Основные новшества:

• Предоставлена возможность создания своей домашней страницы для каждого экземпляра PeerTube. На домашней странице можно привести информацию об узле, доступном содержимом, назначении и подписках. Добавление домашней странице осуществляется через меню Administration/ Configuration/ Homepage в формате Markdown или HTML. Возможна интеграция на страницу кнопок, видеоплеера, списков воспроизведения, миниатюр видео и каналов. Встроенные списки с видео обновляются автоматически.
• Добавлена поддержка поиска списков воспроизведения, которые теперь отражаются в результатах поиска при навигации в PeerTube и при использовании движка Sepia Search.
• Добавлена поддержка публикации сокращённых ссылок на видео и списки воспроизведения. Штатные 36-символные идентификаторы видео теперь могут публиковаться в 22-символьном формате, а вместо путей "/videos/watch/" и "/videos/watch/playlist/" можно указывать "/w/" и "/w/p/".
• Проведена оптимизация производительности. Извлечение информации о видео теперь осуществляется в два раза быстрее. Ускорено выполнение федеративных запросов. Ведётся работа по выявлению проблем в системах с очень большим числом пользователей, видео и связей с другими узлами.

Напомним, что PeerTube базируется на применении BitTorrent-клиента WebTorrent, запускаемого в браузере и использующего технологию WebRTC для организации прямого P2P-канала связи между браузерами, и протокола ActivityPub, позволяющего объединить разрозненные серверы с видео в общую федеративную сеть, в которой посетители участвуют в доставке контента и имеют возможность подписки на каналы и получения уведомлений о новых видео. Предоставляемый проектом web-интерфейс построен с использованием фреймворка Angular.

Федеративная сеть PeerTube образуется как содружество связанных между собой небольших серверов хостинга видео, на каждом из которых имеется свой администратор и могут быть приняты свои правила. Каждый сервер с видео выполняет роль BitTorrent-трекера, на котором размещены учётные записи пользователей данного сервера и их видео. Идентификатор пользователя формируются в форме "@имя_пользователя@домен_сервера". Передача данных при просмотре осуществляется непосредственно из браузеров других посетителей, просматривающих контент.

Если видео никто не просматривает, отдача организуется сервером, на который изначально загружено видео (используется протокол WebSeed). Помимо распределения трафика между пользователями, просматривающими видео, PeerTube также позволяет узлам, запущенным авторами для первичного размещения видео, кэшировать видео других авторов, формируя распределённую сеть не только из клиентов, но и из серверов, а также обеспечивая отказоустойчивость. Имеется поддержка потокового вещания (live streaming) с доставкой контента в режиме P2P (для управления стримингом могут использоваться типовые программы, такие как OBS).

Для начала вещания через PeerTube пользователю достаточно загрузить на один из серверов видеоролик, описание и набор тегов. После этого ролик станет доступен во всей федеративной сети, а не только с сервера первичной загрузки. Для работы с PeerTube и участия в распространении контента достаточно обычного браузера и не требуется установка дополнительного ПО. Пользователи могут отслеживать активности в выбранных видеоканалах, подписавшись на интересующие каналы в федеративных социальных сетях (например, в Mastodon и Pleroma) или через RSS. Для распространения видео с использованием P2P-коммуникаций пользователь также может добавить на свой сайт специальный виджет со встроенным web-плеером.

В настоящее время для размещения контента функционирует более 900 серверов, поддерживаемых разными добровольцами и организациями. Если пользователя не устраивают правила размещения видео на определённом сервере PeerTube, он может подключиться к другому серверу или запустить свой собственный сервер. Для быстрого развёртывания сервера предоставляется преднастроенный образ в формате Docker (chocobozzz/peertube).

1. Главная ссылка к новости
2. OpenNews: Выпуск децентрализованной видеовещательной платформы PeerTube 3.2
3. OpenNews: Выпуск PeerTube 3.0 с поддержкой децентрализованного потокового вещания
4. OpenNews: Релиз децентрализованной коммуникационной платформы Hubzilla 6.0
5. OpenNews: W3C стандартизировал протокол децентрализованных социальных сетей ActivityPub
6. OpenNews: В libtorrent добавлена поддержка протокола WebTorrent

Инсталлятор написан на языке Lua и реализован в форме http-сервера, предоставляющего web-интерфейс. Установочный образ представляет собой Live-систему, в которой запускается рабочее окружение с web-браузером, отображающим в однооконном режиме web-интерфейс инсталлятора. Серверный процесс инсталлятора и браузер запускаются на установочном носителе и выступают в роли бэкенда и фронтэнда. Дополнительно предоставляется возможность управления установкой с внешнего хоста.

Проект развивается с использованием модульной архитектуры. На основе выбранных пользователем параметров формируется конфигурационный файл, который используется в качестве сценария реальной установки. В отличие от скриптов установки, поддерживаемых в bsdinstall, файлы конфигурации нового инсталлятора имеют более жёстко определённую структуру и могут использоваться для создания альтернативных интерфейсов установки.

1. Главная ссылка к новости
2. OpenNews: Во FreeBSD-CURRENT завершён переход на bsdinstall в качестве инсталлятора по умолчанию
3. OpenNews: Первый релиз BSDInstaller-а готов к тестированию
4. OpenNews: Во FreeBSD 13 чуть не оказалась халтурная реализация WireGuard с нарушением лицензии и уязвимостями
5. OpenNews: Релиз FreeBSD 13.0
6. OpenNews: Выпуск дистрибутива helloSystem 0.5, использующего FreeBSD и напоминающего macOS

Выводы исследования не изменились: многие популярные дополнения, такие как Honey, Evernote Web Clippe и Avira Browser Safety, могут значительно снижать производительность открытия сайтов в Chrome. С другой стороны, отмечается, что дополнения для блокировки рекламы и обеспечения конфиденциальности могут существенно повышать производительность при просмотре сайтов, содержащих большое число рекламных блоков.

