). API Web Share предоставляет средства для обмена информацией в социальных сетях, например, позволяет сгенерировать унифицированную кнопку для публикации в социальных сетях, которыми пользуется посетитель, или организовать отправку данных другим приложениям.
• В версиях для Android и компоненте WebView включена поддержка декодирования формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1 (в настольных версиях поддержка AVIF была включена ещё в Chrome 85). Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR).
• Добавлен новый Reporting API для получения информации о нарушении правил безопасного использования на странице привилегированных операций, заданных через заголовок COOP (Cross-Origin-Opener-Policy), который также позволяет перевести COOP в режим отладки, работающий без блокировки нарушений правил.
• Добавлена функция performance.measureUserAgentSpecificMemory(), определяющая размер памяти, израсходованный при обработке страницы.
• Для соответствия требованиям web-стандарта все URL "data:" теперь обрабатываются как потенциально заслуживающие доверия, т.е. являются частью защищённого контекста.
• В API Streams добавлена поддержка потоков байтов (Byte Streams), которые специально оптимизированы для эффективной передачи произвольных наборов байтов и минимизируют число операций копирования с данными. Вывод потока может быть записан в такие примитивы как строки или ArrayBuffer.
• В элементах SVG реализована поддержка полного синтаксиса свойства "filter", что позволяет одновременно применять к SVG и не SVG элементам такие функции фильтрации, как blur(), sepia() и grayscale().
• В CSS реализован псевдо-элемент "::target-text", который можно использовать для выделения фрагмента на который был переход по тексту (scroll-to-text) другим стилем, чем используется браузером при подсветке найденного.
• Добавлены CSS-свойства для управления скруглением углов: border-start-start-radius, border-start-end-radius, border-end-start-radius, border-end-end-radius.
• Добавлено CSS-свойство forced-colors для определения того, применяет ли браузер на странице заданную пользователем ограниченную цветовую палитру.
• Добавлено CSS-свойство forced-color-adjust для отключения принудительного ограничения цветов для отдельных элементов, оставляя для них полные возможности управления цветами через CSS.
• В JavaScript разрешено использование ключевого слова await в модулях на верхнем уровне, что позволяет более мягко интегрировать асинхронные вызовы в процесс загрузки модулей и обойтись без упаковки в "async function". Например, вместо

  
     (async function() {
       await Promise.resolve(console.log('test'));
     }());
  

  теперь можно писать

  
     await Promise.resolve(console.log('test'));
  

• В JavaScript-движке V8 ускорен вызов функций, в ситуации, когда число переданных аргументов не соответствует определённым в функции параметрам. При расхождении числа аргументов в режиме без JIT производительность возросла на 11.2%, а при использовании JIT TurboFan на 40%.
• Внесена большая порция мелких улучшений в инструменты для web-разработчиков.

Кроме нововведений и исправления ошибок в новой версии устранено 47 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. При этом отмечается, что одна из исправленных уязвимостей (CVE-2021-21166), связанная с временем жизни объектов в звуковой подсистеме, имеет характер 0-day проблемы и до исправления применялась в одном из эксплоитов. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 33 премии на сумму 61000 долларов США (две премии $10000, две премии $7500, три премии $5000, две премии $3000, четыре $1000 и две премии $500). Размер 18 вознаграждений пока не определён.

1. Главная ссылка к новости
2. OpenNews: Релиз Chrome 88
3. OpenNews: В Chrome началась активация IETF QUIC и HTTP/3
4. OpenNews: В Chrome экспериментируют с показом рекламы на странице новой вкладки
5. OpenNews: В Chrome намерены удалить поддержку технологии Server Push
6. OpenNews: В Firefox, Chrome, Edge и Safari заблокирован сертификат, используемый для перехвата трафика в Казахстане

Напомним, что в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot используется небольшая прослойка shim, заверенная цифровой подписью Microsoft. Данная прослойка верифицирует GRUB2 собственным сертификатом, что позволяет разработчикам дистрибутивов не заверять каждое обновление ядра и GRUB в Microsoft. Уязвимости в GRUB2 позволяют добиться выполнения своего кода на этапе после успешной верификации shim, но до загрузки операционной системы, вклинившись в цепочку доверия при активном режиме Secure Boot и получив полный контроль за дальнейшим процессом загрузки, в том числе для загрузки другой ОС, модификации компонентов операционной системы и обхода защиты Lockdown.

