The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

22.02.2018 Сервис проверки скомпрометированных учётных записей опубликовал 500 млн паролей (18 +5)
  Ресурс haveibeenpwned.com, позволяющий определить факты компрометации учётных записей, представил вторую версию сервиса "Pwned Passwords", нацеленного на проверку паролей. Для проверки учётных данных в haveibeenpwned.com накоплена БД, включающая сведения о почти 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов. Сервис проверки паролей охватывает около 500 млн паролей, которые доступны в открытом виде, а не только в форме хэшей.

Используемая в сервисе полная база паролей доступна для загрузки, размер БД составляет 8.8 Гб в сжатом виде (7-Zip, torrent). Для каждого пароля имеется счётчик дубликатов, указывающий число разных учётных записей, в которых был зафиксирован данный пароль. Общее число паролей без отсеивания дубликатов составляет более 3 миллиардов, т.е. каждый пароль в среднем встречается 6 раз.

На сайте также имеется форма для online-поиска в базе паролей. По словам автора разработки он не перестаёт удивляться людям, которые начинают проверять свои рабочие пароли в стороннем сервисе, несмотря на предупреждение не делать этого. Но общая польза от такой формы проверки перевешивает имеющиеся угрозы - большое число ранее скомпрометированных пользователей, получив информацию, что пароль встречается в базе, скорее всего поменяет пароль и пересмотрят отношение к безопасности (если пользователь отправил свой настоящий пароль через стороннюю web-форму, то найдётся множество других способов скомпрометировать его).

Через API доступен более изощрённый метод проверки, в котором в качестве ключа используется префикс от хэша пароля, в ответ на который сервер выдаёт реальные хэши паролей из базы, а клиент на своей стороне может их сверить со своим полным хэшем. Например, проверим пароль "test" (API выдаёт только хвост хэша SHA-1, без запрошенного префикса):



    $ sha1sum
    test^D
    a94a8fe5ccb19ba61c4c0873d391e987982fbbd3  -
   
    $curl https://api.pwnedpasswords.com/range/a94a8
    FE5CCB19BA61C4C0873D391E987982FBBD3:68340
    C2E7C76181982FF5D9A3C2B8475B62C1F2D:1
    E982397E0E7F0C3E6EED72CFB0D3EBFACD0:2
    ...

    Сравниваем:
    a94a8fe5ccb19ba61c4c0873d391e987982fbbd3
         FE5CCB19BA61C4C0873D391E987982FBBD3

  1. Главная ссылка к новости
  2. OpenNews: Атака, предоставляющая удалённый доступ к информационной системе автомобилей Nissan LEAF и NV200
  3. OpenNews: Утечка учётных записей 68 млн пользователей Dropbox
  4. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  5. OpenNews: Выявлена крупнейшая коллекция учётных записей с открытыми паролями
  6. OpenNews: В Firefox планируют выводить предупреждение при посещении ранее взломанных сайтов
Обсуждение (18 +5) | Тип: К сведению |
22.02.2018 Защита от атаки Meltdown в OpenBSD. Стабильное обновление микрокода Intel. Иски против AMD (36 +6)
  В кодовую базу OpenBSD принят набор исправлений, нацеленный на блокирование атаки Meltdown. Добавленные патчи реализуют технику PTI (Page Table Isolation), которая обеспечивает разделение таблиц страниц памяти ядра и пространства пользователя при переключении контекста во время системного вызова или прерывания. Дополнения, связанные с привязкой раскладки страниц памяти к CPU, заимствованы из DragonFly BSD.

Кроме того, компания Intel объявила о готовности стабильного варианта микрокода для организации защиты от второго варианта уязвимости Spectre. Микрокод включает реализацию функциональности IBRS (Indirect Branch Restricted Speculation), позволяющую адаптивно разрешать и запрещать спекулятивное выполнение инструкций во время обработки прерываний, системных вызовов и переключений контекста. Стабильное обновление микрокода пока поставляется только для OEM-производителей и не доступно для прямой загрузки. Обновление охватывает процессоры 6, 7 и 8 поколения Intel Core, включая семейства Kaby Lake, Coffee Lake и некоторые платформы Skylake, такие как Intel Core X-series, Xeon Scalable и Intel Xeon D.

Дополнительно можно отметить четыре судебных разбирательства, начатых против компании AMD в связи с присутствием уязвимости Spectre (для сравнения против Intel подано 32 иска). Первые три иска поданы от владельцев процессоров AMD, купивших их до публичного объявления уязвимости Spectre. В исках претензии связаны с тем, что компания AMD зная о наличии проблемы, продолжала продавать процессоры с дефектом. Истцы утверждают, что, имея информацию о проблеме, они не купили бы данный продукт за назначенную цену с учётом того, что применение программного исправления снижает производительность.

Четвёртый иск подан от акционеров, купивших акции во время когда компания AMD уже знала о наличии уязвимости, но не раскрывала эти сведения. После обнародования данных об уязвимости цена на акции заметно упала. В иске указано, что не раскрыв сразу данные об уязвимоисти компания AMD ввела инвесторов в заблуждение и нарушила законодательство о ценных бумагах.