Особый интерес представляет исследование влияния применения блокировщиков рекламы на скорость открытия страниц. За счёт отключения кода, осуществляющего отрисовку рекламы и счётчиков, потребление процессорного времени при открытии сайтов The Independent и Pittsburgh Post-Gazette с использованием наиболее эффективного блокировщика Ghostery удалось снизить с 17.5 сек. до 1.7 сек, т.е. в 10 раз. Для менее эффективного из протестированных блокировщиков Trustnav потребление процессорного времени сократилось до 7.4 сек., т.е. на 57%.

Некоторые дополнения для блокировки рекламы активно расходуют процессорные ресурсы в фоне, что может несмотря на ускорение обработки страниц повысить общую нагрузку на систему. В комбинированном тесте, учитывающем нагрузку на CPU при открытии страницы и в фоне, наибольшую эффективность демонстрируют Ghostery и uBlock Origin.

При этом кроме ускорения обработки страниц при использовании блокировщиков рекламы значительно снижается трафик (от 43% до 66%) и число отправляемых сетевых запросов (от 83% до 90%).

Блокировщики рекламы также позволяют снизить потребление оперативной памяти, например, при использовании дополнения Disconnect потребление браузером памяти при открытии страниц The Independent и Pittsburgh Post-Gazette снижается с 574 MB до 260 MB, т.е. на 54%, что компенсирует затраты памяти на хранение списков блокировки.

При тестировании производительности дополнений, если рассматривать 100 самых популярных дополнений, при открытии страницы-заглушки наибольшее потребление ресурсов наблюдается в Evernote Web Clipper (потребляет 368 мс процессорного времени). Из дополнений потребляющих значительные ресурсы также можно отметить дополнение для обеспечения приватности Ghostery, видеомессенджер Loom for Chrome, дополнение для студентов Clever и менеджеры паролей Avira и LastPass, которые насчитывают более миллиона установок.

В тесте, осуществляющем открытие сайта apple.com, ситуация меняется и на первое место вырывается дополнение Dark Reader, которое тратит около 25 секунд процессорного времени (в основном из-за подгонки изображений под тёмное оформление). Значительные ресурсы также потребляет дополнение для поиска купонов Honey (+825мс)

При открытии сайта Toyota в лидеры по созданию паразитной нагрузки на CPU вырывается Norton Password Manager.

В выборке из 1000 самых популярных дополнений по потреблению ресурсов CPU во время обработки страницы лидируют дополнения: Ubersuggest (потребляет 1.6 секунд процессорного времени), ProWritingAid Grammar Checker (+658 мс), Meow (637 мс) и MozBar (+604 мс). По потреблению ресурсов в фоне лидируют: Avira Safe Shopping (+2.5 сек.), TrafficLight (+1.04 сек.), Virtru Email Protection (+817 мс) и Stylebot (655 мс). Наибольшее потребление памяти наблюдается у дополнений: AdBlocker by Trustnav (+215МБ), Ad-Blocker Pro (+211МБ), Hola ad remover (198 МБ) и Xodo PDF Viewer & Editor (197МБ). Для сравнения uBlock Origin потребляет при обработке страницы 27 мс времени CPU, в фоне тратит 48 мс процессорного времени и занимает 77 МБ памяти.

При выполнении теста на реальных сайтах ситуация ухудшается. Например, дополнение Substitutions, автоматически заменяющее код на странице, тратит 9.7 секунд процессорного времени.

При измерении задержки перед началом отрисовки страницы-заглушки, из 100 самых популярных дополнений наихудшие показатели оказались у Clever, Lastpass и DuckDuckGo Privacy Essentials.

При повторении теста на сайте apple.com значительные проблемы наблюдалась у Dark Reader, который задержал начало отрисовки на 4 секунды.

На сайте toyota задержки от Dark Reader оказались не столь существенными и в лидерах оказались блокировщики нежелательного контента.

В тесте на потребление ресурсов при нахождении вкладки в фоне наихудшие показатели оказались у дополнения Avira Safe Shopping, которое израсходовало более 2 секунд процессорного времени.

При повторении теста на сайте toyota потребление времени CPU более 2 секунд также отмечены у менеджера паролей Dashlane и блокировщика рекламы AdGuard AdBlocker.

При тестировании 1000 дополнений на сайте The Independent расход процессорного времени в фоне у дополнений uberAgent, Dashlane и Wappalyzer превысил 20 секунд.

Что касается потребления памяти, то в данной категории лидируют дополнения для блокировки рекламы и обеспечения конфиденциальности, которым приходится держать в памяти базы со списками блокировки. При этом, в случае открытия в браузере большого числа сайтов, изобилующих рекламой, итоговое потребление памяти браузером может оказаться меньше, чем без использования блокировщиков.

При установке нескольких дополнений потребление ресурсов от них суммируется.

При сравнении результатов с прошлогодним исследованием наибольший прогресс отмечается в дополнениях Grammarly, Microsoft Office, Okta Browser Plugin, Avira Safe Shopping и Avira Browser Safety, потребление процессорного времени у которых сократилось на более чем 100 мс. Наибольшее ухудшение в потреблении ресурсов наблюдается в дополнениях Save to Pocket, Loom и Evernote.

1. Главная ссылка к новости
2. OpenNews: Оценка влияния на производительность популярных дополнений к Chrome
3. OpenNews: 111 Chrome-дополнений, загруженных 32 млн раз, уличены в загрузке конфиденциальных данных
4. OpenNews: Chrome-дополнение с миллионной аудиторией уличено в подстановке рекламы в результаты поиска Google
5. OpenNews: Оценка производительности браузерных дополнений для блокировки рекламы
6. OpenNews: Mozilla, Google, Apple и Microsoft объединили усилия в стандартизации платформы для браузерных дополнений

Пользователям, которые уже установили первое обновление, но ещё не перезагрузили устройство (обновление активируется после перезагрузки), рекомендуется срочно довести свою систему до версии 91.0.4472.167. В случае если проблемное обновление установлено и вход блокирован, рекомендуется оставить устройство на некоторое время включённым и дождаться пока автоматически загрузится новое обновление. В качестве запасного варианта можно попытаться принудительно инициировать обновление через гостевой вход.