Как и в случае с прошлогодней уязвимостью BootHole, для блокирования проблемы недостаточно обновить загрузчик, так как атакующий, независимо от используемой операционной системы, может для компрометации UEFI Secure Boot использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью. Проблема решается только обновлением списка отозванных сертификатов (dbx, UEFI Revocation List), но в этом случае будет потеряна возможность использования старых установочных носителей c Linux.

На системах с прошивками, в которых обновлён список отозванных сертификатов, в режиме UEFI Secure Boot можно будет загрузить только обновлённые сборки дистрибутивов Linux. Дистрибутивам же потребуется обновить инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку, сгенерировав для них новые цифровые подписи. Пользователи должны будут обновить установочные образы и иные загрузочные носители, а также загрузить список отозванных сертификатов (dbx) в прошивку UEFI. До обновления dbx в UEFI система остаётся уязвимой независимо от установки обновлений в ОС. Статус устранения уязвимостей можно оценить на данных страницах: Ubuntu, SUSE, RHEL, Debian.

Для решения проблем, возникающих при распространении отозванных сертификатов, в будущем планируется задействовать механизм SBAT (UEFI Secure Boot Advanced Targeting), поддержка которого реализована для GRUB2, shim и fwupd, и начиная со следующих обновлений будет использоваться вместо функциональности, предоставляемой пакетом dbxtool. SBAT разработан совместно с Microsoft и подразумевает добавление в исполняемые файлы компонентов UEFI новых метаданных, которые включают информацию о производителе, продукте, компоненте и версии. Указанные метаданные заверяются цифровой подписью и могут дополнительно включаться в списки разрешённых или запрещённых компонентов для UEFI Secure Boot. Таким образом, SBAT позволит при отзыве манипулировать номерами версий компонентов без необходимости перегенерации ключей для Secure Boot и без формирования новых подписей для ядра, shim, grub2 и fwupd.

Выявленные уязвимости:

• CVE-2020-14372 - при помощи команды acpi в GRUB2 привилегированный пользователь локальной системы может загрузить модифицированные таблицы ACPI, разместив SSDT (Secondary System Description Table) в каталоге /boot/efi и изменив настройки в grub.cfg. Несмотря на активность режима Secure Boot, предложенный SSDT будет выполнен ядром и может использоваться для отключения защиты LockDown, блокирующей пути обхода UEFI Secure Boot. В итоге атакующий может добиться загрузки своего модуля ядра или запуска кода через механизм kexec, без проверки цифровой подписи.
• CVE-2020-25632 - обращение к уже освобождённой области памяти (use-after-free) в реализации команды rmmod, проявляющееся при попытке выгрузить любой модуль без учёта связанных с ним зависимостей. Уязвимость не исключает создание эксплоита, который может привести к выполнению кода в обход верификации Secure Boot.
• CVE-2020-25647 - запись за границы буфера в функции grub_usb_device_initialize(), вызываемой при инициализации USB-устройств. Проблема может быть эксплуатирована через подключение специально подготовленного USB-устройства, выдающего параметры, размер которых не соответствует размеру буфера, выделенного для структур USB. Атакующий может добиться выполнения кода, не верифицированного в Secure Boot, через манипуляции с USB-устройствами.
• CVE-2020-27749 - переполнение буфера в функции grub_parser_split_cmdline(), которое может быть вызвано указанием в командной строке GRUB2 переменных, размером более 1 КБ. Уязвимость позволяет добиться выполнения кода в обход Secure Boot.
• CVE-2020-27779 - команда cutmem даёт возможность атакующему удалить диапазон адресов из памяти для обхода Secure Boot.
• CVE-2021-3418 - изменения в shim_lock создали дополнительный вектор для эксплуатации прошлогодней уязвимости CVE-2020-15705. При установке в dbx сертификата, используемого для подписи GRUB2, GRUB2 позволял загрузить любое ядро напрямую без проверки подписи.
• CVE-2021-20225 - возможность записи данных за пределы буфера при запуске команд с очень большим числом опций.
• CVE-2021-20233 - возможность записи данных за границу буфера из-за неверного расчёта размера буфера при использовании кавычек. При расчёте размера предполагалось, что для экранирования одинарной кавычки требуется три символа, хотя на деле необходимо четыре.