  1. Главная ссылка к новости
  2. OpenNews: Для FreeBSD и QEMU/KVM реализованы механизмы блокировки атак Spectre и Meltdown
  3. OpenNews: Представлены новые виды атак MeltdownPrime и SpectrePrime
  4. OpenNews: Эксплоиты и тесты производительности, связанные с уязвимостями Meltdown и Spectre
  5. OpenNews: Линус Торвальдс жестко раскритиковал связанные с микрокодом патчи Intel
  6. OpenNews: Компания Intel подготовила новый вариант микрокода для противостояния уязвимости Spectre
Обсуждение (36 +6) | Тип: К сведению |
22.02.2018 Выпуск звукового редактора Audacity 2.2.2 (36 +13)
  Доступен релиз свободного редактора звука Audacity 2.2.2, предоставляющего средства для редактирования звуковых файлов (Ogg Vorbis, FLAC, MP3 и WAV), записи и оцифровки звука, изменения параметров звукового файла, наложения треков и применения эффектов (например, подавление шума, изменение темпа и тона). Код Audacity распространяется под лицензией GPL, бинарные сборки доступны для Linux, Windows и macOS.

В новой версии:

  • Добавлена новая кнопка для быстрого переключения режимов масштабирования, а также добавлена возможность изменения масштаба колесом мыши;
  • Реализован новый способ привязки горячих клавиш для вызова команд меню, работающий через нажатие и удерживание Shift на элементах меню;
  • Добавлен детектор возникновения ошибок при записи, возникающих если ресурсов CPU недостаточно для кодирования имеющегося потока (например, запущен какой-то ресурсоёмкий процесс);
  • Добавлен половинчатый индикатор формы звуковой волны;
  • Улучшен контраст элементов в свётлой и тёмной темах оформления;
  • Меню Ext-Bar и Ext-Command объединены в единое меню Extra.

  1. Главная ссылка к новости
  2. OpenNews: Релиз звукового редактора Audacity 2.2.1
  3. OpenNews: Релиз звукового редактора Audacity 2.2.0
  4. OpenNews: SourceForge извинился за показ рекламы мошенников на странице проекта Audacity
  5. OpenNews: Локальная уязвимость в звуковой подсистеме ALSA, позволяющая выполнить код с правами ядра
  6. OpenNews: Google представил систему объёмного звука Resonance Audio
Обсуждение (36 +13) | Тип: Программы |
22.02.2018 Энтузиасты взяли на себя продолжение разработки Wine staging (11 +15)
  Разработчики проекта Wine официально представили новый репозиторий на GitHub, в котором будет продолжена разработка проекта Wine staging, мэйнтейнеры которого несколько дней назад объявили, что не могут больше заниматься подготовкой новых релизов. Напомним, что в рамках проекта Wine staging развиваются расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока не пригодные для принятия в основную ветку Wine. Например, в Wine staging предоставляется поддержка Windows ACL, CUDA/PhysX/NVENC для видеокарт NVIDIA, EAX 1, API Vulkan, тем оформления GTK3+, декодирования DXVA2 на стороне GPU.

Обязанности мэйнтейнера возрождённого Wine staging взял на себя Alistair Leslie-Hughes из сообщества разработчиков Wine, известный проектом monoDX (реализация DirectX для Mono). Помогать в сопровождении проекта согласились разработчики Thomas Crider и Zebediah Figura.

В настоящее время новая команда занялась переводом поддерживаемых проектом патчей на актуальную кодовую базу Wine 3.x. За два с половиной месяца неактивности разработки Wine staging многое изменилось и при попытке актуализации Wine staging всплывает множество конфликтов (проектом поддерживается более 1100 патчей), на разбор которых уходит много времени. Разработчики также находятся в процессе получения доступа к сборочной инфраструктуре Wine, которая позволит им наладить формирование готовых пакетов.

Среди краткосрочных планов отмечается перевод кода Wine staging на актуальную кодовую базу Wine, обеспечение компиляции без ошибок, переработка патчей для восстановления функциональности и выпуск начального релиза. После выпуска начального релиза будет возобновлён приём новых патчей. Среди долгосрочных целей называется сокращение числа патчей в ветке staging и улучшение связей между патчами и отчётами о решаемых ими проблемах.

  1. Главная ссылка к новости
  2. OpenNews: Проект Wine Staging прекращает подготовку релизов
  3. OpenNews: Выпуск Wine 3.2
  4. OpenNews: Стабильный релиз Wine 3.0
  5. OpenNews: Выпуск проекта Wine Staging 2.0, дополняющего Wine 2.0
Обсуждение (11 +15) | Тип: Программы |
21.02.2018 Для ядра Linux предложен новый пакетный фильтр bpfilter (89 +12)
  Разработчики подсистемы NetFilter выставили на обсуждение патчи с начальной реализацией нового пакетного фильтра bpfilter, который со временем может заменить ныне поддерживаемые механизмы фильтрации пакетов nftables и iptables. Несмотря на все свои достоинства интенсивность внедрения механизма Nftables оставляет желать лучшего и iptables до сих пор остаётся более востребован и не желает повторять судьбу ipchains и ipfwadm.