Пользователям, система которых зависает не доходя до экрана входа и автоматическая установка нового обновления не срабатывает, рекомендовано нажать комбинацию Ctrl + Alt + Shift + R два раза и воспользоваться режимом сброса к заводским настройкам (Powerwash) или функцией отката системы до прошлой версии через USB (Revert), но в обоих режимах локальные данные пользователя удаляются. Если вызвать режим Powerwash не удаётся потребуется перевод устройства в режим разработчика с выполнением сброса в исходное состояние.

Один из пользователей проанализировал исправление и пришёл к выводу, что причина блокировки входа в опечатке, из-за которой в условном операторе, применяемом для проверки типа ключей, был пропущен один символ "&". Вместо

   if (key_data.has_value() && !key_data->label().empty()) {

   if (key_data.has_value() & !key_data->label().empty()) {

Оператор "&" отличается от "&&" тем, что "&&" позволяет пропускать вычисление второго аргумента, если в первом получен ложный результат. В случае оператора "&", компилятор должен вычислить обязательно и первый аргумент, и второй аргумент, но если первый "key_data.has_value()" вернёт "false", то вызов оператора "->" во втором аргументе приведёт к неопределённому поведению, потому что "label" не инициализирован (key_data имеет тип Optional<T>, схожий с optional<T> из стандарта на C++, и с Maybe/Option в Haskell/Rust). Такого бы не случилось, если бы использовался оператор "&&", потому что он вычисляет аргументы слева направо и прерывает вычисления, если первый оказался "false".

1. Главная ссылка к новости
2. OpenNews: Выпуск Chrome OS 91
3. OpenNews: Самый популярный пример Java-кода на StackOverflow оказался с ошибкой
4. OpenNews: 70% проблем с безопасностью в Chromium вызваны ошибками при работе с памятью
5. OpenNews: В Chrome OS появится возможность установки на любое оборудование
6. OpenNews: Ошибка в BIND 9.16.17, приводящая к неверной обработке символа W в DNS-запросах

Изменения стали возможны благодаря внедрению новых сборочных хостов. Сборки для архитектур amd64, x86, arm (через QEMU) и riscv (через QEMU) теперь формируются на сервере с 8-ядердным CPU AMD Ryzen 7 3700X и 64 ГБ ОЗУ. Сборки для архитектур ppc, ppc64 и ppc64le / power9le обеспечены на сервере с 16-ядерным CPU POWER9 и 32 ГБ ОЗУ. Для сборок arm64 выделен сервер с 80-ядерным CPU Ampere Altra и 256 ГБ ОЗУ.

1. Главная ссылка к новости
2. OpenNews: Мэйнтейнеры Fedora и Gentoo отказались от сопровождения пакетов с Telegram Desktop
3. OpenNews: Gentoo прекращает поддержку LibreSSL в пользу OpenSSL и LibreTLS
4. OpenNews: Gentoo начал распространение универсальных сборок ядра Linux
5. OpenNews: Проект Gentoo представил систему управления пакетами Portage 3.0
6. OpenNews: Проект Gentoo опубликовал сборку для мобильных устройств, поставляемых с Android

Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh"). Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt). Поддержка управления межсетевым экраном через D-BUS API firewalld имеется в таких проектах, как NetworkManager, libvirt, podman, docker и fail2ban.

Значительное изменение номера версии связано с внесением изменений, нарушающих обратную совместимость и меняющих поведение работы с зонами. Все определённые в зоне параметры фильтрации теперь применяются только для трафика, адресованного хосту, на котором запущен firewalld, а для фильтрации транзитного трафика требуется настройка политик. Наиболее заметные изменения:

• Объявлен устаревшим бэкенд, позволявший работать поверх iptables. Поддержка iptables будет сохранена в обозримом будущем, но развиваться данный бэкенд не будет.
• Включён и активирован по умолчанию для всех новых зон режим intra-zone-forwarding, разрешающий свободное перемещение пакетов между сетевыми интерфейсами или источниками трафика внутри одной зоны (public, block, trusted, internal и т.п.). Для возвращения старого поведения и запрета перенаправления пакетов внутри одной зоны можно использовать команду "firewall-cmd --permanent --zone public --remove-forward".
• Правила, связанные с трансляцией адресов (NAT), перемещены в семейство протоколов "inet" (ранее добавлялись в семействах "ip" и "ip6", что приводило к необходимости дублирования правил для IPv4 и IPv6). Изменение позволило избавиться от дубликатов при использовании ipset - вместо трёх копий записей ipset теперь используется одна.
• Действие "default", указываемое в параметре "--set-target", теперь эквивалентно "reject", т.е. все пакеты, не подпадающие под определённые в зоне правила, по умолчанию будут блокироваться. Исключение сделано только для ICMP-пакетов, которые по-прежнему пропускаются. Для возвращения старого поведения для публично доступной зоны "trusted" можно использовать правила:

  
     firewall-cmd --permanent --new-policy allowForward 
     firewall-cmd --permanent --policy allowForward --set-target ACCEPT
     firewall-cmd --permanent --policy allowForward --add-ingress-zone public
     firewall-cmd --permanent --policy allowForward --add-egress-zone trusted
     firewall-cmd --reload
  