1. Главная ссылка к новости
2. OpenNews: Критическая уязвимость в загрузчике GRUB2, позволяющая обойти UEFI Secure Boot
3. OpenNews: В обновлении GRUB2 выявлена проблема, приводящая к невозможности загрузки
4. OpenNews: Дистрибутивы устранили проблемы с обновлением GRUB2
5. OpenNews: Релиз менеджера загрузки GNU GRUB 2.04
6. OpenNews: Методы отключения защиты Lockdown в Ubuntu для удалённого обхода UEFI Secure Boot

Разработчики OpenSSH напомнили о грядущем переводе в разряд устаревших алгоритмов, использующих хеши SHA-1, в связи с повышением эффективности коллизионных атак с заданным префиксом (стоимость подбора коллизии оценивается примерно в 50 тысяч долларов). В одном из ближайших выпусков планируют отключить по умолчанию возможность использования алгоритма цифровых подписей по открытому ключу "ssh-rsa", который упоминается в оригинальном RFC для протокола SSH и остаётся широко распространённым на практике.

Для проверки применения ssh-rsa в своих системах можно попробовать подключиться по ssh с опцией "-oHostKeyAlgorithms=-ssh-rsa". При этом отключение по умолчанию цифровых подписей "ssh-rsa" не означает полный отказ от использования RSA-ключей, так как помимо SHA-1 протокол SSH допускает применение других алгоритмов вычисления хэшей. В частности, помимо "ssh-rsa" останется возможность использования связок "rsa-sha2-256" (RSA/SHA256) и "rsa-sha2-512" (RSA/SHA512).

Для сглаживания перехода на новые алгоритмы в OpenSSH 8.5 по умолчанию включена настройка UpdateHostKeys, которая позволяет автоматически перевести клиентов на более надёжные алгоритмы. При помощи указанной настройки включается специальное расширение протокола "hostkeys@openssh.com", позволяющее серверу после прохождения аутентификации информировать клиента о всех доступных ключах хоста. Клиент может отразить эти ключи в своём файле ~/.ssh/known_hosts, что позволяет организовать обновление ключей хоста и упрощает смену ключей на сервере.

Использование UpdateHostKeys ограничено несколькими оговорками, которые в будущем могут быть отменены: ключ должен упоминаться в UserKnownHostsFile и не использоваться в GlobalKnownHostsFile; ключ должен присутствовать только под одним именем; не должен применяться сертификат хостового ключа; в known_hosts не должно применяться масок по имени хоста; должна быть отключена настройка VerifyHostKeyDNS; должен быть активен параметр UserKnownHostsFile.

Среди рекомендуемых для миграции алгоритмов упомянуты rsa-sha2-256/512 на базе RFC8332 RSA SHA-2 (поддерживается с OpenSSH 7.2 и используется по умолчанию), ssh-ed25519 (поддерживается с OpenSSH 6.5) и ecdsa-sha2-nistp256/384/521 на базе RFC5656 ECDSA (поддерживается с OpenSSH 5.7).

Другие изменения:

• Изменения, связанные с безопасностью:
  • В ssh-agent устранена уязвимость, вызванная повторным освобождением уже освобождённой области памяти (double-free). Проблема проявляется с выпуска OpenSSH 8.2 и потенциально может быть эксплуатирована при наличии у атакующего доступа к сокету ssh-agent на локальной системе. Эксплуатацию усложняет то, что доступ к сокету имеют только root и исходный пользователь. Наиболее вероятным сценарием атаки является перенаправление агента на учётную запись, которая подконтрольна злоумышленнику, либо на хост, на котором у злоумышленника есть root-доступ.
  • В sshd добавлена защита от передачи очень больших параметров с именем пользователя в подсистему PAM, что позволяет блокировать уязвимости в системных модулях PAM (Pluggable Authentication Module). Например, изменение позволяет предотвратить использование sshd в качестве вектора для эксплуатации недавно выявленной root-уязвимости в Solaris (CVE-2020-14871).
• Изменения, потенциально нарушающие совместимость:
  • В ssh и sshd переработан экспериментальный метод обмена ключами, стойкий к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Используемый метод основан на алгоритме NTRU Prime, разработанном для постквантовых криптосистем, и методе обмена ключами на базе эллиптических кривых X25519. Вместо sntrup4591761x25519-sha512@tinyssh.org метод теперь идентифицируется как sntrup761x25519-sha512@openssh.com (алгоритм sntrup4591761 заменён на sntrup761).
  • В ssh и sshd изменён порядок анонсирования поддерживаемых алгоритмов цифровых подписей. Первым теперь предлагается ED25519 вместо ECDSA.
  • В ssh и sshd установка параметров качества обслуживания TOS/DSCP для интерактивных сеансов теперь производится до установки TCP-соединения.
  • В ssh и sshd прекращена поддержка шифра rijndael-cbc@lysator.liu.se, который идентичен aes256-cbc и использовался до утверждения RFC-4253.
  • По умолчанию отключён параметр CheckHostIP, польза от которого незначительна, но использование существенно усложняет ротацию ключей для хостов за балансировщиками нагрузки.
• В sshd добавлены настройки PerSourceMaxStartups и PerSourceNetBlockSize для ограничения интенсивности запуска обработчиков в привязке к адресу клиента. Указанные параметры позволяют более тонко управлять ограничением на запуск процессов, по сравнению с общей настройкой MaxStartups.
• В ssh и sshd добавлена новая настройка LogVerbose, позволяющая принудительно поднять уровень сбрасываемой в лог отладочной информации, с возможностью фильтрации по шаблонам, функциям и файлам.
• В ssh при принятии нового хостового ключа обеспечен показ всех имён хостов и IP-адресов, ассоциированных с ключом.
• В ssh разрешено указание опции UserKnownHostsFile=none для отключения использования файла known_hosts при идентификации хостовых ключей.
• В ssh_config для ssh добавлена настройка KnownHostsCommand, позволяющая получить данные known_hosts из вывода указанной команды.
• В ssh_config для ssh добавлена опция PermitRemoteOpen, позволяющая ограничить точку назначения при использовании опции RemoteForward с SOCKS.
• В ssh для ключей FIDO обеспечен повторный запрос PIN в случае сбоя операции с цифровой подписью из-за некорректного PIN и отсутствия запроса PIN у пользователя (например, когда не удалось получить корректные биометрические данные и устройство откатилось на ручной ввод PIN-а).
• В sshd в основанный на seccomp-bpf механизм изоляции процесса на платформе Linux добавлена поддержка дополнительных системных вызовов.
• Обновлена утилита contrib/ssh-copy-id.

1. Главная ссылка к новости
2. OpenNews: Релиз OpenSSH 8.4
3. OpenNews: Уязвимость в SSH-клиентах OpenSSH и PuTTY
4. OpenNews: Релиз OpenSSH 8.3 с устранением уязвимости в scp
5. OpenNews: Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутентификации FIDO/U2F
6. OpenNews: Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP

Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL и сохранена возможность применения как полноценных, так и легковесных тем оформления. Pale Moon построен на платформе UXP (Unified XUL Platform), в рамках которой выполнено ответвление компонентов Firefox из репозитория Mozilla Central, избавленных от привязок к коду на языке Rust и не включающих наработки проекта Quantum.

В новой версии:

• Реализован метод String.prototype.replaceAll(), возвращающий новую строку (исходная строка не меняется), в которой на основании заданного шаблона выполнены замены всех совпадений.
• Реализовано предложение по обработке любого JSON-текста как синтаксического подмножества ECMAScript, что позволяет использовать в строковых литералах символы разделения строк (U+2028) и разделения параграфов (U+2029).
• Обеспечено корректное форматирование строк, возвращаемых методом JSON.stringify().
• Добавлена поддержка разделителей для наглядного представления больших чисел в JavaScript (например, 1_000_000).
• Обновлены специфичные для отдельных сайтов переопределения значения User Agent.
• По умолчанию отключён кодек AV из-за проблем с потоковым вещанием.
• Перенесены исправления уязвимостей.

1. Главная ссылка к новости
2. OpenNews: Выпуск браузера Pale Moon 29.0
3. OpenNews: Проект Pale Moon блокировал доступ пользователей форка Mypal к каталогу дополнений
4. OpenNews: Взлом одного из серверов проекта Pale Moon с внедрением вредоносного ПО в архив старых выпусков
5. OpenNews: Создатели Pale Moon ввели в строй портал проектов на базе XUL
6. OpenNews: Позиция проекта Pale Moon в отношении XUL-дополнений