В nftables логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). При этом последние годы в ядре Linux поставляется универсальная встроенная виртуальная машина BPF с JIT, для которой активно ведётся работа по улучшению производительности, функциональности и безопасности. Чтобы не поддерживать две разные виртуальные машины, выполняющие сходные задачи, и для достижения более высокой производительности у разработчиков возникла идея построения пакетного фильтра на основе штатного BPF-движка ядра Linux.

В итоге был подготовлен прототип нового пакетного фильтра bpfilter, иллюстрирующий идею применения BPF для фильтрации пакетов. Наиболее важным решением в предложенном прототипе стало желание обеспечить полную совместимость с наборами правил iptables, т.е. bpfilter сможет выступить в роли прозрачной замены iptables, полностью совместимой со всеми существующими конфигурациями (администраторам не придётся изучать новый синтаксис правил). Для достижения данной задачи планируется обеспечить совместимость на уровне API, который использует утилита iptables для взаимодействия с ядром (штатную утилиту можно будет пересобрать с реализацией API на базе bpfilter).

Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF, привязываемые к различным подсистемам. Например, при помощи XDP (eXpress Data Path) можно запустить BPF-программу на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов для высокопроизводительной обработки. Трансляция правил выполняется целиком в пространстве пользователя, что упрощает отладку и повышает безопасность. Для повышения производительности также может применяться JIT-компиляция BPF в машинные инструкции для архитектур x86_64, arm64, ppc64, sparc64, mips64, s390x и arm32, или задействование аппаратных механизмов выполнения BPF на уровне сетевого адаптера (например, Netronome NFP SmartNIC).

Харальд Вельте (Harald Welte), один из основных разработчиков netfilter/iptables, поставил под сомнение идею полной эмуляции API iptables через BPF для обеспечения прозрачной замены iptables, так как полностью повторить поведение iptables будет слишком трудно, а наличие различий при обработке существующих наборов правил iptables может привести к возникновению неожиданных проблем с безопасностью.

К тому же некоторые элементы дизайна iptables нельзя назвать удачными и повторение API iptables в bpfilter может привести к тому, что допущенные 18 лет назад ошибки проектирования iptables закрепятся ещё на 10 лет. Например, API iptables не предоставляет способа добавления/замены единичного правила или небольшого набора правил, а может только целиком очистить и перезагрузить всю конфигурацию. Данная особенность делает внесение изменений в межсетевой экран неудобным и существенно усложняет координацию одновременного внесения изменений несколькими обработчиками. Недовольство также вызывает необходимость разделения наборов правил для IPv4 и IPv6.

Вельте предложил не фокусироваться только на повторении iptables, а реализовать в bpfilter эмуляцию nftables API, который спроектирован с учётом недостатков iptables и больше соответствует современным реалиям. Возможность использования API nftables позволит поддержать тех, кто уже перешёл на nftables, а для остающихся на iptables будет стимулировать миграцию.

Дэвид Миллер (David Miller), мэйнтейнер сетевой подсистемы ядра, возразил, что iptables до сих пор существенно более распространён и реализация его интерфейса позволит достичь широкого охвата при тестировании. Вельте парировал тем, что в наиболее крупных областях применения, таких как Docker и Kubernetes, используются утилиты командной строки, а не iptables API, поэтому нет смысла в эмуляции API как такового для проведения тестирования в подобных системах.

Миллер также обратил внимание на то, что nftables так и не решил проблемы с производительностью подсистемы фильтрации пакетов, сместив вместо этого внимание на сетевые технологии в пространстве пользователя. Nftables может стать одним из тех экспериментов, которые позволяют разобраться в некоторой проблемной области, но никогда не получают распространения в реальной практике. При этом, bpfilter ещё очень далеко до интеграции в ядро, так как представления о его производительности пока носят лишь теоретический характер, код достаточно сырой, отсутствуют многие возможности, а некоторые функции не могут быть реализованы через BPF и требуют дополнительной поддержки в ядре (например, отслеживание соединений).

  1. Главная ссылка к новости
  2. OpenNews: Несколько релизов в рамках проекта Netfilter
  3. OpenNews: Разработчики Netfilter представили замену iptables
  4. OpenNews: Google представил Cilium, сетевую систему для Linux-контейнеров, основанную на BPF
  5. OpenNews: Критические уязвимости в подсистеме eBPF ядра Linux
  6. OpenNews: Выпуск пакетного фильтра nftables 0.4, идущего на смену iptables
Обсуждение (89 +12) | Тип: К сведению | Интересно
21.02.2018 Незащищённый хост компании Tesla был использован для майнинга криптовалюты (54 +16)
  Волна атак на серверные системы с целью запуска на них кода для майнинга криптовалюты дошла до компании Tesla. Подобное вредоносное ПО обнаружено на серверах Tesla в облаке Amazon Web Services (AWS), на которых была развёрнута инфраструктура изолированных контейнеров на базе платформы Kubernetes.