• Политики с положительным приоритетом теперь выполняются непосредственно до выполнения правила "--set-target catch-all", т.е. в момент, предшествующий добавлению финальных правил drop, reject или accept, в том числе для зон, в которых используются "--set-target drop|reject|accept".
• Блокировка ICMP теперь применяется только к адресованным текущему хосту входящим пакетам (input) и не затрагивает пакеты, перенаправляемые между зонами (forward).
• Удалён сервис tftp-client, предназначенный для отслеживания соединений для протокола TFTP, но находившийся в непригодном для использования виде.
• Объявлен устаревшим интерфейс "direct", позволяющий напрямую подставлять готовые правила пакетного фильтра. Потребность в данном интерфейсе пропала после добавления возможности фильтрации перенаправляемых и исходящих пакетов.
• Добавлен параметр CleanupModulesOnExit, который по умолчанию изменён на значение "no". При помощи данного параметрам можно управлять выгрузкой модулей ядра после завершения работы firewalld.
• Разрешено использование ipset при определении целевой системы (destination).
• Добавлены определения сервисов WireGuard, Kubernetes и netbios-ns.
• Реализованы правила автодополнения для zsh.
• Прекращена поддержка Python 2.
• Сокращён список зависимостей. Для работы firewalld, помимо ядра Linux, теперь обязательно требуются только python-библиотеки dbus, gobject и nftables, а пакеты ebtables, ipset и iptables отнесены к опциональным. Из числа зависимостей удалены python-библиотеки decorator и slip.

1. Главная ссылка к новости
2. OpenNews: В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux
3. OpenNews: Выпуск интерактивного межсетевого экрана TinyWall 2.0
4. OpenNews: В состав ядра 4.18 одобрено включение нового пакетного фильтра bpfilter
5. OpenNews: Открыт код Douane, динамического межсетевого экрана для Linux
6. OpenNews: Выпуск пакетного фильтра nftables 0.9.9

• Исправлен стиль отображения меню для некоторых GTK-тем (например, при использовании GTK-темы Yaru Colors в Light-теме Firefox текст в меню отображался белым цветом на белом фоне, а в теме Minwaita контекстные меню становились прозрачными).
• Устранена проблема с урезанием вывода при печати.
• Внесены изменения для включения DNS-over-HTTPS по умолчанию для пользователей из Канады.

Одновременно сформировано обновление набора интернет-приложений SeaMonkey 2.53.8.1, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. По сравнению с прошлым выпуском в почтовом клиенте налажена работа архивирования сообщений и обеспечено сохранение параметра offlineMsgSize при копировании и перемещении писем между папками.

Также вышел новый выпуск web-браузера Pale Moon 29.3, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. В новой версии включена блокировка некоторых старых версий драйверов Mesa/Nouveau из-за наличия проблем, обновлён стиль страницы about:home, реорганизованы настройки приватности, для HTTP добавлена поддержка алгоритма сжатия brotli (ранее PaleMoon следовал практике остальных браузеров и поддерживал brotli только в HTTPS), реализован конструктор EventTarget, обновлены стили для Windows 10, из списка блокировки убран сетевой порт 10080, в CSS появилась поддержка тёмных тем.

1. Главная ссылка к новости
2. OpenNews: Обновление Firefox 90.0.1
3. OpenNews: Релиз Firefox 90
4. OpenNews: DNS-over-HTTPS будет включён по умолчанию в Firefox для пользователей из Канады
5. OpenNews: Mozilla прекращает разработку браузера Firefox Lite
6. OpenNews: Выпуск браузера Pale Moon 29.2

Авторы библиотеки (Olivier Goffart и Simon Hausmann) бывшие разработчики KDE, позже перешедшие в компанию Trolltech для работы над Qt, сейчас основали свою компанию, развивающую SixtyFPS. Одной из целей проекта является предоставление возможности работы с минимальным потреблением ресурсов CPU и памяти (для работы необходимо несколько сотен килобайт ОЗУ). Для отрисовки доступно два бэкенда - gl на базе OpenGL ES 2.0 и qt, использующий Qt QStyle.

Поддерживается создание интерфейсов в программах на языках Rust, C++, и JavaScript. Авторами библиотеки разработан специальный язык разметки ".60", который компилируется в нативный для выбранной платформы код. Существует возможность протестировать язык в онлайн редактор или ознакомиться с примерами, собрав их самостоятельно.

Пример кода .60:

   HelloWorld := Window {
       width: 400px;
       height: 400px;
   
       Text {
          y: parent.width / 2;
          x: parent.x + 200px;
          text: "Hello, world";
          color: blue;
       }
}

Примеры интерфейса:

1. Главная ссылка к новости
2. OpenNews: Релиз фреймворка Qt 6.1
3. OpenNews: Выпуск Kirigami 2.1, фреймворка для построения интерфейса от проекта KDE
4. OpenNews: Microsoft представил фреймворк MAUI, создав конфликт имён с проектами Maui и Maui Linux
5. OpenNews: Libui - библиотека для построения интерфейса пользователя
6. OpenNews: Выпуск графического тулкита GTK 4.2

В состав входят такие приложения, как KDE Connect для сопряжения телефона с рабочим столом, просмотрщик документов Okular, музыкальный проигрыватель VVave, просмоторщики изображений Koko и Pix, система ведения заметок buho, календарь-планировщик calindori, файловый менеджер Index, менеджер приложений Discover, программа для отправки SMS Spacebar, адресная книга plasma-phonebook, интерфейс для осуществления телефонных вызовов plasma-dialer, браузер plasma-angelfish и мессенджер Spectral.

