Разработчики Chrome намерены ограничить всплывающие диалоги на JavaScript

Разработчики web-браузера Chrome рассматривают возможность ограничения диалогов, реализуемых средствами JavaScript и блокирующих просмотр контента. В основной массе подобные диалоги применяются для навязывания каких-то действий и вызывают значительное недовольство среди посетителей.

Помимо раздражающих, но безвредных и одобренных владельцами ресурсов, всплывающих диалогов, в которых предлагается пройти различные опросы, обратиться к online-консультанту, подписаться на канал в социальной сети или подтвердить закрытие страницы, последнее время участились случаи использования данных диалогов для мошенничества или совершения вредоносных действий. Например, через рекламные сети или взлом сайтов продвигаются блоки, предлагающие обновить браузер чтобы продолжить просмотр страницы или установить поддельный антивирус под предлогом обнаружения в системе вируса, а также симулирующие возникновение системной ошибки и предлагающие позвонить по указанному номеру телефона.

Рассматривается несколько путей блокирования назойливых всплывающих диалогов, с сохранением возможности их применения по назначению. Вместо блоков, перекрывающих содержимое и останавливающих дальнейшую работу со страницей/браузером, для вывода уведомлений предлагается использовать Notifications API для показа не блокирующих работу уведомлений и HTML-тег dialog для организация ввода, а для отладочных целей console.log(document.origin).

На первом этапе предлагается изменить реализацию функций alert(), confirm() и prompt(), сделав их немодальными (не блокирующими страницу) и, по аналогии с тем, как это реализовано в браузере Safari, обеспечить их автоматическое закрытие при переключении на другую вкладку. Также рассматривается возможность отключения показа диалогов alert(), confirm() и prompt(), если пользователь просто просматривает страницу, не взаимодействуя с ней.

Источник: [ссылка]

Раскрыты подробности о root-уязвимости в ядре Linux, атакованной на Pwn2Own

Опубликованы сведения о 0-day уязвимости в ядре Linux (CVE-2017-7184), которая была использована на соревновании Pwn2Own 2017 для демонстрации атаки на Ubuntu Linux, позволившей локальному пользователю выполнить код с правами root.

Уязвимость вызвана ошибкой во фреймворке преобразования сетевых пакетов XFRM, применяемом для реализации IPsec. В функции xfrm_replay_verify_len(), вызываемой из xfrm_new_ae(), не выполнялась проверка заданного пользователем параметра replay_window, записываемого в буфер состояний. Манипулируя содержимым, связанным с данным параметром, атакующий может организовать запись и чтение данных в областях памяти ядра за пределами выделенного буфера.

Несмотря на то, что эксплуатация была продемонстрирована в Ubuntu, проблема не специфична для данного дистрибутива и проявляется в любых других системах на базе ядра Linux. Как и в нескольких предыдущих root-уязвимостях в ядре, проблема может быть эксплуатирована только при включении пространств имён для идентификаторов пользователей (user namespaces). Например, пакеты с ядром для Ubuntu и Fedora уязвимы по умолчанию, а ядро Debian и RHEL/CentOS 7 может быть атаковано только после явной активации поддержки «user namespaces» (sysctl kernel.unprivileged_userns_clone=1). Атака также затруднена на старые системы с версиями ядра меньше 3.9 из-за отсутствия в них поддержки «user namespaces».

При проведении атаки «user namespaces» используется для получения обычным пользователем прав CAP_NET_ADMIN, необходимых для настройки параметров XFRM. Так как создаваемое через «user namespaces» изолированное окружение и основная система обслуживаются одним ядром Linux, то эксплуатация уязвимости в ядре из контейнера позволяет обойти ограничения контейнерной изоляции и получить привилегированный доступ к основной системе.

Для ядра Linux исправление доступно в виде патчей. Обновления пакетов пока выпущены только для Ubuntu, openSUSE, SUSE Linux Enterprise 12. Проблема остаётся неисправленной в Fedora, Debian и CentOS/RHEL 7. Уязвимость не затрагивает SLE 11, RHEL 5 и RHEL 6.