Сообщается, что атакующие получили доступ из-за наличия на одном из хостов открытого доступа к управляющей консоли Kubernetes, не защищённой паролем. Далее злоумышленники смогли извлечь на данной системе параметры доступа к принадлежащему Tesla окружению AWS и хранилищу Amazon S3, в котором в том числе размещались конфиденциальные данные, полученные в результате сбора телеметрии с автомобилей. По заявлению компании Tesla проблема была устранена в течение нескольких часов после обнаружения и затронула только инженерные варианты автомобилей для внутреннего использования, данные клиентов не пострадали.

Для скрытия присутствия процесса майнинга атакующие использовали собственный пул для майнинга, доступ к которому был организован через сеть доставки контента Cloudflare с применением для взаимодействия с пулом нестандартного номера сетевого порта. Чтобы не привлекать внимание к активности в системе для процесса майнинга был принудительно урезан уровень потребления ресурсов CPU. Примечательно, что в октябре прошлого года в результате утечки параметров аутентификации в AWS также были скомпрометированы некоторые окружения Amazon и Microsoft, на которых также был запущен код для майнинга.

  1. Главная ссылка к новости
  2. OpenNews: Компания Tesla Motors разрешила использование своих патентов всем желающим
  3. OpenNews: Продемонстрирован запуск Gentoo в окружении информационной системы автомобиля Tesla
  4. OpenNews: Вредоносное ПО организует майнинг криптовалют на серверах с незакрытыми уязвимостями
  5. OpenNews: Мошенники смогли разместить на YouTube рекламу с кодом для майнинга криптовалюты
  6. OpenNews: Более 2000 сайтов под управлением WordPress оказались поражены кейлоггером
Обсуждение (54 +16) | Тип: Проблемы безопасности |
21.02.2018 Представлен новый инсталлятор для серверной редакции Ubuntu (42 +24)
  Дастин Киркленд (Dustin Kirkland), входящий в команду, определяющую стратегию развития в компании Canonical, представил новый инсталлятор Subiquity, который будет использован по умолчанию в серверной редакции Ubuntu 18.04. Новый инсталлятор предоставляет текстовый режим установки и уже доступен для тестирования в составе ежедневных Live-сборок.

Пользователю предлагаются консольные варианты интерфейса для разбивки дисков, настройки RAID, выбора языка и раскладки клавиатуры, создания пользователей, настройки сетевого соединения. Возможна автоматизированная установка по профилю конфигурации, определённому в формате JSON. Вместе с инсталлятором также поставляется утилита "console-conf" для первичной настройки системы, после первой загрузки.

  1. Главная ссылка к новости
  2. OpenNews: Результаты опроса пожеланий по улучшению Ubuntu
  3. OpenNews: Для Ubuntu введён в строй механизм обновления ядра без перезагрузки
  4. OpenNews: Google переводит рабочие станции инженеров с Goobuntu (Ubuntu) на gLinux (Debian)
  5. OpenNews: В Ubuntu 18.04 LTS решено вернуть по умолчанию сеанс на основе X.Org
  6. OpenNews: В Ubuntu 18.04 ожидается отправка сведений о системе и режим минимальной установки
Обсуждение (42 +24) | Тип: Программы |
21.02.2018 Релиз графического тулкита wxWidgets 3.1.1 (26 +14)
  После двух лет разработки сформирован выпуск кроссплатформенного тулкита wxWidgets 3.1.1, позволяющего создавать графические интерфейсы для Linux, Windows, macOS, UNIX и мобильных платформ. wxWidgets 3.1 позиционируется как ветка для разработчиков, в которой развиваются новые возможности для следующего стабильного релиза 3.2.0. По сравнению с веткой 3.0 наблюдается ряд несовместимостей на уровне API и не гарантируется неизменность ABI между промежуточными выпусками 3.1.x.

Тулкит написан на языке С++ и распространяется под свободной лицензией wxWindows Library License, одобренной Фондом СПО и организацией OSI. Лицензия основана на LGPL и отличается позволением использования собственных условий для распространения производных работ в бинарной форме. Кроме разработки программ на Си/Си++ wxWidgets предоставляет биндинги для большинства популярных языков программирования, в том числе для PHP, Python, Perl и Ruby. В отличие от других тулкитов, wxWidgets обеспечивает для приложения по-настоящему родной для целевой системы внешний вид и методы взаимодействия, благодаря использованию системных API, а не имитации GUI.