Выпуск позиционируется как ежемесячное обновление и включает в основном исправления ошибок. Из изменений можно отметить:

• Проведена работа по увеличению производительности верхней панели.
• В интерфейсе для осуществления звонков решены проблемы с международными номерами, сохранёнными в адресной книге без префикса страны.
• Улучшен интерфейс для работы с SMS. Обеспечено корректное информирование о сбоях при отправке. Добавлено отображения номера, с котором было отправлено сообщение.
• Индикаторы KRecorder, KWeather и KClock приведены к стилю остальных компонентов платформы. В KWeather добавлена возможность выбора разных местоположений. В KClock решены проблемы со срабатыванием будильника во время спящего режима.
• Переработан интерфейс приложения для сканирования штрих-кодов Qrca. Добавлена возможность выбора разных камер и предоставлена возможность передачи штрих-кодов билетов в приложение KDE Itinerary. В диалоге Share реализована возможность передачи URL в сервисы, подобные Imgur, и добавлен индикатор загрузки.
• Улучшен интерфейс календаря-планировщика Calindori. Решена проблема с бессмысленными ночными пробуждениями.
• Существенно усовершенствовано приложение для прослушивания подкастов Kasts. Добавлена страница Discover для поиска контента в сервисе podcastindex.org. Добавлена поддержка продолжения загрузки не полностью полученных подкастов. Изменены настройки скорости воспроизведения. Добавлена опция для блокирования автоматической загрузки новых эпизодов подкастов и изображений при подключении через мобильные сети.

1. Главная ссылка к новости
2. OpenNews: Релиз рабочего стола KDE Plasma 5.21
3. OpenNews: Доступен JingOS 0.9, дистрибутив для планшетных ПК
4. OpenNews: В PinePhone решено поставлять по умолчанию Manjaro c KDE Plasma Mobile
5. OpenNews: Статус подготовки первого стабильного релиза KDE Plasma Mobile
6. OpenNews: Анонсирован Necuno Mobile, открытый смартфон с окружением Plasma Mobile

Среди целей новой SIG-группы упоминается как создание нового открытого ПО для автомобильных систем, так и использование уже существующих upstream-проектов. В итоге планируется наладить сборку и поддержание специализированного варианта CentOS для автомобильных информационных систем, созданного на основе продукта RHEL for Edge. Работа будет вестись в тесном сотрудничестве с рабочей группой Fedora IoT и с использованием некоторых уже созданных в Fedora наработок, подготовленных для встраиваемых систем.

Отмечается, что автомобильные информационные системы находятся на пороге эволюционного скачка, связанного с переходом от использования набора изолированных встраиваемых систем (ECU, Electronic Control Unit), подключённых через шину CAN, к применению концепции граничных вычислений (edge computing). Предполагается, что наблюдаемый сдвиг парадигмы даёт возможность решениям на базе Linux возглавить превращение автомобильных информационных систем в умное edge-устройство, а созданная группа станет площадкой для совместной работы по созданию Linux-решений, соответствующих новой парадигме.

1. Главная ссылка к новости
2. OpenNews: Выпуск CentOS Linux 8.4 (2105)
3. OpenNews: Эмуляция сборки Red Hat Enterprise Linux на базе Fedora Rawhide
4. OpenNews: Организация Linux Foundation опубликовала автомобильный дистрибутив AGL UCB 9.0
5. OpenNews: Проект CentOS создал рабочую группу Hyperscale
6. OpenNews: Intel и Linux Foundation представили Akraino Edge Stack

Основные изменения в Chrome 92:

• В настройки добавлены средства для управления включением компонентов Privacy Sandbox. Пользователю предоставлена возможность отключения технологии FLoC (Federated Learning of Cohorts), развиваемой компанией Google для замены отслеживающих перемещения Cookie на "когорты", позволяющие выделять пользователей со сходными интересами, не идентифицируя отдельных лиц. Когорты вычисляются на стороне браузера через применение алгоритмов машинного обучения к данным истории посещений и содержимому, которое открывается в браузере.
• Для пользователей десктоп-систем по умолчанию включён кэш перехода (Back-forward cache), обеспечивающий мгновенный переход при использовании кнопок "Назад" и "Вперёд" или при навигации по ранее просмотренным страницам текущего сайта. Ранее кэш перехода был доступен только в сборках для платформы Android.
• Усилена изоляция сайтов и дополнений в разных процессах. Если раньше механизм Site Isolation обеспечивал изоляцию сайтов друг от друга в разных процессах, а также отделял все дополнения в отдельный процесс, то в новом выпуске реализовано разделение браузерных дополнений между собой через вынос каждого дополнения в отдельный процесс, что позволило создать ещё один барьер для защиты от вредоносных дополнений.
• Значительно увеличена производительность и эффективность определения фишинга. Скорость выявления фишинга на основе локального анализа изображений в половине случаев возросла до 50 раз, а в 99% случаев оказалась быстрее как минимум в 2.5 раза. В среднем время классификации фишинга по изображению снизилось с 1.8 секунд до 100 мс. В общем нагрузка на CPU, создаваемая всеми процессами отрисовки, снизилась на 1.2%.
• В число запрещённых сетевых портов добавлены порты 989 (ftps-data) и 990 (ftps). Ранее уже были заблокированы порты 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566 и 10080. Для портов в чёрном списке блокируется отправка HTTP, HTTPS и FTP-запросов с целью защиты от атаки NAT slipstreaming, позволяющей при открытии специально подготовленной атакующим web-страницы в браузере установить сетевое соединение с сервера атакующего к любому UDP или TCP порту на системе пользователя, несмотря на применение внутреннего диапазона адресов (192.168.x.x, 10.x.x.x).
• Введено требование по применению двухфакторной верификации разработчика при публикации новых дополнений или обновлений версий в Chrome Web Store.
• Обеспечено отключение в браузере уже установленных дополнений, если они удалены из каталога Chrome Web Store в связи с нарушением правил.
• При отправке DNS-запросов, в случае использования классических DNS-серверов, помимо записей "A" и "AAAA" для определения IP-адресов теперь также запрашивается DNS-запись "HTTPS", через которую передаются параметры, позволяющие ускорить установку HTTPS-соединений, такие как настройки протокола, ключи для шифрования TLS ClientHello и список поддоменов-псевдонимов.
• Из iframe-блоков, загружаемых с доменов, отличных от домена текущей страницы, запрещён вызов JavaScript-диалогов window.alert, window.confirm и window.prompt. Изменение позволит защитить пользователей от злоупотреблений, связанных с попытками преподнести стороннее уведомление как запрос основного сайта.
• На странице новой вкладки обеспечен вывод списка наиболее востребованных документов, сохранённых в Google Drive.
• Предоставлена возможность изменения имени и пиктограммы для приложений PWA (Progressive Web Apps).
• Для небольшого случайного числа web-форм, связанных с вводом адреса или номера кредитной карты, в качестве эксперимента будет отключён вывод рекомендаций по автозаполнению.
• В версии для настольных систем опция поиска по изображению (пункт "Найти изображение" в контекстном меню) переведена на использование сервиса Google Lens вместо обычного поискового движка Google. При нажатии соответствующей кнопки в контекстном меню пользователь будет перенаправляться на отдельное web-приложение.
• В интерфейсе режима "инкогнито" скрыты ссылки на историю посещений (ссылки бесполезны, так как приводили к открытию заглушки с информацией о том, что история не собирается).
• Добавлены новые команды, разбираемые при вводе в адресной строке. Например, для появления кнопки быстрого перехода на страницу проверки безопасности паролей и дополнений достаточно набрать "safety check", а для перехода к настройкам безопасности и синхронизации - "manage security settings" и "manage sync".
  