Источник: [ссылка]

Выпуск Kubernetes 1.6, системы управления кластером изолированных контейнеров

Представлен релиз платформы оркестровки контейнеров Kubernetes 1.6, позволяющей как единым целым управлять кластером Linux-контейнеров, созданных с использованием таких инструментариев как Docker и rkt. Платформа обеспечивает эффективное распределение контейнеров по узлам кластера, производя миграцию в зависимости от изменения нагрузки и потребности в сервисах. Код Kubernetes написан на языке Go и распространяется под лицензией Apache 2.0.

Проект Kubernetes изначально был основан компанией Google и позиционируется как развиваемое сообществом универсальное решение, не привязанное к отдельным системам и способное работать с любыми приложениями в любых облачных окружениях. Предоставляются функции для развёртывания и управления инфраструктурой, такие как ведение базы DNS, балансировка нагрузки, проверка работоспособности на уровне приложений, управление аккаунтами, обновление и динамическое масштабирование работающего кластера, без его остановки. Возможно развёртывание групп контейнеров с выполнением операций обновлений и отмены изменений сразу для всей группы, а также логическое разбиение кластера на части с разделением ресурсов. Имеется поддержка динамической миграции приложений, для хранения данных которых могут применяться как локальные хранилища, так и сетевые системы хранения.

Kubernetes 1.6 стал первым релизом, подготовленным не под предводительством Google, а объединённой командой разработчиков. В разработке приняли участие представители компаний CoreOS, Microsoft, Red Hat, Heptio, Mirantis и Google, а также индивидуальные участники из сообщества. Основные новшества:

  • Задействовано по умолчанию распределённое хранилище параметров конфигурации etcdv3. Применение etcdv3 позволило существенно увеличить масштибруемость — Kubernetes теперь может использоваться в кластерах, насчитывающих до 5000 узлов;
  • Переведены в разряд стабильных средства для динамического выделения места в хранилище;
  • Началось бета-тестирование поддержки разграничения доступа на основе ролей (RBAC). RBAC предоставляет дополнительный уровень безопасности, позволяющий гранулировано распределять привилегии в кластере на уровне предоставления отдельным пользователям доступа к различным компонентам, контроллерам и узлам кластера.
  • Платформа избавлена от прямой зависимости от конкретных runtime для запуска контейнеров. Пользователям предоставлена возможность использования runtime, отличных от Docker, в том числе rkt и CRI-O.
  • Инструмент запуска кластера kubeadm переведён на стадию бета-тестирования. Всё сетевое взаимодействие теперь производится только через TLS. Добавлена возможность установки плагинов для авторизации и управления токенами;
  • Инструмент для объединения систем (Federation) kubefed переведён на стадию бета-тестирования. Взаимодействие с runtime контейнеров теперь производится через интерфейс CRI. По умолчанию предлагается плагин с runtime Docker-CRI;
  • Реализована возможность использования нескольких планировщиков;
  • Для узлов и групп контейнеров (pods) добавлены средства привязки (affinity);
  • Для групп контейнеров (на каждый pod) теперь можно указать как долго pod должен быть прикреплён к узлу, в случае возникновения проблем с узлом;
  • Обеспеченна предустановка StorageClass для и Azure, AWS, GCE, OpenStack и vSphere.

Источник: [ссылка]

Для Android реализована возможность применения штатных видеодрайверов Linux

В ходе совместной работы инженеры из Collabora и Google подготовили прослойку «drm_hwcomposer», обеспечивающую работу графической подсистемы платформы Android поверх штатного графического стека ядра Linux и API DRM (Direct Rendering Manager). Код прослойки drm_hwcomposer принят в основной репозиторий проекта Chrome OS.

Напомним, что в Android применяются специфичные видеодрайверы, работающие в пространстве пользователя и предоставляющие интерфейс для доступа к графическому оборудованию через API Hardware Composer (HWC). Прослойка «drm_hwcomposer» работает поверх mesa и libdrm, обеспечивая трансляцию API DRM в API HWC, что позволяет реализовать поддержку HWC на базе обычных DRM-драйверов. При этом SurfaceFlinger, композитный менеджер Android, продолжает использовать API HWC и не требует модификации.

Прослойка может работать только с ядрами Linux 4.10 и новее, так как завязана на использовании появившегося в ядре 4.10 механизма «explicit fencing» (in-fence/out-fence), позволяющего управлять синхронизацией буферов между устройствами из пространства пользователя. Поддержка «explicit fencing» в ядре также дала возможность обеспечить поддержку в прослойке нового API HWC2, представленного в Android 7.0.

Демонстрируя возможности прослойки, разработчики запустили Android на плате Dragonboard 410c поверх Freedreno, свободного видеодрайвера для графической подсистемы чипов Qualcomm. Freedreno поддерживает в том числе GPU Adreno (A5XX), применяемые в SoC Snapdragon 820 и 821, которые используются во многих современных смартфонах, с видеоподсистемами которых до сих пор можно было взаимодействовать только через проприетарные драйверы. Прослойка может подтолкнуть вперёд развитие проекта Replicant, в рамках которого развивается полностью открытый вариант платформы Android, избавленный от проприетарных компонентов и закрытых драйверов, разработка которого во многом буксует из-за отсутствия открытых Android-драйверов для GPU популярных мобильных SoC.

Источник: [ссылка]

Компания AT&T стала платиновым участником Linux Foundation и открыла код ECOMP

Некоммерческая организация Linux Foundation, курирующая широкий спектр работ, связанных с развитием Linux, объявила о вступлении в свои ряды компании AT&T, которая получила статус платинового участника. Платиновые участники получают право вхождения представителя компании в совет директоров Linux Foundation, оплачивая при этом ежегодный взнос в размере 500 тыс. долларов. В рамках сотрудничества с Linux Foundation компания AT&T открыла под лицензией Apache 2.0 исходные тексты платформы ECOMP (Enhanced Control, Orchestration, Management and Policy), которая насчитывает несколько миллионов строк кода, а также инициировала совместный свободный проект ONAP (Open Network Automation Platform), объединивший наработки AT&T и OPEN-O в области автоматизации сетевой инфраструктуры.

ECOMP позиционируется как сетевая операционная система для развёртывания программно-конфигурируемых сетей (SDN, Software-Defined Networking), в которых управление сетью отделено от уровня передачи данных и конфигурируется программно. Целью проекта является предоставление средств для проектирования, создания, оркестровки, мониторинга и обслуживания виртуальных сетевых функций (VNF, Virtual Network Functions) в программно-конфигурируемых сетевых окружениях. В качестве примеров на базе ECOMP подготовлены облачные окружения с реализацией виртуального межсетевого экрана и виртуальной службы DNS.

Размер взноса золотого участника составляет $100 тыс. в год, платинового — $500 тыс. в год, серебряного — $5-20 тыс. в год. Кроме AT&T в число платиновых партнеров Linux Foundation входят компании Fujitsu, Microsoft, HP, Cisco, Huawei, IBM, Intel, Samsung, NEC, Qualcomm и Oracle. Из золотых участников можно отметить Accenture, Blackrock, Citrix, Dell EMC, Doky, Facebook, Hart, Panasonic, Renesas, SUSE, Toshiba, VMware и Toyota.

Источник: [ссылка]

Конфликт в сообществе Drupal из-за расхождения личных взглядов и общественных ценностей

В сообществе Drupal разразился конфликт между Дрисом Байтаертом (Dries Buytaert), создателем системы управления контентом Drupal и сооснователем компании Acquia, и Ларри Гарфилдом (Larry Garfield), одним из наиболее активных участников сообщества, представляющим Drupal в комитете PHP Framework Interoperability Group, ведущим конференций по Drupal, разработчиком архитектуры системы хранения данных в Drupal 7 и лидером команды Drupal 8 Web Services.

Конфликт возник после того, как Дрис Байтаер в частном порядке попросил Ларри Гарфилда уйти из сообщества разработчиков Drupal, так как всплыла информация о том, что Ларри приверженец BDSM и субкультуры Gorean, сторонники которой проводят ролевые игры, в которых мужчины доминируют над женщинами по обоюдному согласию. Дрис мотивировал необходимость ухода тем, что подобные взгляды расходятся с ценностями сообщества Drupal и могут негативно отразиться на репутации проекта.

Ларри Гарфилд не согласился с такой позицией, считая, что вправе придерживаться любых взглядов в своей частной жизни — это его личное дело и он никогда никому не навязывал и не рассказывал о своих личных увлечениях, а также не проявлял неуважения к женщинам-коллегам, о чем подтвердили в комментариях многие участницы проекта Drupal. Ларри является участником сообщества Gorean с 2002 года и претензии по этому поводу почему-то возникли только сейчас.

В качестве компромата были выставлены некоторые публикации Ларри в закрытом форуме сообщества Gorean, которые не предназначались для публичного доступа. Дрис Байтаер указал на то, что когда о расходящихся с традиционными ценностями личных взглядах известного представителя сообщества становится известно публично, они вносят смуту и разрушительно действуют на проект, и асоциальная философия начинает ассоциироваться не только с Ларри, но и с самим проектом.

Совет по взаимодействию с сообществом (CWG, Community Working Group) признал, что деятельность Ларри не нарушает кодекс поведения в сообществе (Code of Conduct), который допускает участие в разработке независимо от взглядов и личных предпочтений. С другой стороны, участники Drupal Association приняли решение в этом году отстранить Ларри от проведения конференции DrupalCon.

В сообществе разразилась большая дискуссия, в которой можно встретить и мнения, что Дрис Байтаер заискивает перед инвесторами перед выходом компании Acquia на IPO и в обход мнения сообщества единолично пытается бороться с инакомыслием, и вопросы, почему у Ларри Гарфилда на конференциях предпочтение отдавалось докладчикам мужчинам (по статистике 20% докладчиков DrupalCon были женщинами) и почему он должным образом не держал тайне свои личные данные на форумах Gorean.

Источник: [ссылка]

Релиз операционной системы DragonFly BSD 4.8

После восьми месяцев разработки подготовлен релиз DragonFlyBSD 4.8, операционной системы с гибридным ядром, созданной в 2003 году с целью альтернативного развития ветки FreeBSD 4.x. Из особенностей DragonFly BSD можно выделить распределённую версионную файловую систему HAMMER, поддержку загрузки «виртуальных» ядер системы как пользовательских процессов, возможность кэширования данных и мета-данных ФС на SSD-накопителях, учитывающие контекст вариантные символические ссылки, возможность заморозки процессов с сохранением их состояния на диске, гибридное ядро, использующее легковесные потоки (LWKT).

Из наиболее существенных новшеств DragonFlyBSD 4.8 отмечается заметное увеличение производительности ядра, поддержка EFI в инсталляторе, новые драйверы NVMe и eMMC, обновление графических драйверов для GPU Intel, переход на LibreSSL.

Основные улучшения, добавленные в DragonFlyBSD 4.8:

  • В ядре проведена оптимизация, нацеленная на локализацию использования кэша CPU — уменьшение миграции кода между ядрами привело к повышению эффективности кэширования и повышению производительности. При работе с кэшем имён в VFS и выполнении вызовов exec() выигрыш может достигать 30%. В реальных задачах, например, при выполнении массовой пересборки на многоядерных системах, наблюдается увеличение производительности в среднем на 5%. Оптимизации также затронули и сетевой стек, в котором улучшена масштабируемость на многоядерных системах;
  • Включён по умолчанию новый высокопроизводительный драйвер для твердотельных накопителей (SSD), соответствующих спецификации NVMe (PCIe SSD). Драйвер поддерживает предоставляемые контроллерами NVMe средства для распараллеливания операций и распределения выполнения обработчиков прерываний и очередей на несколько CPU;
  • В инсталлятор добавлена возможность установки на системах с EFI. Поддержка EFI добавлена в ядро и некоторые системные утилиты. Раздел /boot теперь может быть размещён на отдельном GPT-разделе или как DragonFly disklabel внутри GPT-раздела. По умолчанию GPT-разделы создаются для всех разделов DragonFly, и на них используется DragonFly disklabel, т.е. имена разделов назначаются как раньше;
  • Обновлён drm-драйвер i915, предоставляющий интерфейс для управления видеокартами Intel на уровне ядра (KMS). Код драйвера i915 синхронизирован с ядром Linux 4.6 (в прошлом выпуске 4.4). Улучшена поддержка графических подсистем, используемых в процессорах на базе микроархитектур Broadwell и Skylake;
  • Добавлена поддержка загрузки с накопителей eMMC;
  • Добавлена возможность настройки загрузки модулей ядра, обеспечивающих поддержку файловых систем, не применяемых при загрузке, через rc.conf, вместо loader.conf;
  • Обеспечена поддержка сборки ядра с применением в компиляторе режима оптимизации «-O2»;
  • Виртуализированные ядра vkernel, запускаемые как пользовательский процесс, переведены на использование механизма COW (Copy On Write), что позволило организовать совместное использования одного и того же дискового образа для запуска нескольких окружений;
  • В powerd добавлены средства управления, учитывающие данные с датчиков температуры. Например, теперь можно настроить принудительное понижение частоты при выходе температуры за допустимую границу, чтобы избежать проблем на компьютерах с некачественной или нерабочей системой охлаждения;
  • Компоненты базовой системы переведены по умолчанию на использование библиотек libssl.so и libcrypto.so из пакета LibreSSL вместо OpenSSL;
  • В состав включён новый высокопроизводительный редактор связей Gold (Google ld), примечательный поддержкой оптимизаций на этапе связывания (LTO) и значительно более высокой производительности компоновки (в 5 раз быстрее стандартного ld);
  • Компилятор в базовой системе обновлён до GCC 5.4.1. Набор binutils обновлён до версии 2.25;
  • Внесена порция исправлений для файловой системы HAMMER1, но в релиз не вошла ранее тестируемая более быстрая реализация алгоритма расчёта контрольных сумм, которая отложена до следующего выпуска. Обновлённый вариант ФС HAMMER2 пока не вышел из стадии текстирования. ФС HAMMER2 примечательна такими функциями, как отдельное монтирование снапшотов, доступные на запись снапшоты, квоты на уровне директорий, инкрементальное зеркалирование, поддержка различных алгоритмов сжатия данных, multi-master зеркалирование с распределением данных на несколько хостов;
  • Представлен начальный инструментарий для использования Clang в качестве альтернативного компилятора, вместо GCC. Работа над данной возможностью пока не завершена, но Clang отдельно может быть установлен из пакетов.

Источник: [ссылка]

Фонд СПО объявил обладателей ежегодной премии за вклад в развитие свободного ПО

Ричард Столлман объявил на конференции LibrePlanet 2017 лауреатов ежегодной премии «Free Software Awards 2016«, учрежденной Фондом свободного ПО (FSF) и присуждаемой людям, внесшим наиболее значительный вклад в развитие свободного ПО, а также социально значимым свободным проектам.

Премию за продвижение и развитие свободного ПО, получил Александре Олива (Alexandre Oliva), известный бразильский популяризатор и разработчик свободного ПО. Александре является основателем Латиноамериканского Фонда СПО и сопровождает разработку проекта Linux-Libre, в рамках которого развивается полностью свободный вариант ядра Linux, очищенный от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. Кроме того, Александре принимает участие в разработке таких проектов, как GCC и Glibc, в том числе был одним из мэйнтейнеров проекта Glibc. Из достижений Александре также отмечается инициатива по обратному инжинирингу проприетарного ПО, используемого гражданами Бразилии для отправки налоговой отчётности, с целью создания полностью свободной альтернативы.

В номинации, вручаемой проектам, принесшим значительную пользу обществу и способствовавшим решению важных социальных задач, награда присуждена свободному проекту SecureDrop, развивающего платформу для обеспечения конфеденциальной передачи информации журналистам, позволяющую источнику информации сохранить свою анонимность, а изданиям организовать прямой защищённый канал связи с информаторами, минуя посредников (сервер SecureDrop размещается в сети издания и работает в виде скрытого сервиса Tor, а источнику присваивается случайный идентификатор для дальнейшего взаимодействия). Платформа уже используется многими известными изданиями, такими как Forbes, The New Yorker, ProPublica, The Guardian, The Intercept, The Washington Post и USA Today.

Список прошлых победителей:

  • 2015 Вернер Кох (Werner Koch), создатель и основной разработчик инструментария GnuPG (GNU Privacy Guard);
  • 2014 Себастьян Жодонь (Sébastien Jodogne), автор Orthanc, свободного DICOM-сервера для обеспечения доступа к данным компьютерной томографии;
  • 2013 Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, входящий в технический совет организации Linux Foundation, внёсший значительный вклад в обеспечение загрузки Linux на системах с UEFI Secure Boot;
  • 2012 Фернандо Переc (Fernando Perez), автор IPython, интерактивной оболочки для языка Python;
  • 2011 Юкихиро Мацумото (Yukihiro Matsumoto), автору языка программирования Ruby. Юкихиро уже на протяжении 20 лет участвует в развитии проектов GNU, Ruby и других открытых проектов;
  • 2010 Роб Савуа (Rob Savoye), лидер проекта по созданию свободного Flash-плеера Gnash. Роб Савуа уже на протяжении 20 лет участвует в разработке различных свободных проектов, его код можно найти в таких программах, как GCC, GDB, DejaGnu, Newlib, Libgloss, Cygwin, eCos, Expect. Роб также принимал участие в разработке некоторых крупнейших GNU/Linux дистрибутивов и проекта One Laptop Per Child. Роб является основателем компании Open Media Now, в которой в настоящее время занимает пост технического директора. Компания Open Media Now развивает проект по созданию свободнолицензируемой медиа-инфраструктуры;
  • 2009 Джон Гилмор (John Gilmore), один из основателей правозащитной организации Electronic Frontier Foundation, создатель легендарного списка рассылки Cypherpunks и иерархии Usenet-конференций alt.*. Гилмор также известен учреждением в 1989 году компании Cygnus Solutions, первой начавшей оказывать коммерческую поддержку для решений на базе свободного ПО и активно участвующей в развитии таких приложений, как Kerberos, GDВ, Binutils и GCC. Среди основанных Джоном Гилмором свободных проектов можно отметить: Cygwin, GNU Radio, Gnash, GNU tar, GNU UUCP и FreeS/WAN;
  • 2008 Wietse Venema (известный эксперт в области компьютерной безопасности, создатель таких популярных проектов, как Postfix, TCP Wrapper, SATAN и The Coroner’s Toolkit);
  • 2007 Harald Welte (архитектор мобильной платформы OpenMoko, один из 5 основных разработчиков netfilter/iptables, мантейнер подсистемы пакетной фильтрации Linux ядра, активист движения свободного программного обеспечения, создатель сайта gpl-violations.org);
  • 2006 Theodore T’so (разработчик Kerberos v5, файловых систем ext2/ext3, известный хакер Linux ядра и участник группы, разработавшей спецификацию IPSEC);
  • 2005 Andrew Tridgell (создатель проектов samba и rsync);
  • 2004 Theo de Raadt (руководитель проекта OpenBSD);
  • 2003 Alan Cox (вклад в разработку Linux ядра);
  • 2002 Lawrence Lessig (популяризатор открытого ПО);
  • 2001 Guido van Rossum (автор языка Python);
  • 2000 Brian Paul (разработчик библиотеки Mesa 3D);
  • 1999 Miguel de Icaza (лидер проекта GNOME);
  • 1998 Larry Wall (создатель языка Perl).

Премию за развитие социально значимых свободных проектов получили организации: Library Freedom Project (2015), Reglue (2014), GNOME Outreach Program for Women (2013), OpenMRS (2012), GNU Health (2011), Tor Project (2010), Internet Archive (2009), Creative Commons (2008), Groklaw (2007), Sahana (2006) и Wikipedia (2005).

Источник: [ссылка]

Проект Mozilla по созданию нового оформления интерфейса Firefox

В рамках проекта Photon началась большая работа по модернизации интерфейса Firefox, в которую вовлечены 12 инженеров и 7 дизайнеров Mozilla. Новое оформление планируется предложить в ноябрьском выпуске Firefox 57, вместе с полным переходом на WebExtensions, прекращением поддержки XUL и задействованием нового web-движка Quantum, комбинирующего проверенные временем компоненты движка Gecko с новыми возможностями по обеспечению многопоточной обработки данных, предоставляемые языком Rust и движком Servo.

Photon можно сравнить с проектом Australis, в рамках которого было разработано новое оформление Firefox 29. Работа над Photon будет проведена с разделением на пять подпроектов, каждый из которых сосредоточен на модернизации определённой узкой области. Например, будут созданы подпроекты для оптимизации интерфейса для новичков (удобство первого знакомства с браузером), для придания интерфейсу более современного вида, для задействования анимации с целью придания большей динамичности, для оптимизации производительности и отзывчивости интерфейса и для улучшения структуры меню и средств кастомизации.

Работа над новым интерфейсом только началась, но уже доступен первый макет новой темы оформления. Макет лишь задаёт общий вектор развития и не является конечным. Наиболее заметным изменением является переработка строки вкладок, кнопки на которой избавлены от закруглений и отображаются с острыми углами. Заметным изменением также стало удаление отдельной панели для поиска, которая объединена с адресной строкой (будет ли оставлена опциональная возможность размещения панели поиска пока не известно). Освободившееся экранное пространство занято постоянно видимыми кнопками навигации в левой части (вперёд, назад, перезагрузить, домашняя страница).

Источник: [ссылка]

Выпуск Maru OS 0.4, Linux-окружения для Android

Представлен выпуск Maru OS 0.4, рабочего окружения для смартфонов, сочетающего Android и Debian GNU/Linux 8 «Jessie» с рабочим столом Xfce. Окружение рассчитано на комфортную работу как на экране смартфона, так и при подключении стационарного монитора или телевизора, клавиатуры и мыши. Наработки проекта распространяются под лицензией Apache 2.0. Готовые сборки сформированы для смартфонов Nexus 5 и Nexus 7. Ведётся работа по портированию для других устройств Nexus, а также для некоторых моделей смартфонов LG и Motorola.

В отличие от уже существующих Linux-окружений для Android (например, Debian noroot, GNURoot Debian, Complete Linux Installer и Linux Deploy) в Maru OS обеспечена более тесная интеграция Linux-контейнера с Android и автоматизирован выбор режима работы — при подключении монитора по HDMI предоставляется доступ к рабочему столу Xfce в окружении Debian, а при работе с экрана смартфона предлагается интерфейс Android. Обратной стороной подобной интеграции является поставка не в форме chroot-образа, а в виде самодостаточной прошивки на базе Android, включающей контейнер с полноценным Debian GNU/Linux, в котором можно устанавливать deb-пакеты, запускать офисные приложения и браузер Chromium, получить доступ к SD-карте, которая также используется приложениями в Android.

Основные новшества Maru OS 0.4:

  • Подготовлены сборки для устройства Nexus 7 2013 Wi-Fi (flo). Так как это первая официальная сборка для Nexus 7, она пока помечена как бета-выпуск, который будет переведён в разряд стабильных после более широкого тестирования;
  • Поддержка полного шифрования содержимого накопителя. Шифрование настраивается из секции Settings/Security и охватывает как области данных, используемые в мобильном окружении, так и данные в окружении для настольных систем;
  • Включены исправления, накопившиеся в репозитории AOSP для Android 6.0 «Marshmallow» (android-6.0.1_r72, android-6.0.1_r77 и android-6.0.1_r78), включая устранения уязвимостей, выпущенные до 1 февраля;
  • Инструментарий LXC обновлён до версии 1.0.9;
  • В установщик добавлена проверка на совместимость для предотвращения установки прошивки на неподдерживаемые устройства.

Источник: [ссылка]

Поставлена под сомнение валидность 30 тысяч HTTPS-сертификатов удостоверяющего центра Symantec

Компания Google намерена применить в Chrome блокировку для достаточно большой порции HTTPS-сертификатов, выданных удостоверяющим центром Symantec. Причиной блокировки стали выявленные злоупотребления при выдаче сертификатов уровня EV (Extended Validation). В итоге, под сомнение поставлена валидность более 30 тысяч EV-сертификатов Symantec, выданных за последние несколько лет.

EV-сертификаты подтверждают заявленные параметры идентификации и по правилам для их получения требуется проведение проверки документов о принадлежности домена и физическое присутствие владельца ресурса. В случае Symantec подобная проверка не проводилась должным образом, т.е. нет гарантии, что полномочия владельца всегда проверялись. Google обращает внимание на то, что Symantec предоставил доступ к инфраструктуре удостоверяющего центра как минимум четырём сторонним организациям, которым предоставлены полномочия по выдаче сертификатов. При этом компания Symantec не обеспечила должный уровень надзора за ними и допустила несоблюдение ими установленных стандартов обслуживания.

В ответ на запросы, компания Symantec также не могла предоставить в установленные сроки отчёты с разбором имевшихся инцидентов. В частности, исследователями безопасности было выявлено, что в январе удостоверяющим центром Symantec были сгенерированы 108 неправильно выданных сертификатов. Ранее, компания Symantec уже была вовлечена в скандал, связанный с выдачей сертификатов посторонним на чужие домены, в частности осенью 2015 года было уволено несколько сотрудников, которые были уличены в выдаче тестовых сертификатов на домены (в том числе на домены google.com, gmail.com и gstatic.com), без получения согласия владельцев доменов.

В пик своей активности, после покупки бизнеса аутентификации у VeriSign, доля выданных Symantec сертификатов превышала 30%, а по данным телеметрии Firefox в около 42% всех проверок фигурируют сертификаты Symantec. Оценив соразмерность имеющихся рисков и негативный эффект от удара по владельцам сайтов, использующих сертификаты Symantec, в Chrome намерены провести поэтапную блокировку. В первую очередь планируется отозвать EV-статус для всех сертификатов Symantec, т.е. данные сертификаты продолжат работу, но как сертификаты DV (Domain validation, верификация по домену), без отображения индикатора расширенной аутентификации и имени владельца. В дальнейшем постепенно все проблемные сертификаты будут заблокированы путём сокращения максимального срока их действия.

Symantec будет дано время на перепроверку и замену сертификатов. При этом EV-сертифиткаты от Symantec не будут распознаваться до тех пор, пока сообщество не убедится, что процесс выдачи EV-сертификатов не приведен к требованиям правил, но эмбарго на EV-сертификаты будет снято не раньше чем через год. В Chrome 59 значение максимального срока действия сертификатов Symantec планируется ограничить 33 месяцами, Chrome 60 — 27 месяцами, Chrome 61 — 21,…. Chrome 64 — 9 месяцами. Кроме того, для всех новых сертификатов предлагается сразу ограничить срок действия 9 месяцами.

Источник: [ссылка]

Выпуск операционной системы Chrome OS 57

Компания Google представлила релиз операционной системы Chrome OS 57, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 57. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач.

Сборка Chrome OS 56 доступна для всех актуальных моделей Chromebook, за исключением AOpen Chromebase Mini, AOpen Chromebox Mini, Chromebook Pixel (2015), ASUS Chromebook Flip C302, ASUS Chromebook Flip C100PA, Samsung Chromebook Plus и Acer Chromebook R13 (CB5 — 312T). Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0.

Основные изменения в Chrome OS 57:

  • Включена скрытая аутентификация;
  • Обновлены предлагаемые по умолчанию обои рабочего стола и заставка при загрузке;
  • В файловом менеджере обеспечено отображение мультимедийных файлов из установленных приложений для платформы Android;
  • В файловом менеджере расширен спектр метаданных, поддерживаемых режимом быстрого просмотра параметров файлов (свойства показываются при нажатии пробела, выбрав файл). В том числе обеспечен показ жанра, трека, продолжительности, альбома и года записи для музыкальных файлов, настройки камеры, параметры экспозиции, светочуствительности и местоположения для фотографий;
  • Во всех поддерживаемых устройствах реализована функция разблокировки экрана по PIN-коду;
  • В приложении для управления встроенной камерой добавлен интерфейс для переключения между фронтальной и задней камерами.
  • В Citrix Receive добавлена поддержка копирования и вставки изображений через буфер обмена.
  • На устройствах, поддерживающих планшетный режим, кнопка питания теперь отключает экран.

Источник: [ссылка]