Основные новшества wxWidgets 3.1.1:

  • Улучшенная поддержка экранов с высокой плотностью пикселей (High DPI);
  • Возможность задания дробных значений ширины пера в wxGraphicsContext;
  • Поддержка назначения произвольных меток для окон в wxStaticBox;
  • Поддержка нового вида событий для жестов указателем мыши;
  • Возможность использования разметки в тексте в блоках wxDataViewCtrl;
  • Поддержка файлов в формат ZIP 64;
  • Значительное расширение средств для людей с ограниченными возможностями, предоставляемых платформой Windows;
  • Новые классы: wxActivityIndicator, wxAddRemoveCtrl, wxAppProgressIndicator, wxNativeWindow, wxPowerResourceBlocker, wxSecretStore;
  • Новые методы: wxDateTime::GetWeekBasedYear(), wxListBox::GetTopItem(), wxProcess::Activate(), wxTextEntry::ForceUpper(), несколько в классе wxRendererNative, wxStandardPaths::GetUserDir(), wxUIActionSimulator ::Select();
  • Значительное улучшение реализаций классов wxBusyInfo и wxNotificationMessage;
  • Обновление до свежих версий всех входящих в поставку сторонних библиотек, в том числе поддержка WebKit 2 и GStreamer 1.7;
  • Поддержка OpenGL в направлении более качественной работы с новыми версиями стандарта OpenGL (3.2+);
  • Улучшена поддержка C++11;
  • Альтернативная система сборки на базе CMake;
  • Поддержка сборки с использованием новых веток компиляторов MSVS 2017, g++ 7 и clang 6;
  • Экспериментальный порт wxQt.

  1. Главная ссылка к новости
  2. OpenNews: Релиз графического тулкита wxWidgets 3.0.3
  3. OpenNews: Релиз графического тулкита wxWidgets 3.1.0
  4. OpenNews: Релиз графического тулкита wxWidgets 3.0.1
  5. OpenNews: Релиз графического тулкита wxWidgets 3.0.0
Обсуждение (26 +14) | Тип: Программы |
21.02.2018 Скомпрометирована инфраструктура проекта Mageia (45 +10)
  Разработчики Linux-дистрибутива Mageia, в рамках которого независимым сообществом энтузиастов развивается форк проекта Mandriva, сообщили о компрометации сервера идентификации проекта и утечке базы пользователей. Неизвестный атакующий смог получить доступ к LDAP-серверу Mageia (identity.mageia.org) и опубликовал хранящиеся там данные, включая имена пользователей, хэши паролей и email-адреса.

В опубликованном варианте базы хеши паролей были модифицированы и приведены к одному регистру символов, что немного снижает угрозу для участников разработки Mageia. Тем не менее, исходная база находится в руках злоумышленников и не исключено распространение актуальной базы или попытки реконструкции паролей по хэшам (хэши хранились с солью).

После выявления атаки все пароли были сброшены и пользователям предложено поменять параметры входа через интерфейс восстановления забытого пароля. С пользователями, имевшими повышенный уровень привилегий, администраторы проекта свяжутся отдельно для восстановления доступа в индивидуальном порядке. Всем пользователям, которые применяют одинаковые пароли в нескольких сервисах, рекомендуется срочно поменять пересекающиеся с Mageia пароли и на других сайтах, так как злоумышленники могут сопоставить учётные данные по email.

Администраторы ведут работу по восстановлению хронологии инцидента и деталей взлома - пока не ясно, как атакующему удалось прочитать содержимое LDAP-каталога, несмотря на имевшиеся настройки, ограничивающие доступ. Для усиления защиты в настоящее время добавлены дополнительные правила для ограничения доступа к серверу LDAP.

  1. Главная ссылка к новости
  2. OpenNews: Второй взлом инфраструктуры BitTorrent-клиента Transmission
  3. OpenNews: Продемонстрирована атака на Smart TV через подмену сигнала цифрового телевидения
  4. OpenNews: Взлом инфраструктуры Opera привёл к утечке синхронизированных паролей
  5. OpenNews: Оценка причин и последствий взлома kernel.org
  6. OpenNews: Взломан официальный форум проекта Ubuntu
Обсуждение (45 +10) | Тип: Проблемы безопасности |
20.02.2018 Выпуск nginx 1.13.9 c поддержкой технологии HTTP/2 Server Push (28 +8)
  Подготовлен выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.13.9, в котором реализован механизм Server Push для протокола HTTP/2. Server Push предоставляет возможность отправки ресурсов от сервера к клиенту, не дожидаясь их явного запроса (например, подобным образом можно передавать файлы CSS, скрипты и изображения, которые необходимы для отрисовки страницы).

Для отправки push-запросов используется уже установленное клиентом соединение. Т.е. клиент подключается и запрашивает определённую страницу, после этого сервер на основании своих настроек или содержимого переданного клиентом заголовка Link сам инициирует передачу определённых ресурсов через уже установленное соединение HTTP/2, не дожидаясь запроса этих ресурсов от клиента. При этом клиент может отвергнуть попытку push-отправки, вернув флаг RST_STREAM.