  
  
• Специфичные изменения в версии Chrome для Android:
  
  
  
  • В панели реализована новая настраиваемая кнопка "Magic Toolbar", показывающая разные ярлыки, выбираемые с учётом текущей активности пользователя и включающие ссылки, которые, вероятно, могут понадобиться в данный момент.
  • Обновлена реализация выполняемой на устройстве модели машинного обучения для определения попыток фишинга. При выявлении попыток фишинга, кроме вывода страницы с предупреждением, браузер теперь будет отправлять во внешний сервис Safe Browsing сведения о версии модели машинного обучения, вычисленном весе для каждой категории и флаге применения новой модели.
  • Удалена настройка "Show suggestions for similar pages when a page can't be found", которая приводила к рекомендации похожих страниц на основе отправки запроса в Google, если страница не найдена. Ранее данная настройка уже была удалена из версии для настольных систем.
  • Расширено применение режима изоляции сайтов по отдельным процессам. Из соображений потребления ресурсов в отдельные процессы до сих пор выносились только избранные крупные сайты. В новой версии изоляция начнёт применяться и к сайтам, на которые осуществлён вход пользователя с аутентификацией через OAuth (например, подключение через учётную запись Google) или которые выставляют HTTP-заголовок Cross-Origin-Opener-Policy. Для желающих включить изоляцию в отдельных процессах всех сайтов предоставлена настройка "chrome://flags/#enable-site-per-process".
  • Отключены встроенные в движок V8 механизмы защиты от атак по сторонним каналам, таким как Spectre, которые признаны не настолько эффективными, как изоляция сайтов в отдельных процессах. В настольной версии указанные механизмы были отключены ещё в выпуске Chrome 70.
  • Упрощён доступ к настройкам полномочий сайта, таким как доступ к микрофону, камере и определению местоположения. Для вывода списка полномочий достаточно нажать на символ замка в адресной строке, после чего выбрать раздел "Permissions".
  
  
  
  
• В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) добавлено несколько новых API. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
  • API File Handling, позволяющий регистрировать web-приложения в качестве обработчиков файлов. Например, работающее в режиме PWA (Progressive Web Apps) web-приложение с текстовым редактором может зарегистрировать себя как обработчик файлов ".txt", после чего может быть использовано в системном файловом менеджере для открытия текстовых файлов.
  • API Shared Element Transitions, позволяющий использовать предоставляемые браузером готовые эффекты, визуализирующие изменение состояния интерфейса в одностраничных (SPA, single-page applications) и многостраничных (MPA, multi-page applications) web-приложениях.
• В CSS-правило @font-face добавлен параметр size-adjust, позволяющий масштабировать размеры глифа для определённого начертания шрифта, не изменяя значение CSS-свойства font-size (область под символ остаётся той же, но меняется размер глифа в этой области).
• В JavaScript в объектах Array, String и TypedArray реализован метод at(), позволяющий использовать относительную индексацию (в качестве индекса массива указывается относительная позиция), в том числе с указанием отрицательных значений относительно конца (например, "arr.at(-1)" вернёт последний элемент массива).
• В JavaScript-конструктор Intl.DateTimeFormat добавлено свойство dayPeriod, позволяющее вывести приблизительное время дня (утром, вечером, днём, ночью).
• При использовании объектов SharedArrayBuffers, позволяющих создавать массивы в разделяемой памяти, теперь требуется определение HTTP-заголовков Cross-Origin-Opener-Policy и Cross-Origin-Embedder-Policy, без которых запрос будет блокирован.
• В API Media Session добавлены действия "togglemicrophone", "togglecamera" и "hangup", позволяющие на сайтах, реализующих системы видеоконференций, прикреплять собственные обработчики для показываемых в интерфейсе picture-in-picture кнопок выключения/включения микрофона, выключения/включения камеры и завершения вызова.
• В API Web Bluetooth добавлена возможность фильтрации найденных Bluetooth-устройств по идентификаторам производителя и продукта. Фильтр задаётся через параметр "options.filters" в методе Bluetooth.requestDevice().
• Реализована первая стадия урезания содержимого HTTP-заголовка User-Agent: во вкладке DevTools Issues теперь показывается предупреждение об устаревании navigator.userAgent, navigator.appVersion и navigator.platform.
• Внесена порция улучшений в инструменты для web-разработчиков. В web-консоли предоставлена возможность переопределения выражений "const". В панели Elements для элементов iframe предоставлена возможность быстрого просмотра деталей через контекстное меню, показываемое при клике правой кнопкой мыши на элементе. Улучшена отладка ошибок CORS (Cross-origin resource sharing). В панели инспектирования сетевой активности добавлена возможность фильтрации сетевых запросов из WebAssembly. Предложен новый редактор CSS Grid ("display: grid" и "display: inline-grid") с функцией предпросмотра изменений.

