Сообщество - GNU/Linux
GNU/Linux
452 поста 8 823 подписчика
47

Компания Paragon Software открыла код драйвера с реализацией ФС exFAT

Компания Paragon Software, поставляющая лицензированные в Microsoft проприетарные драйверы NTFS и exFAT для Linux, опубликовала в списке рассылки разработчиков ядра Linux начальную реализацию нового открытого драйвера exFAT. Код драйвера открыт под лицензией GPLv2 и временно ограничен работой в режиме только для чтения. В разработке находится вариант драйвера, поддерживающий режим записи, но он ещё не готов для публикации. Патч для включения в ядро Linux прислал лично Константин Комаров, основатель и руководитель компании Paragon Software.


Компания Paragon Software приветствовала действия Microsoft по публикации общедоступных спецификаций и предоставления возможности безвозмездного использования патентов на exFAT в Linux, и в качестве своего вклада подготовила открытый драйвер exFAT для ядра Linux. Отмечается, что драйвер оформлен в соответствии с требованиями по подготовке кода для Linux и не содержит привязок к дополнительным API, что позволяет включить его в основной состав ядра.


Напомним, что в августе в экспериментальный раздел "staging" ядра Linux 5.4 ("drivers/staging/"), куда помещаются компоненты требующие доработки, уже добавлен разработанный компанией Samsung открытый драйвера exFAT. При этом добавленный драйвер основан на устаревшем коде (1.2.9), требующем доработки и адаптации к требованиям по оформлению кода для ядра. Позднее для ядра был предложен обновлённый вариант драйвера Samsung, переведённый на ветку "sdFAT" (2.2.0) и демонстрирующий существенный прирост производительности, но данный драйвер пока не принят в состав ядра Linux.


Файловая система exFAT была создана Microsoft для устранения ограничений FAT32 при использовании на Flash-накопителях большого объема. Поддержка файловой системы exFAT появилась в Windows Vista Service Pack 1 и Windows XP с Service Pack 2. Максимальный размер файла по сравнению с FAT32 был расширен с 4 ГБ до 16 эксабайт, устранено ограничение на максимальный размер раздела в 32 ГБ, для уменьшения фрагментации и увеличения скорости введена битовая карта свободных блоков, ограничение на число файлов в одной директории поднято до 65 тыс., предусмотрена возможность хранения ACL.

67

GNOME предпринял меры для противостояния атаке патентного тролля

Организация GNOME Foundation рассказала о действиях, предпринятых для защиты от судебного иска, выдвинутого компанией Rothschild Patent Imaging LLC, ведущей деятельность патентного тролля. Компания Rothschild Patent Imaging LLC предложила отозвать иск в обмен на покупку лицензии на использование патента в Shotwell. Сумма лицензии выражается пятизначным числом. Несмотря на то, что покупка лицензии стала бы самым простым выходом, а судебное разбирательство потребует больших затрат и нервотрёпки, организация GNOME Foundation решила не соглашаться на сделку и бороться до конца.


Согласие поставило бы под угрозу другие открытые проекты, которые потенциально могут стать жертвами указанного патентного тролля. До тех пор пока используемый для исков патент, охватывающий очевидные и широко используемые, методы работы с изображениями, продолжает действовать, он может быть использован как оружие для осуществления других атак. Для финансирования защиты GNOME в суде и проведения работы по признанию патента недействительным (например, через доказательство фактов более раннего использования описанных в патенте технологий) организован специальный фонд "GNOME Patent Troll Defense Fund".


К защите GNOME Foundation была привлечена компания Shearman & Sterling, которая уже направила в суд три документа:


Ходатайство о полном прекращении дела. Защита считает, что фигурирующий в деле патент является несостоятельным, а описываемые в нём технологии неприменимы для защиты интеллектуальной собственности в программном обеспечении;

Ответ на иск, в котором поставлено под сомнение то, что GNOME должен выступать ответчиком на подобные иски. В документе предпринята попытка доказать, что указанный в иске патент не может быть использован для предъявления претензий к Shotwell и любому другому свободному ПО.

Встречный иск, который не позволит компании Rothschild Patent Imaging LLC ретироваться и выбрать себе менее строптивую жертву для атаки, когда поймёт серьёзность намерения GNOME бороться за признание патента недействительным.


Напомним, что GNOME Foundation вменяется нарушение патента 9,936,086 в менеджере фотографий Shotwell. Патент датирован 2008 годом и описывает технику беспроводного соединения устройства захвата изображений (телефон, web-камера) с получающим изображение устройством (компьютер) и последующей выборочной передачей изображений с фильтрацией по дате, местоположению и другим параметрам. По мнению истца для нарушения патента достаточно наличия функции импорта с камеры, возможности группировки изображений по определённым признакам и отправки изображений на внешние сайты (например, в социальную сеть или фотосервис).

680

Ubuntu исполнилось 15 лет

Пятнадцать лет назад, 20 октября 2004 года, была выпущена первая версия Linux-дистрибутива Ubuntu — 4.10 «Warty Warthog». Проект был основан Марком Шаттлвортом, миллионером из Южной Африки, принимавшим участие в разработке Debian Linux и воодушевлённым идеей создания доступного для конечных пользователей настольного дистрибутива, обладающего предсказуемым фиксированным циклом разработки. К работе было привлечено несколько разработчиков из проекта Debian, многие из которых до сих пор принимают участие в развитии обоих проектов.


Live-сборка Ubuntu 4.10 остаётся доступна для загрузки и позволяет оценить как система выглядела 15 лет назад. В состав выпуска входили GNOME 2.8, XFree86 4.3, Firefox 0.9, OpenOffice.org 1.1.2.

Ubuntu исполнилось 15 лет Ubuntu, День рождения
42

Mozilla развивает собственную систему машинного перевода

Компания Mozilla в рамках проекта Bergamot приступила к созданию системы машинного перевода, работающей на стороне браузера. Проект позволит интегрировать в Firefox самодостаточный движок перевода страниц, не обращающийся к внешним облачным сервисам и обрабатывающий данные исключительно на системе пользователя. Главной целью разработки является обеспечение конфиденциальности и защита данных пользователя от возможных утечек при переводе содержимого открываемых в браузере страниц.


Разработка Bergamot ведётся в берлинском офисе Mozilla при участии исследователей из нескольких университетов Виликобритании, Эстонии и Чехии. Разработку финансирует Евросоюз в рамках гранта, полученного по программе Horizon 2020. Размер гранта составляет три миллиона евро. Проект рассчитан на три года. В Mozilla открыта вакансия специалиста по системам машинного обучения для участия в разработке движка для перевода с одного языка на другой.


Из смежных разработок, имеющих отношение к проекту Bergamot, упомянуты:


Развиваемый в Эдинбургском университете фреймворк машинного перевода Marian, построенный на базе рекуррентной нейронной сети. Фреймворк написан на языке C++, может задействовать GPU для ускорения обучения и перевода, и поставляется под лицензией MIT.


Созданный в Пражском университете инструментарий Neural Monkey для обработки информации на естественном языке с использованием методов последовательного машинного обучения. Проект применяет фреймворк TensorFlow и может использоваться для быстрого создания прототипов систем машинного перевода и классификации информации на естественном языке. Код доступен под лицензией BSD.


Подготовленный в Шеффилдском университете проект QuEst++, применяемый для оценки и прогнозирования качества систем машинного перевода.


Развиваемые в Mozilla синтезатор речи (TTS) и движок распознавания речи (Deep Speech)


Финансируемый Евросоюзом проект ParaCrawl, накапливающий базу синхронных переводов различных фраз на разных языках, которую можно использовать для тренировки систем машинного обучения. Основой проекта является бот bitextor, который индексирует многоязычные web-сайты и автоматически находит одинаковые тексты, представленные на нескольких языках. База примеров параллельных переводов формируется для 24 языков, в том числе для русского (БД для русского языка занимает 637MB в сжатом виде и включает более 12 млн примеров перевода).


Разработка Bergamot началась в январе этого года, но наработки проекта пока недоступны для публичного тестирования. Тем не менее, несколько дней назад разработчики опубликовали видео с демонстрацией начального прототипа.


Напомним, что в Firefox уже имеется встроенный механизм для перевода страниц, но он завязан на использовании внешних облачных сервисов (поддерживаются Google, Yandex и Bing) и не активирован по умолчанию (для включения в about:config следует изменить настройки "browser.translation"). Механизм перевода в том числе поддерживает автоматическое определение языка при открытии страницы на неизвестном языке и выводит специальный индикатор с предложением осуществить перевод страницы. Развиваемый в рамках проекта Bergamot прототип системы перевода использует этот же интерфейс для взаимодействия с пользователем, но вместо обращения к внешним сервисам запускается встроенный обработчик.

Показать полностью
17

Выпуск Linux-дистрибутива Pop!_OS 19.10

Выпуск Linux-дистрибутива Pop!_OS 19.10 Ubuntu, Linux

Компания System76, специализирующаяся на производстве ноутбуков, ПК и серверов, поставляемых с Linux, опубликовала выпуск дистрибутива Pop!_OS 19.10, развиваемого для поставки на оборудовании System76 вместо ранее предлагаемого дистрибутива Ubuntu. Pop!_OS основан на пакетной базе Ubuntu 19.10 и отличается переработанным окружением рабочего стола, основанным на модифицированной оболочке GNOME Shell. Наработки проекта распространяются под лицензией GPLv3. ISO-образы сформированы для архитектуры x86_64 в вариантах для графических чипов NVIDIA и Intel/AMD (2 Гб).


Pop!_OS поставляется с оригинальной темой оформления system76-pop, новым набором пиктограмм, другими шрифтами (Fira и Roboto Slab), изменёнными настройками, расширенным набором драйверов и модифицированной оболочкой GNOME Shell. Проектом развиваются три расширения к GNOME Shell: Suspend button для изменения кнопки выключения/перехода в спящий режим, Always show workspaces для постоянного отображения эскизов виртуальных рабочих столов в обзорном режиме и Right-click для просмотра детальной информации о программе при клике на пиктограмме правой кнопкой мыши.


В новой версии:

Предложен новый тёмный режим оформления. Предлагаемая по умолчанию тема оформления переработана на базе темы Adwaita. В тёмной и светлой темах задействованы контрастные цвета из нейтральной палитры, не утомляющей глаза. Проведена работа по проверке корректности отображения всех виджетов. Добавлены новые звуковые эффекты, воспроизводимые при подключении внешнего носителя или кабеля зарядки. Прекращено звуковое сопровождение операции изменения громкости;


Добавлена утилита Tensorman для управления инструментарием Tensorflow в изолированном окружении на базе Docker. Tensorman позволяет запустить скрипты в контейнере с Tensorflow, выбирать версию для проектов и отдельных операций;


Компоненты GNOME обновлены до выпуска 3.34 c поддержкой группировки пиктограмм приложений в обзорном режиме, улучшенным конфигуратором беспроводных соединений, новой панелью выбора обоев рабочего стола и проведением работы по повышению отзывчивости интерфейса и снижению нагрузки на CPU.


Добавлена возможность обновления дистрибутива в offline-режиме, при котором в систему вначале загружаются все компоненты для обновления до нового значительного выпуска, после чего пользователь может инициировать их установку, когда сочтёт необходимым. В конфигураторе в секции детальных настроек, а также в уведомлении о формировании нового выпуска, появилась кнопка для загрузки обновлений без их установки. Для фактического начала обновления необходимо нажать эту кнопку второй раз, после того как обновления загрузятся и кнопка поменяет свой вид.

Показать полностью
12

Samsung без Ubuntu | Провал linux on dex

Недолго мы кайфанули с Linux on Dex. Около года. И вот, буквально вчера, Samsung заявила о прекращении поддержки приложения Linux on Dex. Закончили упражнение. Звоните в гонги, вызывайте техно шаманов. Ушла эпоха, так и не начавшись. Сколько стартапов могло быть написано на планшете прямо в универе. Но нет.

С другой стороны, никто не запрещал использовать приложение. Интернет помнит всё и APK навсегда останется здесь. Вопрос в развитии продукта. Либо его подхватят энтузиасты, либо всё закончится, так и не начавшись. В любом случае затея была потрясающая. Истребление ноутбуков и ПК самими смартфонами, которые всегда в кармане. Подключил к монитору и готово. А в недалёком будущем такие терминалы могли быть интегрированы в спинки сидений. Подключил и работаешь/смотришь фильмы/играешь.

167

Первый выпуск Pwnagotchi, игрушки для взлома WiFi-сетей

Представлен первый стабильный выпуск проекта Pwnagotchi, развивающего инструмент для взлома беспроводных сетей, оформленный в виде электронного питомца, напоминающего игрушку Тамагочи. Основной прототип устройства построен построен на основе платы Raspberry Pi Zero W (предоставляется прошивка для загрузки с SD-карты), но возможно использование и на других платах Raspberry Pi, а также в любом Linux-окружении, в котором имеется беспроводной адаптер, поддерживающий работу в режиме мониторинга. Управление производится через подключение LCD-экрана или через web-интерфейс. Код проекта написан на языке Python и распространяется под лицензией GPLv3.


Для поддержания хорошего настроения питомца его необходимо кормить сетевыми пакетами, отправляемыми участниками беспроводных сетей на этапе согласования нового соединения (handshake). Устройство находит доступные беспроводные сети и пытается перехватывать handshake-последовательности. Так как handshake отправляется только при подключении клиента к сети, устройство использует различные приёмы для обрыва текущих подключений и принуждения пользователей выполнить операции переподключения к сети. В ходе перехвата накапливается база пакетов, включающих хэши, которые можно использовать для подбора ключей WPA.


Проект примечателен использованием методов обучения с подкреплением AAC (Actor Advantage Critic) и нейронной сети на базе долгой краткосрочной памяти (LSTM), которые получили распространение при создании ботов для прохождения компьютерных игр. Тренировка модели обучения осуществляется по мере работы устройства, учитывая прошлый опыт для выбора оптимальной стратегии совершения атаки на беспроводные сети. При помощи машинного обучения Pwnagotchi динамически подбирает параметры перехвата трафика и выбирает интенсивность принудительного обрыва сеансов пользователей. Также поддерживается и ручной режим работы, при котором атака производится "в лоб".


Для перехвата необходимых для подбора WPA-ключей видов трафика используется пакет bettercap. Перехват осуществляется как в пассивном режиме, так и с проведением известных видов атак, вынуждающих клиентов повторно отправлять в сеть идентификаторы PMKID. Перехваченные пакеты, охватывающие все формы handshake, поддерживаемые в hashcat, сохраняются в PCAP-файлах с расчётом, один файл на каждую беспроводную сеть.


По аналогии с тамагочи поддерживается определение находящихся поблизости других устройств, а также опционально возможно участие в построении общей карты охвата. Для соединения устройств Pwnagotchi по WiFi используется протокол Dot11. Находящиеся поблизости устройства обмениваются полученными данными о беспроводных сетях и организуют совместную работу, разделяя между собой каналы для проведения атаки.


Функциональность Pwnagotchi может расширяться через плагины, в форме которых реализованы такие функции как система автоматического обновления ПО, создание резервных копий, привязка захваченных handshake к GPS-координатам, публикация данных о взломанных сетях в сервисах onlinehashcrack.com, wpa-sec.stanev.org, wigle.net и PwnGRID, дополнительные индикаторы (потребление памяти, температура и т.п.) и осуществление словарного подбора паролей для перехваченных handshake.

Первый выпуск Pwnagotchi, игрушки для взлома WiFi-сетей Wi-Fi, Wpa, Длиннопост
Первый выпуск Pwnagotchi, игрушки для взлома WiFi-сетей Wi-Fi, Wpa, Длиннопост
Показать полностью 2
95

Фиктивная русская версия Tor Browser использовалась для кражи криптовалюты и QIWI

Исследователи из компании ESET выявили распространение неизвестными злоумышленниками вредоносной сборки Tor Browser. Сборка позиционировалась как официальная русская версия Tor Browser, в то время как к проекту Tor её создатели не имеют никакого отношения, а целью создание была подмена кошельков Bitcoin и QIWI.


Для введения пользователей в заблуждение создатели сборки зарегистрировали домены tor-browser.org и torproect.org (отличается от официального сайта torproJect.org отсутствием буквы "J", что многими русскоязычными пользователями остаётся незамеченным). Оформление сайтов было стилизовано под официальный сайт Tor. На первом сайте выводилась страница с предупреждением об использовании устаревшей версии Tor Browser и предложением установить обновление (ссылка вела на сборку с троянским ПО), а на втором содержимое повторяло страницу для загрузки Tor Browser. Вредоносная сборка была формирована только для Windows.


Троянский Tor Browser с 2017 года продвигался на различных русскоязычных форумах, в обсуждениях связанных с даркнетом, криптовалютами, обходом блокировок Роскомнадзора и вопросами обеспечения конфиденциальности. Для распространения браузера на pastebin.com также было создано множество страниц, оптимизированных для вывода в топе поисковых систем по темам, связанным с различными незаконными операциями, цензурой, именами известных политиков и т.п. Страницы с рекламой фиктивной версией браузера на pastebin.com были просмотрены более 500 тысяч раз.


Фиктивная сборка была основана на кодовой базе Tor Browser 7.5 и кроме встроенных вредоносных функций, небольшой корректировки User-Agent, отключения проверки цифровых подписей для дополнений и блокирования системы установки обновлений была идентична официальному Tor Browser. Вредоносная вставка сводилась к прикреплению обработчика контента в штатное дополнение HTTPS Everywhere (в manifest.json был добавлен дополнительный скрипт script.js). Остальные изменения были произведены на уровне корректировки настроек, а все бинарные части оставались от официального Tor Browser.


Интегрированный в HTTPS Everywhere скрипт при открытии каждой страницы обращался к управляющему серверу, который возвращал JavaScript-код, который следовало исполнить в контексте текущей страницы. Управляющий сервер функционировал как скрытый сервис Tor. Через выполнения JavaScript-кода злоумышленники могли организовать перехват содержимого web-форм, подстановку или скрытие произвольных элементов на страницах, отображение фиктивных сообщений и т.п. Тем не менее, при анализе вредоносного кода было зафиксирован только код для подмены реквизитов QIWI и кошельков Bitcoin на страницах приёма платежей в darknet. В ходе вредоносной деятельности на используемых для подмены кошельках накопилось 4.8 Bitcoin, что соответствует примерно 40 тысячам долларов.

Фиктивная русская версия Tor Browser использовалась для кражи криптовалюты и QIWI Trojan, Tor, Фишинг, Длиннопост
Фиктивная русская версия Tor Browser использовалась для кражи криптовалюты и QIWI Trojan, Tor, Фишинг, Длиннопост
Фиктивная русская версия Tor Browser использовалась для кражи криптовалюты и QIWI Trojan, Tor, Фишинг, Длиннопост
Показать полностью 3
12

Выпуск сборочного инструментария Qbs 1.14, развитие которого продолжило сообщество

Представлен выпуск сборочного инструментария Qbs 1.14. Это первый выпуск после ухода компании Qt Company от разработки проекта, подготовленный силами сообщества, заинтересованного в продолжении разработки Qbs. Для сборки Qbs в числе зависимостей требуется Qt, хотя сам Qbs рассчитан на организацию сборки любых проектов. Qbs использует упрощённый вариант языка QML для определения сценариев сборки проекта, что позволяет определять достаточно гибкие правила сборки, в которых могут подключаться внешние модули, использоваться функции на JavaScript и создаваться произвольные правила сборки.


Используемый в Qbs язык сценариев адаптирован для автоматизации генерации и разбора сценариев сборки интегрированными средами разработки. Кроме того, Qbs не генерирует make-файлы, а сам, без посредников, таких как утилита make, контролирует запуск компиляторов и компоновщиков, оптимизируя процесс сборки на основе детального графа всех зависимостей. Наличие изначальных данных о структуре и зависимостях в проекте позволяет эффективно распараллеливать выполнение операций в несколько потоков. Для крупных проектов, состоящих из большого числа файлов и поддиректорий, производительность повторной пересборки с использованием Qbs может опережать make в разы - пересборка выполняется почти мгновенно и не заставляет разработчика тратить время на ожидание.


Напомним, что год назад компанией Qt Company было принято решение о прекращении разработки Qbs. Qbs развивался как замена qmake, но в конечном счёте было решено использовать CMake в качестве основной сборочной системы для Qt в долгосрочной перспективе. Разработка Qbs теперь продолжена в форме независимого проекта, поддерживаемого силами сообщества и заинтересованными разработчиками. Для разработки пока продолжает использоваться инфраструктура Qt Company. Поддержка Qbs 1.14.0 встроена в Qt Creator 4.10.1, а следующий выпуск Qbs 1.15 ожидается одновременно с Qt Creator 4.11.


Основные новшества Qbs 1.14:


Поддержка Visual Studio 2019 и clang-cl (альтернативный интерфейс командной строки Clang, совместимый на уровне опций с компилятором cl.exe из состава Visual Studio);

Поддержка инструментариев разработки для встраиваемых устройств IAR, KEIL и SDCC, позволяющая использовать Qbs для проектов, развиваемых для нескольких аппаратных платформ;

Добавлены конфигурационный файлы и сборочные скрипты для системы непрерывной интеграции Travis CI, позволяющие собирать и тестировать каждый рецензируемый в Gerrit набор патчей для Qbs;

Полностью переработан Docker-образ на основе Debian, который можно использовать в качестве сборочного и тестового окружения;

Прекращена поддержка старых версий Android NDK (‹19).

22

Удалённо эксплуатируемая уязвимость в Linux-драйвере для чипов Realtek

Во входящем в состав ядра Linux драйвере rtlwifi для беспроводных адаптеров на чипах Realtek выявлена уязвимость (CVE-2019-17666), которая потенциально может быть эксплуатирована для организации выполнения кода в контексте ядра при отправке специально оформленных кадров.


Уязвимость вызвана переполнением буфера в коде с реализацией режима P2P (Wifi-Direct). При разборе кадров NoA (Notice of Absence) отсутствует проверка размера одного из значений, что позволяет добиться записи хвоста данных в область за границей буфера и переписать информацию в следующих за буфером структурах ядра.


Атака может быть совершена через отправку специально оформленных кадров на систему с активным сетевым адаптером на базе чипа Realtek с поддержкой технологии Wi-Fi Direct, позволяющей двум беспроводным адаптерам установить соединение напрямую без точки доступа. Для эксплуатации проблемы подключение к беспроводной сети атакующего не требуется, также не требуется выполнения каких-либо действий со стороны пользователя, достаточно нахождения атакующего в зоне охвата беспроводного сигнала.


Рабочий прототип эксплоита пока ограничивается удалённым вызовом краха ядра, но потенциально уязвимость не исключает возможности организации выполнения кода (предположение пока только теоретическое, так как прототипа эксплоита для выполнения кода ещё нет, но выявивший проблему исследователь уже работает над его созданием).


Проблема проявляется начиная с ядра 3.12 (по другим данным, проблема проявляется начиная с ядра 3.10), выпущенного в 2013 году. Исправление пока доступно только в виде патча. В дистрибутивах проблема остаётся неисправленной. Проследить за устранением уязвимостей в дистрибутивах можно на данных страницах: Debian, SUSE/openSUSE, RHEL, Ubuntu, Arch Linux, Fedora. Вероятно уязвимость также затрагивает и платформу Android.

270

Проект Tor опубликовал OnionShare 2.2

Проект Tor представил выпуск утилиты OnionShare 2.2, позволяющей безопасно и анонимно передавать и получать файлы, а также организовать работу публичного сервиса для обмена файлами. Код проекта написан на языке Python и распространяется под лицензий GPLv3. Готовые пакеты подготовлены для Ubuntu, Fedora, Windows и macOS.


OnionShare запускает на локальной системе web-сервер, работающий в форме скрытого сервиса Tor, и делает его доступным для других пользователей. Для доступа к серверу генерируется непредсказуемый onion-адрес, который выступает в роли точки входа для организации обмена файлами (например, "http://ash4...pajf2b.onion/slug", где slug - два случайных слова для усиления защиты). Для загрузки или отправки файлов другим пользователям достаточно открыть этот адрес в Tor Browser. В отличие от отправки файлов по email или через такие сервисы, как Google Drive, DropBox и WeTransfer, система OnionShare является самодостаточной, не требует обращения к внешним серверам и позволяет передать файл без посредников напрямую со своего компьютера.


От других участников обмена файлами не требуется установка OnionShare, достаточно обычного Tor Browser и одного экземпляра OnionShare у одного из пользователей. Конфиденциальность пересылки осуществляется путём безопасной передачи адреса, например, используя режим end2end-шифрования в мессенджере. После завершения передачи адрес сразу удаляется, т.е. передать файл второй раз в обычном режиме не получится (требуется применение отдельного публичного режима). Для управления отдаваемыми и принимаемыми файлами, а также для контроля за передачей данных, на стороне запущенного на системе пользователя сервера предоставляется графический интерфейс.


В новом выпуске, помимо вкладок для открытия совместного доступа и приёма файлов, появилась функция публикации сайта. Указанная возможность позволяет использовать OnionShare в качестве простого web-сервера для отдачи статических страниц. Пользователю достаточно перетащить мышью необходимые файлы в окно OnionShare и нажать кнопку "Start sharing". После этого любые пользователи Tor Browser смогут обратиться к размещённой информации как к обычному сайту, используя URL с onion-адресом.


Если в корне размещён файл index.html, то будет показано его содержимое, а если его нет, то будет выведен список файлов и каталогов. При необходимости ограничить доступ к информации OnionShare поддерживает вход на страницу по логину и паролю при помощи штатного метода аутентификации HTTP Basic. В интерфейс OnionShare также добавлена возможность просмотра информации об истории посещений, позволяющая судить о том какие и когда были запрошены страницы.


По умолчанию для сайта генерируется временный onion-адреc, действующий пока запущен OnionShare. Чтобы сохранить адрес между перезапусками в настройках предусмотрена опция для генерации постоянных onion-адресов. Местоположение и IP-адрес пользовательской системы, на которой запущен OnionShare, скрыты при помощи технологии скрытых сервисов Tor, что позволяет быстро создавать сайты, которые невозможно цензурировать и отследить владельца.


Из изменений в новом выпуске также можно отметить появление в режиме обмена файлами возможности навигации по каталогам - пользователь может открыть доступ не к отдельным файлам, а к иерархии каталогов и другие пользователи смогут просматривать содержимое и загружать файлы, если в настройках не выбрана опция блокирования доступа после первой загрузки.

Проект Tor опубликовал OnionShare 2.2 Tor, Onion, Длиннопост
Проект Tor опубликовал OnionShare 2.2 Tor, Onion, Длиннопост
Проект Tor опубликовал OnionShare 2.2 Tor, Onion, Длиннопост
Показать полностью 3
25

Http всё

Связанные с индикаторами изменения войдут в состав выпуска Firefox 70, намеченного на 22 октября. Наконец-то, заждались, уже несколько пару лет нас завтраками кормят.


Вкратце: теперь все http и ftp страницы будут в строке помечаться не безопасными, вот так:

Http всё Firefox, Http, Https, Secure
Http всё Firefox, Http, Https, Secure

Что хорошо: обычные доменные сертификаты теперь просто серые (о, и EV теперь без плашки, проглядел), чуть-чуть бизнес у фишинговых и прочих мошенников поломается (чуть-чуть, ведь «лох не мамонт, лох не вымрет»).


Для ftp вообще посрать, его скоро выкинут (запамятовал с какого выпуска). А вот с http ждем кучу нытья и ложных репортов у ретроградов.


стырено с опеннета


P.S. Сам я давно уже вешаю на статичные html-странички сертификаты, спасибо Let’s Encrypt.

P.S.S. Кстати, что там у гугла и остальных на хромиуме? Тоже давно планируют, но я за ними так не слежу.

9

Усиление изоляции между сайтами в ChromeУязвимость в пакетном менеджере GNU Guix

Компания Google объявила об усилении в Chrome режима межсайтовой изоляции, обеспечивающего обработку страниц с разных сайтов в отдельных изолированных процессах. Режим изоляции на уровне сайтов позволяет обезопасить пользователя от атак, которые могут быть совершены через используемые на сайте сторонние блоки, такие как внешние скрипты и iframe-вставки, или для блокирования течки данных через встраивание легитимных блоков (например, с запросами к банковским сервисам, на которых может быть аутентифицирован пользователь) на вредоносных сайтах.


При разделении обработчиков в привязке к домену, в каждом процессе находятся данные только одного сайта, что затрудняет совершение атак, направленных на межсайтовый захват данных. В настольных версиях Chrome разделение обработчиков в привязке к домену, а не вкладке, реализовано начиная с Chrome 67. В Chrome 77 подобный режим был активирован и для платформы Android.


Для снижения накладных расходов режим изоляции сайтов в Android включается только если на странице зафиксирован вход при помощи пароля. Chrome запоминает факт использования пароля и включает защиту и для всех дальнейших обращений к сайту. Защита также применяется сразу для избранного списка предопределённых сайтов, популярных среди пользователей мобильных устройств. Выборочный метод активации и добавленные оптимизации позволили удержать рост потребления памяти из-за увеличения числа работающих процессов в среднем на уровне 3-5%, вместо 10-13%, наблюдаемых при активации изоляции для всех сайтов.


Новый режим изоляции активирован для 99% пользователей Chrome 77 на Android-устройствах, снабжённых как минимум 2 Гб ОЗУ (для 1% пользователей режим остался отключённым для мониторинга за производительностью). Включить или отключить режим изоляции сайтов вручную можно через настройку "chrome://flags/#enable-site-per-process".


В настольной редакции Chrome вышеотмеченный режим изоляции сайтов теперь усилен для противостояния атакам, нацеленным на полную компрометацию процесса с обработчиком контента. Улучшенный режим изоляции позволит защитить данные сайтов от двух дополнительных видов угроз: утечек данных в результате атак по сторонним каналам, таких как Spectre, и утечек после полной компрометации процесса-обработчика при успешной эксплуатации уязвимостей, позволяющих получить контроль над процессом, но не достаточных для обхода sandbox-изоляции. В Chrome для Android подобная защита будет добавлена позднее.


Суть метода в том, что управляющий процесс запоминает как какому сайту рабочий процесс имеет доступ и запрещает обращение к другим сайтам, даже если атакующий получит контроль над процессом и попытается получить доступ к ресурсам другого сайта. Ограничения охватывают ресурсы, связанные с аутентификацией (сохранённые пароли и Cookie), загружаемыми напрямую по сети данными (фильтруются и привязываются в текущему сайту HTML, XML, JSON, PDF и прочие типы файлов), данными во внутренних хранилищах (localStorage), полномочиями (выданные сайту разрешения доступа к микрофону и т.п.) и сообщениями, передаваемыми через API postMessage и BroadcastChannel. Все подобные ресурсы связываются меткой с исходным сайтом и проверяются на стороне управляющего процесса на предмет возможности передачи по запросу из рабочего процесса.


Из связанных с Chrome событий также можно отметить начало утверждения включения в Chrome поддержки функции Scroll-To-Text, дающей возможность формировать ссылки на отдельные слова или фразы, без явного указания в документе меток при помощи тега "a name" или свойства "id". Синтаксис подобных ссылок планируется утвердить в качестве web-стандарта, который пока находится на стадии черновика. Маска для перехода (по сути выполняется поиск с прокруткой) отделяется от обычного якоря признаком ":~:". Например, при открытии ссылки "https://opennet.ru/51702/#:~:text=Chromе" страница сдвинется на позицию с первым упоминанием слова "Chromе" и данное слово будет подсвечено. Возможность добавлена в ветку Canary, но для включения требует запуска с флагом "--enable-blink-features=TextFragmentIdentifiers".


Другим интересным предстоящим изменением в Chrome является возможность заморозки неактивных вкладок, позволяющая автоматически выгрузить из памяти вкладки, которые находятся в фоновом состоянии более 5 минут и не выполняют имеющих значение действий. Решение о пригодности той или иной вкладки для заморозки принимаются на основе эвристики. Изменение добавлено в ветку Canary, на базе которой будет сформирован выпуск Chrome 79, и включается через флаг "chrome://flags/#proactive-tab-freeze".

Усиление изоляции между сайтами в ChromeУязвимость в пакетном менеджере GNU Guix Sandbox, Google Chrome, Google, Длиннопост
Показать полностью 1

Мы ищем frontend-разработчика

Мы ищем frontend-разработчика

Привет!)


"Шо? опять?"

Задач так много, что мы не успеваем! И вот нам снова нужны frontend-разработчики!

Как уже стало традицией, мы предлагаем небольшую игру, где вам необходимо при помощи знаний JS, CSS и HTML пройти ряд испытаний!


Зачем всё это?

Каждый день на Пикабу заходит 2,5 млн человек, появляется около 2500 постов и 95 000 комментариев. Наша цель – делать самое уютное и удобное сообщество. Мы хотим регулярно радовать пользователей новыми функциями, не задерживать обещанные обновления и вовремя отлавливать баги.


Что надо делать?

Например, реализовывать новые фичи (как эти) и улучшать инструменты для работы внутри Пикабу. Не бояться рутины и удаленной командной работы (по чатам!).


Вам необходимо знать современные JS, CSS и HTML, уметь писать быстрый и безопасный код ;) Хотя бы немножко знать о Less, Sass, webpack, gulp, npm, Web APIs, jsDoc, git и др.


Какие у вас условия?

Рыночное вознаграждение по результатам тестового и собеседования, официальное оформление, полный рабочий день, но гибкий график. Если вас не пугает удаленная работа и ваш часовой пояс отличается от московского не больше, чем на 3 часа, тогда вы тоже можете присоединиться к нам!


Ну как, интересно? Тогда пробуйте ваши силы по ссылке :)

Если вы успешно пройдете испытание и оставите достаточно информации о себе (ссылку на резюме, примеры кода, описание ваших знаний), и если наша вакансия ещё не будет закрыта, то мы с вами обязательно свяжемся по email.

Удачи вам! ;)

Показать полностью
Отличная работа, все прочитано!