Переданный через push-обращение контент сохраняется на стороне клиента в специальном кэше, ассоциированном с текущим HTTP/2-соединением. Когда в процессе обработки страницы клиент дойдёт до запроса связанных с ней ресурсов (css, js, картинки и т.п.), перед фактической отправкой каждого запроса, будет выполнена проверка в кэше. Если ресурс уже передан сервером и находится в кэше, то клиент загрузит этот ресурс из локального кэша не формируя внешний запрос к серверу. После закрытия соединения HTTP/2 содержимое кэша очищается.

При этом есть важные особенности: Глобальный кэш браузера имеет больший приоритет, чем кэш соединения HTTP/2, поэтому даже если push-запросом был передан более свежий ресурс, браузер продолжит использование ресурса из своего глобального кэша, если он не потерял актуальность (т.е. трафик будет потрачен впустую). С другой стороны, так как одно HTTP/2 соединение может обслуживать загрузку разных страниц с одного хоста, то загруженные через push ресурсы могут совместно использоваться при загрузке разных страниц.

Для управления отправкой push-запросов в новом выпуске nginx реализованы директивы:

  • "http2_push {uri}" для включения упреждающей отправки заданных ресурсов (например, "http2_push /main.css") в составе первого ответа, не дожидаясь их явного запроса. В URI допустимо использование переменных. В одном блоке конфигурации может быть задано несколько директив http2_push. Для обеспечения должного уровня защиты обрабатываются только относительные пути к ресурсу;
  • "http2_push_preload" - данные о ресурсах, которые следует передавать через Server Push, определяются на основе анализа содержимого отправляемых клиентом HTTP-заголовков Link;
  • "http2_max_concurrent_pushes" - максимально допустимое число одновременных push-запросов, сопровождающих ответ.

Кроме поддержки Server Push в nginx 1.13.9 внесены следующие изменения:

  • Исправлена ошибка, из-за которой в логах могли появляться сообщения "header already sent" при использовании кэша;
  • Устранён крах (segmentation fault) рабочего процесса, который мог произойти если при использовании директивы 'ssl_verify_client' в виртуальном сервере не был указан SSL-сертификат;
  • Внесены исправления в модули ngx_http_v2_module и ngx_http_dav_module.

  1. Главная ссылка к новости
  2. OpenNews: В nginx добавлена поддержка технологии HTTP/2 Server Push
  3. OpenNews: Выпуск сервера приложений NGINX Unit 0.5 с поддержкой Perl
  4. OpenNews: На соревновании Pwn2Own 2018 появились номинации за взлом nginx, OpenSSL и Virtualbox
  5. OpenNews: Выпуск nginx 1.13.8
  6. OpenNews: Релиз HTTP-сервера nginx 1.12.0
Обсуждение (28 +8) | Тип: Программы |
20.02.2018 Выпуск мобильной ОС Sailfish 2.1.4 (33 +10)
  Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, представила релиз операционной системы Sailfish 2.1.4. Сборки подготовлены для устройств Jolla 1, Jolla C и Sony Xperia X, но поставляются пока только для зарегистрированных участников программы раннего доступа к прошивкам (для всех остальных доступ будет открыт позднее).

Sailfish использует графический стек на базе Wayland и библиотеки Qt5, системное окружение построено на основе Mer (форк MeeGo) и пакетов Mer-дистрибутива Nemo. Пользовательская оболочка, базовые мобильные приложения, QML-компоненты построения графического интерфейса Silica, прослойка для запуска Andrоid-приложений, движок умного ввода текста и система синхронизации данных являются проприетарными, но их код планировалось открыть в 2017 году.

В новой версии:

  • Добавлена возможность запуска приложения работы с камерой через длительное нажатие кнопки спуска затвора (работает даже при блокировке экрана);
  • Сервис отображения прогноза погоды теперь отслеживает состояние сетевого соединения и обновляет данные после возобновления связи;
  • Обновлена прослойка Aliendalvik, предоставляющая средства для запуска приложений, написанных для платформы Android. Добавлена поддержка HAL для камеры в Android 7 и ускорен запуск камеры. Улучшен вывод уведомлений. Обновлена конфигурация устройства. Решены проблемы, мешавшие записи голосовых сообщений;
  • Прекращена поддержка протокола SyncML;
  • В web-браузере устранено мерцание при смене режима ориентации экрана;
  • Включена поддержка режима IEEE 802.11r для быстрого переключения между точками беспроводного доступа.
  • Реализовано автоматическое переподключение к скрытым беспроводным сетям, параметры которых ранее были сохранены в настройках;
  • Решены проблемы с синхронизацией при помощи CalDav;
  • В почтовом клиенте сохранённые вложения теперь видны при попытке прикрепления вложения к новым письмам;
  • В прошивке для Xperia добавлена поддержка файловой системы Btrfs для SD-карт и включена система принудительного завершения приложений при нехватке памяти;
  • В медиаплеере реализована группировка альбомов по времени их создания;
  • В мессенджере увеличен размер кнопки отправки сообщения для упрощения работы с сенсорного экрана;
  • Фреймворк Qt обновлён до версии 5.6.3. Обновлён PackageKit;
  • В приложении для ведения заметок появилась возможность поиска;
  • Переписан процесс установки обновления ОС, который теперь оформлен в виде привилегированного сервиса.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск мобильной ОС Sailfish 2.1.3
  3. OpenNews: Выпуск мобильной ОС Sailfish 2.1.2
  4. OpenNews: Выпуск мобильной ОС Sailfish 2.1.1
  5. OpenNews: Компании Jolla и Sony представили версию Sailfish для смартфонов Sony Xperia
  6. OpenNews: Выпуск мобильной ОС Sailfish 2.1
Обсуждение (33 +10) | Тип: Программы |
20.02.2018 Для FreeBSD и QEMU/KVM реализованы механизмы блокировки атак Spectre и Meltdown (26 +11)
  Разработчики FreeBSD интегрировали в ветку 11-STABLE набор патчей, блокирующих проведение атак Spectre и Meltdown. Защита от Meltdown базируется на уже опробованной в других ОС технике PTI (Page Table Isolation), основанной на разделении таблиц страниц памяти ядра и пространства пользователя при переключении контекста во время системного вызова. Патч также включает оптимизации при помощи инструкции PCID, позволяющие снизить негативное влияние на производительность при включении PTI.