Кроме нововведений и исправления ошибок в новой версии устранено 35 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 24 премий на сумму 112000 долларов США (две премии $15000, четыре премии $10000, одна премия $8500, две премии $7500, три премии $5000, одна премия $3000 и одна премия $500). Размер 11 вознаграждений пока не определён.

1. Главная ссылка к новости
2. OpenNews: В Chrome 94 появится режим HTTPS-First
3. OpenNews: В Chrome добавлена настройка для работы только через HTTPS
4. OpenNews: Прекращение поддержки сторонних Cookie в Chrome отложено до 2023 года
5. OpenNews: Google признал неудачным эксперимент с показом только домена в адресной строке Chrome
6. OpenNews: В Chrome экспериментируют с поддержкой RSS, чисткой User-Agent и автосменой паролей

Опасность уязвимости усугубляется тем, что исследователям удалось подготовить рабочие эксплоиты, работающие в Ubuntu 20.04/20.10/21.04, Debian 11 и Fedora 34 в конфигурации по умолчанию. Отмечается, что другие дистрибутивы не проверялись, но теоретически тоже подвержены проблеме и могут быть атакованы. Полный код эксплоитов обещают опубликовать после повсеместного устранения проблемы, а пока доступен лишь ограниченный в функциональности прототип, вызывающий крах системы. Проблема проявляется с июля 2014 года и затрагивает выпуски ядра начиная с 3.16. Исправление уязвимости было скоординировано с сообществом и принято в состав ядра 19 июля. Основные дистрибутивы уже сформировали обновления пакетов с ядром (Debian, Ubuntu, Fedora, RHEL, SUSE, Arch).

Уязвимость вызвана отсутствием проверки результата преобразования типа size_t в int перед выполнением операций в коде seq_file, осуществляющем создание файлов из последовательности записей. Отсутствие проверки может привести к записи в область вне границ буфера при создании, монтировании и удалении структуры каталогов с очень большим уровнем вложенности (размер пути более 1 ГБ). В итоге атакующий может добиться записи 10-байтовой строки "//deleted" со смещением "- 2 ГБ - 10 байт", указывающим на область, непосредственно предшествующую выделенному буферу.

Подготовленный эксплоит требует для работы 5 ГБ памяти и 1 миллион свободных inode. Работа эксплоита сводится к созданию через вызов mkdir() иерархии из около миллиона вложенных каталогов для достижения размера файлового пути, превышающего 1 ГБ. Данный каталог монтируется через bind-mount в отдельном пространстве имён идентификаторов пользователей (user namespace), после чего запускается функция rmdir() для его удаления. Параллельно создаётся поток, загружающий небольшую eBPF-программу, который блокируется на стадии после проверки псевдокода eBPF, но до его JIT-компиляции.

В непривилегированном пространстве имён идентификаторов пользователей открывается файл /proc/self/mountinfo и начинается чтение длинного пути каталога, примонтированного при помощи bind-mount, что приводит к записи строки "//deleted" в область до начала буфера. Позиция для записи строки выбирается таким образом, что она перезаписывает инструкцию в уже проверенной, но ещё не скомпилированной программе eBPF.

Далее на уровне программы eBPF неконтролируемая запись вне буфера трансформируется в управляемую возможность чтения и записи в другие структуры ядра через манипуляцию со структурами btf и map_push_elem. Затем эксплоит определяет местоположение буфера modprobe_path[] в памяти ядра и перезаписывает в нём путь "/sbin/modprobe", что позволяет инициировать запуск любого исполняемого файла с правами root в случае выполнения вызова request_module(), который выполняется, например, при создании сокета netlink.

Исследователями приводится несколько обходных методов защиты, которые эффективны только для конкретного эксплоита, но не устраняют саму проблему. Рекомендуется установить параметр "/proc/sys/kernel/unprivileged_userns_clone" в значение 0 для запрета монтирования каталогов в отдельном пространстве имён идентификаторов пользователей, а также "/proc/sys/kernel/unprivileged_bpf_disabled" в 1 для запрета загрузки программ eBPF в ядро.

Примечательно, что, разбирая альтернативный вариант атаки, связанный с использованием механизма FUSE вместо bind-mount для монтирования большого каталога, исследователи натолкнулись на ещё одну уязвимость (CVE-2021-33910), затрагивающую системный менеджер systemd. Оказалось, что при попытке монтирования через FUSE каталога c размером пути, превышающим 8 МБ, в управляющем процессе инициализации (PID1) наступает исчерпание памяти стека и крах, который приводит систему в состояние "panic".

Проблема связана с тем, что systemd отслеживает и разбирает содержимое /proc/self/mountinfo и обрабатывает каждую точку монтирования в функции unit_name_path_escape(), в которой выполняется операция strdupa(), размещающая данные в стеке, а не в динамически выделяемой памяти. Так как максимальный размер стека ограничен через RLIMIT_STACK, обработка слишком большого пути к точке монтирования приводит к краху процесса PID1 и остановке работы системы. Для атаки можно использовать простейший модуль FUSE в сочетании с использованием в качестве точки монтирования каталога с большим уровнем вложенности, размер пути в котором превышает 8 МБ.

Проблема проявляется начиная с systemd 220 (апрель 2015), уже устранена в основном репозитории systemd и исправлена в дистрибутивах (Debian, Ubuntu, Fedora, RHEL, SUSE, Arch). Примечательно, что в выпуске systemd 248 эксплоит не работает из-за ошибки в коде systemd, приводящей к сбою при обработке /proc/self/mountinfo. Также интересно, что в 2018 году возникла похожая ситуация и при попытке написать эксплоит к уязвимости CVE-2018-14634 в ядре Linux, исследователи Qualys натолкнулись на три критические уязвимости в systemd.

1. Главная ссылка к новости
2. OpenNews: Критическая уязвимость в библиотеке Libgcrypt 1.9.0, затрагивающая GnuPG и systemd
3. OpenNews: Уязвимость в systemd, потенциально позволяющая повысить свои привилегии
4. OpenNews: Уязвимость в systemd, которую можно использовать для блокирования работы системы
5. OpenNews: Уязвимость в подсистеме ядра Linux Netfilter
6. OpenNews: Уязвимость в eBPF, позволяющая выполнить код на уровне ядра Linux

Некоторые проблемы:

• 4 проблемы с безопасностью в Java SE. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации и затрагивают окружения, допускающие выполнение не заслуживающего доверия кода. Наиболее опасной проблеме, которая затрагивает виртуальную машину Hotspot, присвоен уровень опасности 7.5. Уязвимости в окружениях, допускающих выполнение не заслуживающего доверия кода. Уязвимости устранены в выпусках Java SE 16.0.2, 11.0.12 и 8u301.
• 36 уязвимостей в сервере MySQL, из которых 4 могут быть эксплуатированы удалённо. Наиболее серьёзным проблемам, которые связаны с использованием пакета Curl и алгоритма LZ4, присвоены уровни опасности 8.1 и 7.5. Пять проблем затрагивают InnoDB, три - DDL, две - репликацию и две DML. 15 проблем с уровнем опасности 4.9 проявляются в оптимизаторе. Проблемы устранены в выпусках MySQL Community Server 8.0.26 и 5.7.35.
• 4 уязвимости в VirtualBox. Две наиболее опасные проблемы имеют уровень опасности 8.2 и 7.3. Все уязвимости допускают только совершение локальных атак. Уязвимости устранены в обновлении VirtualBox 6.1.24.
• 1 уязвимость в Solaris. Проблема затрагивает ядро, имеет уровень опасности 3.9 и устранена в обновлении Solaris 11.4 SRU35.

1. Главная ссылка к новости
2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
3. OpenNews: Выпуск VirtualBox 6.1.24

Наиболее важные изменения:

• Реализована корректная поддержка тем оформления для полос прокрутки.
• Продолжена работа по переводу WinSock и IPHLPAPI в библиотеки на базе формата PE (Portable Executable).
• Проведена подготовка для реализации интерфейса системных вызовов GDI.
• Закрыты отчёты об ошибках, связанные с работой игр: Sims 4, Doom 3, Academagia, SkySaga, Far Cry 4, CARS 2, Dishonored 2, INSIDE, The Hong Kong Massacre, Sniper Elite 3, World of Warcraft, Battlefield 4.
• Закрыты отчёты об ошибках, связанные с работой приложений: ExeInfoPE v0.0.3.0, QQMusic 8.6, DXVA Checker 3.x/4.x, Perfect World, Kodi, NetEase Cloud Music, Mathearbeit G 5.6.

Одновременно сформирован выпуск проекта Wine Staging 6.13, в рамках которого формируются расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 608 дополнительных патчей.

В новом выпуске осуществлена синхронизация с кодовой базой Wine 6.13. В основной состав Wine переведено два патча: исправление ошибки при копировании и вставке через буфер обмена в mfplat; запрет соединений для слушающих или уже подсоединённых сокетов в Wineserver.

1. Главная ссылка к новости
2. OpenNews: Выпуск Wine 6.12
3. OpenNews: Релиз Wine Launcher 1.5.3, инструмента для запуска Windows-игр
4. OpenNews: Выпуск Wine 6.11 и Wine staging 6.11
5. OpenNews: В Wayland-драйвере для Wine появилась поддержка Vulkan и многомониторных конфигураций
6. OpenNews: Стабильный релиз Wine 6.0

Основные изменения:

• Для гостевых систем и хостов с Linux добавлена поддержка ядра 5.13, а также ядер из состава дистрибутива SUSE SLES/SLED 15 SP3. В дополнениях для гостевых систем добавлена поддержка ядер Linux, поставляемых в Ubuntu.
• В инсталляторе компонентов для хост-систем на базе Linux обеспечена сборка модулей ядра, невзирая на то, что подобные модули уже установлены и версии совпадают.
• Устранены проблемы в Linux с пробросом web-камер с интерфейсом USВ.
• Решены проблемы с запуском VM, если в устройстве, прикреплённом к VirtIO, используется номер SCSI-порта больше 30.
• Улучшено информирование о смене носителя DVD.
• Улучшена поддержка звука.
• Решены проблемы с возобновлением сетевого соединения в virtio-net после возвращения из спящего режима. Также решены проблемы с фрагментацией UDP GSO.
• Устранена утечка памяти в драйвере r0drv.
• В дополнениях для гостевых систем исправлен крах при совместном использовании буфера обмена.
• В хостах на базе Windows решены проблемы с проверкой цифровых подписей для DLL, в случае использования некорректного сертификата.
• Для гостевых систем с Solaris увеличен устанавливаемый по умолчанию размер памяти и диска.
• В EFI повышена стабильность и добавлена поддержка загрузки по сети при эмуляции Ethernet-контроллера E1000.

Дополнение: В списке изменений явно не обозначено устранение 4 уязвимостей, о которых компания Oracle сообщила отдельно, но без детализации сведений. Две наиболее опасные проблемы имеют уровень опасности 8.2, и 7.3. Все уязвимости допускают только совершение локальных атак.

1. Главная ссылка к новости
2. OpenNews: Выпуск VirtualBox 6.1.22
3. OpenNews: Выпуск VirtualBox 6.1.20
4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
5. OpenNews: Релиз системы виртуализации VirtualBox 6.1