Защита от второго варианта атаки Spectre основана на использования режима IBRS (Indirect Branch Restricted Speculation), представленного компанией Intel в недавнем обновлении микрокода. IBRS позволяет во время работы в зависимости от ситуации разрешать и запрещать спекулятивное выполнение косвенных переходов, например, запрещать во время обработки прерываний, системных вызовов и переключений контекста.

Для применения защиты от Spectre обязательно требуется наличие обновлённого микрокода для процессоров Intel, которое пока проходит тестирование OEM-производителями перед началом массового распространения. Применение IBRS может быть отключено через sysctl, но PTI пока неотключаем, с чем в основном и связаны основные пожелания пользователей, участвующих в обсуждении.

Дополнительно можно отметить выпуск обновления QEMU 2.11.1, в котором представлен механизм защиты от Spectre и Meltdown для гостевых систем, работающих под управлением гипервизора KVM. Защита от Meltdown основана на патчах KPTI, а защита от Spectre построена с привлечением IBRS (Indirect Branch Restricted Speculation) и IBPB (Indirect Branch Prediction Barriers), предложенных в обновлённом микрокоде Intel и AMD.

  1. Главная ссылка к новости
  2. OpenNews: Представлены новые виды атак MeltdownPrime и SpectrePrime
  3. OpenNews: Компания Intel подготовила новый вариант микрокода для противостояния уязвимости Spectre
  4. OpenNews: Линус Торвальдс жестко раскритиковал связанные с микрокодом патчи Intel
  5. OpenNews: Эксплоиты и тесты производительности, связанные с уязвимостями Meltdown и Spectre
  6. OpenNews: Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64
Обсуждение (26 +11) | Тип: К сведению |
20.02.2018 Новая версия медиапроигрывателя SMPlayer 18.2.2 (44 +18)
  После четырёх месяцев разработки подготовлен релиз мультимедиа проигрывателя SMPlayer 18.2.2, выполненного в форме графической надстройки над MPlayer или MPV. SMPlayer отличается легковесным интерфейсом с возможностью смены тем оформления, поддержкой воспроизведения роликов с Youtube, поддержкой загрузки субтитров с opensubtitles.org, гибкими настройками воспроизведения (например, можно поменять скорость воспроизведения). Программа написана на языке C++ с использованием библиотеки Qt и распространяется под лицензией GPLv2. Бинарные сборки сформированы для Fedora, Ubuntu и Windows.

В новом выпуске добавлена возможность отображения субтитров на полупрозрачной подложке. Настройка степени прозрачности фона блока с субтитрами может быть произведена через меню "Preferences -> Subtitles -> Font and colors". Кроме того, в новом выпуске добавлено меню "Open -> URL" для загрузки списков воспроизведения YouTube по ссылке. Также возвращены опции для определения выводимого числа треков для звуковых файлов и субтитров. При использовании бэкенда mpv на платформе Windows для вывода видео по умолчанию задействован API Direct3D.

  1. Главная ссылка к новости
  2. OpenNews: Новая версия медиапроигрывателя SMPlayer 17.10
  3. OpenNews: Новая версия медиапроигрывателя SMPlayer 17.4.2
  4. OpenNews: Новая версия медиапроигрывателя SMPlayer 17.3
  5. OpenNews: Новая версия медиапроигрывателя SMPlayer 17.1
  6. OpenNews: Выпуск MPV 0.28.1. Инициатива по выбору официального GUI для MPV
Обсуждение (44 +18) | Тип: Программы |
19.02.2018 Опубликован прототип эмулятора для запуска исполняемых файлов OS/2 в Linux (91 +27)
  Доступен начальный прототип нового эмулятора 2ine, нацеленного на выполнение исполняемых файлов OS/2 в Linux по аналогии с тем как Wine позволяет запускать исполняемые файлы Windows. В текущем виде проект уже может выполнять консольные приложения, такие как порты GCC и Watcom C для OS/2, сетевые приложения (например, FTP.EXE) и простейшие графические программы для Presentation Manager. Работа графики симулируется через SDL.

Проект развивает в качестве эксперимента Райан Гордон (Ryan C. Gordon), который является автором системы MojoELF, позволяющей запускать приложения Linux в окружении macOS. Райан также принимал участие в портировании огромного количества игр и программ для Linux (Google Earth, Quake 3, Unreal Tournament, Prey, Postal 2, Second Life и ещё более 40 игр), разработал формат компоновки исполняемых файлов FatELF, создал Apache-модуль mod_offload, придумал язык программирования Toby и являлся мэйнтейнером проекта SDL.

  1. Главная ссылка к новости
  2. OpenNews: В рамках проекта Darling развивается аналог Wine для запуска программ Mac OS X
  3. OpenNews: IBM закрывает проект OS/2, в пользу Linux
  4. OpenNews: FatELF - формат для упаковки в исполняемый файл поддержки разных платформ
  5. OpenNews: Эмулятор игровых автоматов MAME будет переведён в разряд свободных проектов
  6. OpenNews: Эмулятор игровых консолей Dolphin перешёл на лицензию GPLv2+
Обсуждение (91 +27) | Тип: Программы |
19.02.2018 Выпуск CRM-системы SuiteCRM 7.10 (15 +8)
  Состоялся релиз SuiteCRM 7.10, CRM-системы для организации взаимодействия с клиентами на предприятии, обеспечения работы службы продаж, ведения партнёрской сети, предоставления сервисов и планирования работы сотрудников. В том числе предоставляются модули для работы с контрактами, накладными, PDF-шаблонами, котировками, базой продуктов, формирования отчётов и диаграмм, управления событиями. SuiteCRM позиционируется в качестве полноценной открытой альтернативы проприетарному продукту SugarCRM, а также таким системам, как SalesForce и Microsoft Dynamics. Код системы и модулей написан на PHP и поставляется под лицензией GPLv3. В качестве СУБД по умолчанию предлагается использовать MariaDB.

SuiteCRM развивается компанией SalesAgility, использующей бизнес-модель, подразумевающую неограниченное распространение и разработку полностью открытого продукта, с получением прибыли через оказание платных услуг поддержки, доработки и сопровождения. В качестве основы SuiteCRM выступает Community-версия SugarCRM, доведённая до функциональности SugarCRM Professional Edition через открытые модули собственной разработки. Управление производится через web-интерфейс (online-демонстрация). SuiteCRM является полностью открытым проектом, как в плане доступности исходных текстов под свободной лицензией, так и в области открытого управления разработкой.

Особенности нового выпуска:

  • Представлено новое компактное оформление интерфейса, в котором экранное пространство более эффективно используется для размещения всей важной информации. На выбор предлагается 4 цветовых схемы - "Рассвет", "День", "Сумерки" и "Ночь";
  • Новый REST API (v8), построенный на базе спецификации JSONAPI, предоставляющий доступ ко всей функциональности SuiteCRM и поддерживающий доступ с использованием аутентификации OAuth 2.0. Использование Swagger (OpenAPI v3.0) для предоставления документации;
  • Новый модуль, позволяющий создавать, оформлять и отправлять клиентам различные опросы. Результаты заполнения опросов сохраняются и анализируются в CRM. Поддерживаются различные типы опросников, в том числе отправляемые на email или оформляемые в виде web-страниц;
  • Режим помощи соблюдения общего регламента по защите данных (GDPR), предоставляющий клиентам возможность контроля над собственными персональными данными. Режим Web to Person, предоставляющий средства для подтверждения выбора по электронной почте. Возможность самостоятельного управления пользователем настройками opt-in (по умолчанию выключено, но пользователь может включить);
  • Поддержка двухфакторной аутентификации. Режим двухфакторной аутентификации с подтверждением по электронной почте;
  • Улучшена система предупреждений;
  • Расширены возможности по управлению паролями. Поддержка задания ограничений по оформлению паролей и ведение журнала попыток входа. Возможность интеграции с системой Fail2Ban для автоматического блокирования попыток подбора паролей.
  • Новый набор unit-тестов;
  • Увеличена производительность системы рассылки по электронной почте.

  1. Главная ссылка к новости
  2. OpenNews: SugarCRM становится проприетарным продуктом
  3. OpenNews: Выпуск SuiteCRM, полностью открытой альтернативы проприетарной версии SugarCRM
  4. OpenNews: Пакет SugarCRM переходит на лицензию АGPLv3
  5. OpenNews: Релиз открытой CRM-системы SugarCRM 6.3
  6. OpenNews: Выпуск SalesPlatform Vtiger CRM 7 с полностью переработанным пользовательским интерфейсом
Обсуждение (15 +8) | Тип: Программы |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor