The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.06.2018 Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом (39 +13)
  В каталоге Docker Hub выявлено 17 образов контейнеров, которые содержали бэкдоры или скрытый код для майнинга криптовалют. Первое появление вредоносных образов было зафиксировано 10 месяцев назад и за это время злоумышленниками под одной учётной записью было размещено 17 подобных образов.

В сумме вредоносные образы были загружено более 5 миллионов раз, а доход от майнинга, судя по состоянию указанного в образах кошелька, составил 544.74 Monero (по сегодняшнему курсу 70 тысяч долларов, по состоянию на начало июня - 90 тысяч). Вредоносные образы в основном применялись в ходе атак на некорректно настроенные системы оркестровки контейнеров (например, оставление отладочных обработчиков, допускающих неавторизированный доступ к API Kubernetes через порты 10255 и 10250), после получения доступа к которым атакующие устанавливали свои контейнеры с Docker Hub.

Обычным пользователям Docker также рекомендуется с осторожностью относиться к образам, предлагаемым на Docker Hub, независимо от их популярности. Многие пользователи беспечно относятся к установке сторонних контейнеров, не задумываясь, что их установка мало чем отличается от загрузки и запуска сомнительных исполняемых файлов, которые могут содержать всё что угодно. Учётная запись, с которой производилось размещение в Docker Hub вредоносных образов, была удалена только спустя 10 месяцев с момента публикации первого сообщения о проблеме.

Несмотря на удаление проблемных образов с Docker Hub, ранее установленные экземпляры остаются активными, поэтому администраторам систем на базе Docker и Kubernetes рекомендуется проверить наличие работающих контейнеров, созданных на базе образов от пользователя "docker123321". Большинство вредоносных образов были размещены под именами tomcat, cron и mysql (например, "docker123321/mysql5"). 7 образов включали бэкдор, позволяющий получить удалённый доступ к shell (Reverse Shell на Python и Bash). Один образ содержал предопределённый SSH-ключ злоумышленников. А остальные 9 включали код для загрузки программы для майнинга под видом изображения JPG.

  1. Главная ссылка к новости
  2. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
  3. OpenNews: Незащищённый хост компании Tesla был использован для майнинга криптовалюты
  4. OpenNews: В Ubuntu Snap Store и Chrome Web Store выявлены вредоносные пакеты
  5. OpenNews: Компания Canonical опубликовала заявление, связанное с вредоносным ПО в Snap Store
  6. OpenNews: Выявлена попытка включения бэкдора в популярный NPM-пакет mailparser
Обсуждение (39 +13) | Тип: Проблемы безопасности |
14.06.2018 В Chrome будет прекращена поддержка установки дополнений по запросу сторонних сайтов (24 +6)
  В ответ на большое число жалоб о злоупотреблениях с навязыванием установки дополнений компания Google объявила об упразднении возможности установки дополнений по запросу со сторонних сайтов. Для предотвращения мошеннических действий и блокирования попыток навязывания установки непрошенных дополнений, дополнения теперь можно будет установить только после перехода на сайт Chrome Web Store. Inline-режим, позволяющий начать установку дополнений без перехода в каталог дополнений, больше поддерживаться не будет.

Вместо начала процесса установки вызов chrome.webstore.install() из JavaScript-кода на сайте теперь будет приводить к открытию новой вкладки со страницей дополнения в каталоге Chrome Web Store. Изменения уже начали действовать для всех новых дополнений, опубликованных начиная с 12 июня. С 12 сентября перенаправление при попытке inline-установки будет распространено и для всех остальных дополнений. В выпуске Chrome 71, намеченном на начало декабря, планируется полностью удалить API для inline-установки дополнений. Владельцам сайтов вместо кнопки для начала установки дополнения рекомендуется поставить ссылку на страницу дополнения в каталоге Chrome Web Store.

  1. Главная ссылка к новости
  2. OpenNews: Google запретил размещение дополнений к Chrome c кодом для майнинга криптовалют
  3. OpenNews: В четырёх популярных дополнениях к Chrome выявлен вредоносный код
  4. OpenNews: Метод идентификации через определение дополнений, установленных в Chrome и Firefox
  5. OpenNews: В результате фишинга получен контроль ещё над 6 дополнениями к Chrome
  6. OpenNews: Chrome-дополнение Particle было выкуплено у автора и превращено во вредоносное ПО
Обсуждение (24 +6) | Тип: К сведению |
14.06.2018 LazyFP - новая уязвимость в процессорах Intel (131 +28)
  Компания Intel опубликовала сведения о новой уязвимости (CVE-2018-3665) в механизме спекулятивного выполнения инструкций, которая получила кодовое название LazyFP. Проблема затрагивает только процессоры линейки Intel Core и проявляется при использовании "ленивого" (lazy) режима переключения контекста FPU, при котором реальное восстановление состояния регистров производится не сразу после переключения контекста, а только при выполнении первой инструкции, которая манипулирует восстанавливаемыми регистрами. На чипах Intel Atom/Knights и CPU AMD проблема не проявляется.

Уязвимости присвоен средний уровень опасности (CVSS 4.3 из 10) - через проведение атаки по сторонним каналам атакующий может определить значения регистров FPU, MMX, SSE, AVX и AVX-512, используемых другим процессом. Например, в данных регистрах могут содержаться параметры для криптографических вычислений и имеющий доступ к локальной системе злоумышленник может попытаться использовать их для определения ключа шифрования. При использовании систем виртуализации проблема может применяться для определения состояния регистров другой гостевой системы или другого процесса в текущей гостевой системе.

По своей сути уязвимость LazyFP близка к обнародованной в конце мая проблеме Spectre 3a (CVE-2018-3640, RSRE - Rogue System Register Read). Публикация детального описания атаки отложена до августа по просьбе представителей Intel, чтобы дать пользователям время для установки исправлений. В качестве меры для блокирования уязвимости рекомендуется разработчикам ОС перейти от использования режима Lazy FP к режиму Eager FP через установку соответствующих флагов XSAVE или XCR0. Предложенный метод защиты не оказывает негативного влияния на производительность.

В ядре Linux защита была реализована ещё в феврале 2016 года, путём применения по умолчанию режима Eager FP (eagerfpu=on) и удаления возможности активации Lazy FP. Уязвимость затрагивает ядра Linux до версии 4.6 или системы с процессорами без поддержки инструкции XSAVE (до Sandy Bridge), в которых по умолчанию применялся режим Lazy FP. В старых ядрах Linux для защиты можно использовать опцию "eagerfpu=on", которая присутствует начиная с ядра 3.7. Обновления пакетов с ядром подготовлены для Debian и ожидаются для Ubuntu, SUSE/openSUSE и RHEL (RHEL 7 подвержен уязвимости частично, так как уже использует по умолчанию режим переключения контекста Eager FP на CPU Intel Sandy Bridge и более новых системах). Патчи с устранением проблемы также приняты в кодовые базы FreeBSD, OpenBSD и DragonflyBSD. Отдельно исправления выпущены для гипервизора Xen.

Дополнение: Изначально Intel планировал опубликовать сведения об уязвимости в августе, но поводом к досрочному раскрытию информации стал доклад Тео де Раадта на конференции BSDCan 2018 (неофициальное видео), в рамках которого были презентованы свежие доработки ядра OpenBSD. Филипп Гюнтер (Philip Guenther) на основании слухов о некоей непонятной уязвимости в механизме загрузки/сохранения регистров сопроцессора подготовил и добавил в OpenBSD патч, который, как выяснилось позднее, действительно исправлял уязвимость. Так как проект OpenBSD не был официально проинформирован об уязвимости, он не подпадал под эмбарго на разглашение. После доклада бывший член FreeBSD Security Team Колин Персиваль (Colin Percival), базируясь на озвученной информации, за пять часов написал эксплоит. В итоге корпорация Intel была вынуждена досрочно публично признать факт наличия очередной уязвимости в процессорах.

  1. Главная ссылка к новости
  2. OpenNews: Раскрыты две новые уязвимости механизма спекулятивного выполнения в CPU
  3. OpenNews: Представлена Spectre-NG, группа из 8 новых уязвимостей в процессорах
  4. OpenNews: BranchScope - новая атака на механизм спекулятивного выполнения косвенных переходов в CPU
  5. OpenNews: Представлена атака SgxPectre, позволяющая обойти технологию защиты Intel SGX
  6. OpenNews: Представлены новые виды атак MeltdownPrime и SpectrePrime
Обсуждение (131 +28) | Тип: Проблемы безопасности |
13.06.2018 Выпуск Qt for Python 5.11 (48 +17)
  Опубликован первый выпуск проекта Qt for Python, в рамках которого подготовлен набор модулей для создания графических приложений на языке Python с использованием Qt5. Продукт Qt for Python основан на модуле PySide2 и продолжает его развитие (по сути под новым именем предлагается первый выпуск PySide с поддержкой Qt 5). В отличие от PySide новый продукт призван предоставить целостное решение для использования Qt в Python-приложениях, включающие сопутствующие сервисы, такие как оказание коммерческой технической поддержки.

  1. Главная ссылка к новости
  2. OpenNews: Релиз фреймворка Qt 5.11
  3. OpenNews: Выпуск десктоп-окружения LXQt 0.13
  4. OpenNews: Выпуск AsteroidOS 1.0, открытой ОС для умных часов на базе Qt и Wayland
  5. OpenNews: Предварительный выпуск Qt для WebAssembly
  6. OpenNews: Выпуск интегрированной среды разработки Qt Creator 4.6.0
Обсуждение (48 +17) | Тип: Программы |
13.06.2018 Компания Alibaba открыла код P2P-системы доставки файлов Dragonfly (47 +17)
  Alibaba, одна из крупнейших китайских IT-компаний, открыла исходные тексты распределённой системы доставки файлов Dragonfly, использующей механизмы P2P-коммуникаций для построения сети распространения контента. Система подходит для организации загрузки файлов, создания распределённых кэшей, систем доставки приложений и образов изолированных контейнеров. Код проекта написан на языках Go, Java и Python (в будущем все компоненты планируется переписать на языке Go), и распространяется под лицензией Apache 2.0.

По заявлению разработчиков, в отличие от других похожих систем Dragonfly обеспечивает более высокую эффективность, экономит пропускную способность и гарантирует надёжность до 99.9999%. Отмечается, что Dragonfly является одним из наиболее важных компонентов инфраструктуры компании Alibaba и ежемесячно обслуживает около двух миллиардов загрузок, суммарным размером более 3.4 ПБ. По сравнению с централизованными серверами загрузки контента, Dragonfly позволяет добиться постоянного времени отдачи, не зависящего от числа клиентов, одновременно загружающих данные.

Например, тестовая конфигурация на базе двух 24-ядерных серверов с 64 ГБ ОЗУ и каналом связи в 2000Mb/s при использовании утилиты wget смогла обеспечить отдачу 200-мегабайтного файла не более чем 1200 одновременно подключенным пользователям. Время загрузки файла в пике при этом составляло около 14 минут. При повторении теста с использованием Dragonfly, благодаря применению P2P-механизмов удалось добиться отдачи файла с постоянным временем загрузки в 12 секунд, независимо от числа пользователей, одновременно запрашивающих файл.

Кроме передачи файлов большая ставка делается на применение Dragonfly для оптимизации доставки приложений и образов контейнеров для DevOps-применений. Dragonfly может интегрироваться с различными платформами контейнерной изоляции, не требуя изменения их движков. В том числе Dragonfly отлично интегрируется с системами управления контейнерами Docker и Pouch. По сравнению с традиционными средствами доставки контейнеров Docker, Dragonfly позволяет до 57 раз увеличить пропускную способность и на 99.5% сократить трафик, исходящий от реестра контейнеров.

Базовые компоненты Dragonfly:

  • Supernode - написанный на языке Java менеджер кластера, выполняющий роль P2P-сервера, отвечающего за планирование P2P-задач и создание кэша CDN. Supernode разбивает файл на блоки и определяет какие узлы/клиенты (peer) будут участвовать в доставке этих блоков;
  • Dfdaemon (dfget) - написанный на языке Go процесс для распространения файлов или образов, который работает на стороне клиента (peer) и участвует непосредственно в доставке запрошенных блоков файла. Dfdaemon также может выполнить функции зеркала репозитория или прокси для Docker;
  • Getter - написанный на Python модуль, отвечающий за передачу файлов и организацию совместного доступа к ним.

Основные особенности:

  • Использование P2P-технологии для передачи файлов - каждый клиент Dragonfly является звеном, транслирующим уже полученные данные другим клиентам. Каждый файл разбивается на несколько блоков, которые отдельно передаются между разными узлами (peer). Работа каждого узла P2P-сети обеспечивается отдельным клиентом. Централизованный менеджер кластера имеет информацию о разбивке файлов и о том, какие блоки имеются на каком клиенте, а также осуществляет первичную загрузку файлов из исходного файлового сервера;
  • Возможность интеграции с инструментариями контейнерной изоляции для организации распределённой доставки образов контейнеров;
  • Возможность ограничения суммарной пропускной способности на уровне всего хоста, а не только на уровне отдельных соединений;
  • Работа в форме пассивной сети доставки контента (CDN), позволяющей избежать повторяющихся удаленных загрузок;
  • Гарантированное обеспечение целостности передаваемых файлов, без необходимости дополнительной проверки пользователем контрольных сумм;
  • Оптимальное хранение данных на диске и эффективный ввод/вывод. Например, применяются такие техники, как предварительная проверка дискового пространства, отложенная синхронизация, запись блоков в оптимальном порядке, разбиение операций сетевого чтения и записи на диск;
  • Высокая производительность: система управления кластером (компонент Cluster Manager) замкнут на самом себе и не зависит от внешних СУБД и распределённых кэшей;
  • Автоматическая изоляция сбойных узлов для повышения стабильности всей сети доставки файлов;
  • Отсутствие нагрузки на базовый сервер, который предоставляет исходные файлы - по сути нагрузка на такой сервер сводится к нескольким загрузкам файла менеджером кластера;
  • Поддержка штатных HTTP-заголовков, в том числе возможность подстановки информации об аутентификации через HTTP-заголовки;
  • Эффективное управление нагрузкой на реестр аутентификации (Registry Auth Service);
  • Простая настройка, для начала работы необходимо внести минимальные изменения в конфигурацию. Для развёртывания сети требуется создание сервера с менержером кластера и установка на каждый клиент специального ПО.

  1. Главная ссылка к новости
  2. OpenNews: Для Linux предложена новая ФС NOVA, спроектированная для NVM-памяти
  3. OpenNews: Выпуск открытой P2P-системы синхронизации файлов Syncthing 0.14
  4. OpenNews: Представлена распределённая система доставки web-контента CacheP2P
  5. OpenNews: Релиз GNUnet 0.10, фреймворка для построения безопасных P2P-сетей
  6. OpenNews: Система построения CDN-сети Traffic Control получила статус первичного проекта Apache
Обсуждение (47 +17) | Тип: Программы |
13.06.2018 Релиз серверного дистрибутива NethServer 7.5 (40 +3)
  Представлен релиз дистрибутива NethServer 7.5, предлагающего модульное решение для быстрого развёртывания серверов в небольших офисах или на предприятиях среднего размера. Дистрибутив основан на пакетной базе CentOS 7.5 и предоставляет web-интерфейс для управления доступными серверными компонентами. Размер установочного образа 1 Гб. Для ознакомления с возможностями интерфейса предоставляется online-демонстрация. Наработки проекта распространяются под свободными лицензиями.

Пользователю предлагаются готовые модули для организации работы почтового сервера (Postfix, Dovecot, Amavis, ClamAV + web-клиент Roundcube), системы совместной работы (SOGo), межсетевого экрана (Shorewall), web-сервера (LAMP), файлового сервера и контроллера домена Active Directory (Samba), фильтрующего прокси (Squid, ClamAV и SquidGuard), VPN-сервера (OpenVPN, L2TP), облачного хранилища (ownCloud), систем обнаружения и предотвращения вторжений. Установка и введение в строй нужного сервиса производится в один клик и не требует знания особенностей настройки каждого серверного компонента. Типовые работы по администрированию можно выполнять через web-интерфейс.

Основные новшества:

  • Добавлена альтернативная реализация почтового сервера с системой фильтрации спама на основе пакета Rspamd, возможностью использования серых списков и поддержкой DKIM. Rspamd web UI интегрирован в основной web-интерфейс;
  • Добавлена опция для создания цифровых подписей DKIM для исходящих почтовых сообщений. Для формирования подписей используется OpenDKIM;
  • Добавлена новая панель для управления Центром установки приложений, позволяющая выбрать тип обновлений и настроить их автоматическую установку;
  • Добавлен интерфейс для создания точек беспроводного доступа с авторизацией через Captive portal (поддержкивается аутентификация через учётную запись в социальных сетях, SMS или email). Реализация основана на пакета Icaro;
  • В основной состав добавлен пакет Fail2ban, позволяющий выявлять вредоносную активность по логам и блокировать IP подбирающих пароли;
  • Добавлена возможность включения логов в резервные копии;
  • Реализация облачного хранилища обновлена до свежей версии NextCloud 13.02;
  • В состав добавлен пакет для обмена сообщениями между разработчиками Mattermost, позиционируемый как открытая альтернатива системе организации коммуникаций Slack и позволяющий получать и отправлять сообщения, файлы и изображения, отслеживать их историю и получать уведомления на смартфоне или ПК.
  • Представлен NethServer HotSync, серивис для обеспечения горячего резервного копирования;
  • Улучшены инструменты для управления пропускной способностью и QoS (Quality of Service) для входящего и исходящего трафика. Например, можно зарезервировать 1Mb/s для протокола SIP и ограничить максимальную скорость загрузок по HTTP в 10Mb/s;
  • В настройках DNS добавлена опция для включения использования масок (обработка всех поддоменов для заданного домена);
  • Добавлен интерфейс для закрепления правил со списком допустимых шифров TLS;
  • Обеспечена возможность настройки привилегий доступа к совместным хранилищам Windows;
  • Для платных подписчиков представлен репозиторий с дополнительно стабилизированными обновлениями.

  1. Главная ссылка к новости
  2. OpenNews: Релиз серверного дистрибутива NethServer 7.4
  3. OpenNews: Доступен серверный дистрибутив NethServer 7
Обсуждение (40 +3) | Тип: Программы |
13.06.2018 Обновление Tor 0.3.3.7 и Tor Browser 7.5.5 (100 +8)
  Доступен выпуск инструментария Tor 0.3.3.7, используемого для организации работы анонимной сети Tor. В новом выпуске обеспечена совместимость с OpenSSL 1.1.1, перенесены некоторые исправления из ветки 0.3.4-alpha, добавлен IPv6-адрес для сервера директорий "dannenberg" и обновлены базы geoip и geoip6 (Maxmind GeoLite2 Country). Также несколько дней назад вышло обновление Tor Browser 7.5.5, в котором устранена уязвимость, выявленная в кодовой базе Firefox, и удалён код транспорта amazon-meek (Amazon и Google прекратили поддержку техники "domain fronting", которая позволяла использовать CDN для обхода блокировок, благодаря возможности обращения по HTTPS к легитимному хосту, но указания в внутри TLS-сеанса другого домена в HTTP-заголовке Host).

  1. Главная ссылка к новости
  2. OpenNews: Cloudflare ввёл в строй DNS-резолвер в форме скрытого сервиса Tor
  3. OpenNews: Проект по интеграции поддержки Tor в Firefox
  4. OpenNews: Выпуск новой стабильной ветки Tor 0.3.3
  5. OpenNews: Выпуск web-браузера Tor Browser 7.5
  6. OpenNews: Релиз дистрибутива Tails 3.7 и браузера Tor Browser 7.5.4
Обсуждение (100 +8) | Тип: Программы |
13.06.2018 Раскол среди создателей проекта CopperheadOS (106 +4)
  Разногласия между основателями ставит вопрос о дальнейшей судьбе проекта Copperhead OS, в рамках которого развивается ответвление от мобильной платформы Android, включающее дополнительные средства защиты от различных классов атак и механизмы для обеспечения неприкосновенности данных пользователя. Джеймс Дональдсон (James Donaldson), занимающий пост директора компании Copperhead, уволил Дэниела Микай (Daniel Micay), сооснователя и технического директора проекта, и ограничил ему доступ к инфраструктуре.

Дэниел утверждает, что действия Джеймса Дональдсона неадекватны и могут нанести удар по безопасности пользователей. Причины раскола не ясны. Также пока непонятно кто прав, а кто виноват. В письме с уведомлением об увольнении упоминается неприемлемое поведение Дэниела Микая в последние несколько недель, которое противоречит обязательствам перед компанией, направлено против её интересов и нарушает конфиденциальность ведения бизнеса. Дэниелю запрещено разглашать закрытые сведения и если в ответ он предпримет меры, которые приведут к убыткам, то их намереваются взыскать с него лично.

Со своей стороны Дэниель утверждает, что все высказанные против него заявления ложны и Джеймсу больше нельзя доверять, а компания и инфраструктура будут скомпрометированы, поэтому он не рекомендует пользователям устанавливать обновления. Дэниель также намерен подать судебный иск, так как считает действия Джеймса незаконным присвоением его интеллектуальной собственности и доли в компании (Дэниель утверждает, что ему принадлежит 50% компании).

Более того, под предлогом защиты устройств пользователей Дэниель удалил ключи, используемые для формирования цифровых подписей к прошивкам, что блокирует возможность автоматической доставки обновления прошивки на устройства пользователей и выпуск новых версий развиваемых проектом приложений. Судя по всему, доступ к ключам был только у Дэниеля и теперь пользователям CopperheadOS для установки обновления придётся перепрошивать устройства, так как ключ для OTA-обновлений удалён.

Дополнение 1: Дэниел перенёс исходные тексты компонентов CopperheadOS из github.com/copperhead в собственный проект github.com/AndroidHardening.

Дополнение 2: Reddit заблокировал учётную запись Дэниела. Официальных пояснений о причине блокировки пока нет.

  1. Главная ссылка к новости
  2. OpenNews: CopperheadOS ограничивает доступ к обновлениям из-за нарушения лицензионного соглашения
  3. OpenNews: Gentoo прекращает формирование hardened-варианта ядра Linux
  4. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
  5. OpenNews: Проект Copperhead OS намерен отказаться от свободной лицензии до получения финансирования
  6. OpenNews: В рамках проекта CopperheadOS развивается защищённый вариант платформы Android
Обсуждение (106 +4) | Тип: Тема для размышления |
12.06.2018 Релиз рабочего стола KDE Plasma 5.13 (150 +41)
  Представлен релиз пользовательской оболочки Plasma 5.13, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Оценить работу нового выпуска можно через Live-сборку от проекта openSUSE и сборки от проекта KDE neon. Пакеты для различных дистрибутивов можно найти на данной странице.

В процессе подготовки новой версии большое внимание уделено снижению времени запуска, повышению отзывчивости интерфейса, снижению потребления памяти и оптимизации производительности для комфортной работы на маломощных системах. Выпуск 5.13 также примечателен прекращением развития в KWin новых возможностей, специфичных для X11. При разработке KWin 5.13 реализуются только новшества, связанные с Wayland, а в работающий с X11 код вносятся только исправления ошибок (речь о специфичных для X11 или Wayland возможностях, но большая часть кода KWin не привязана к оконным системам, поэтому общие новшества доступны как для Wayland, так и для X11).

Ключевые улучшения:

  • Представлен набор интеграции браузеров с рабочим столом Plasma, предлагающий улучшения для использования Firefox, Chrome и браузеров на базе Chromium. Среди предоставляемых набором возможностей: отображение информации о загрузках во всплывающих уведомлениях Plasma (по аналогии с уведомлениями о копировании файлов в Dolphin), возможность переключения на следующий просматриваемый в браузере видеоролик или прослушиваемую музыкальную композицию через плазмоид Media Controls, поддержка отправки ссылки на смартфон с мобильным приложением KDE Connect, возможность открытия вкладок в браузере через интерфейс KRunner (Alt-Space). Набор оформлен в виде плагинов для различных браузеров;
  • Изменено оформления конфигуратора и осуществлён перевод на использование фреймворка Kirigami, позволяющего создавать адаптивные интерфейсы, работающие без изменения на настольных и мобильных системах. Обновлены многие инструменты, такие как выбор тем оформления и наборов пиктограмм. На страницу выбора заставки добавлена поддержка загрузки заставок с каталога KDE Store. На страницу настройки шрифтов добавлен предпросмотр настроек субпиксельного сглаживания;
  • Представлено новое оформления приглашения для входа в систему и экрана блокировки системы, на которых теперь по умолчанию отображаются обои текущего релиза Plasma. Для блокировщика экрана добавлен эффект плавного затухания и размытия при отображении элементов управления, что позволяет использовать его в качестве хранителя экрана;
  • В композитном менеджере KWin существенно улучшены эффекты размытия и переключения между рабочими столами. Продолжено усовершенствование работы с использованием протокола Wayland: задействованы высокоприоритетные контексты EGL, добавлена начальная поддержка скринкастов и совместного доступа к рабочему столу;
  • Улучшен интерфейс центра установки приложений и дополнений (Discover): Осуществлён переход на фреймворк Kirigami. Модернизирован внешний вид списков и категорий, в которых вместо больших картинок-баннеров задействованы панели, добавлена поддержка сортировки списков, задействован виджет Kirigami Cards. В списках и на страницах приложений добавлен вывод рейтинга программы. Пиктограммы приложений теперь выводятся с учётом активного набора пиктограмм, установленного пользователем для рабочего стола. На страницах с информацией о приложении добавлен вывод всех метаданных AppStream, включая все виды ссылок. В окружении Arch Linux после завершения обновления обеспечен вывод лога Pacman;

    Улучшена поддержка самодостаточных форматов пакетов. Для пакетов snap теперь можно менять настройки доступа и устанавливать snap-пакеты в классическом режиме. Добавлена поддержка типа URL 'snap://'. Для пакетов Flatpak предоставлена возможность выбора предпочтительного репозитория для установки. В пакет xdg-desktop-portal-kde, используемый для обеспечения интеграции приложений Flatpak и Snap с рабочим столом, добавлены порталы для предоставления доступа для создания скриншотов и скринкастов;

  • Добавлена предварительная поддержка глобального меню GTK, возможен перенос меню в верхнюю панель или отображение в виде кнопки в заголовке окна;
  • Изменён интерфейс виджета управления воспроизведением мультимедийного контента (Media Player Widget);
  • Добавлен новый диалог настройки параметров экрана, всплывающий при первом подключении внешнего монитора;
  • В плагине с реализацией календаря-планировщика обеспечен показ астрономических событий (фаз луны, дней равноденствия и максимального/минимального солнцестояния);
  • В виджет с часами добавлена поддержка копирования текущей даты и времени в буфер обмена;
  • На всплывающие уведомления добавлена кнопка для очистки истории;
  • Для KRunner представлены плагины для упрощения доступа к профилям терминала Konsole и интерфейсу выбора символов;
  • Страница настройки параметров мыши переделана и переведена на использование libinput для X и Wayland;
  • В Plasma Vault (интерфейс для шифрования конфиденциальных данных) добавлен бэкенд CryFS, появилась возможность закрытия шифрованных хранилищ со смартфона через приложение KDE Connect, обеспечена поддержка offline-хранилищ;
  • Добавлена возможность отката на программную отрисовку, в случае невозможности использования драйверов OpenGL или их сбоя;
  • Всплывающие диалоги на панели теперь открываются значительно быстрее благодаря реализации механизма упреждающей загрузки.

  1. Главная ссылка к новости
  2. OpenNews: Разработчик KWin ушёл с поста мэнтейнера из-за несогласия с новыми веяниями в KDE
  3. OpenNews: Выпуск KDE Applications 18.04
  4. OpenNews: Релиз браузера Falkon 3.0.0, развиваемого проектом KDE
  5. OpenNews: Проект KDE представил вторую модель ультрабука KDE Slimbook
  6. OpenNews: Релиз рабочего стола KDE Plasma 5.12
Обсуждение (150 +41) | Тип: Программы |
12.06.2018 Началась разработка GitPub, протокола для децентрализованных Git-сервисов (32 +25)
  В рамках проекта GitPub началась подготовка спецификации, расширяющей протокол ActivityPub средствами для объединения Git-сервисов в общую федеративную сеть. Изначально ActivityPub рассчитан на распространение контента, управление подписками и доставку уведомлений в децентрализованных социальных сетях (позволяет объединять контент социальных сетей на основе отличающихся платформ), но протокол создан с возможностью расширения и может быть легко адаптирован для организации взаимодействия между сервисами совместной разработки.

Первый черновой вариант спецификации GitPub определяет API для трансляции между серверами pull-запросов и операций создания форков, а также оформления подписки на репозитории, предоставляемые web-сервисами наподобие GitHub, GitLab, RhodeCode, GitPrep, Kallithea, GitBucket, Gogs и Gitea. Спецификация поставляется под лицензией W3C Document License, а примеры кода под лицензией MIT.

GitPub охватывает только аспекты взаимодействия между серверами (server-to-server), не углубляясь в низкоуровневые git-операции и не привязываясь к конкретным реализациям серверов. В отличие от API Apache GitPubSub, GitPub фокусирует внимание на обеспечение выполнения операций, охватывающих разные репозитории (форки, pull-запросы), в то время как GitPubSub рассчитан на передачу сведений на уровне отдельных коммитов в конкретном репозитории.

  1. Главная ссылка к новости
  2. OpenNews: Релиз федеративной социальной сети Socialhome 0.7.0
  3. OpenNews: Анонсирован GitTorrent для доступа к Git-репозиториям при помощи BitTorrent
  4. OpenNews: GitLab делает бесплатной коммерческую версию для студентов и открытых проектов
  5. OpenNews: Компания Microsoft объявила о покупке GitHub за 7.5 миллиардов долларов
  6. OpenNews: W3C стандартизировал протокол децентрализованных социальных сетей ActivityPub
Обсуждение (32 +25) | Тип: К сведению |
12.06.2018 В FCC официально вступили в силу изменения, отменяющие правила сетевого нейтралитета (86 –17)
  Официально вступили в силу изменения правил Федерального агентства по связи США (FCC), касающиеся соблюдения сетевого нейтралитета. Отныне перестали действовать применяемые к провайдерам дополнения, запрещавшие платное повышение приоритета, блокирование доступа и ограничение скорости обращения к контенту и сервисам, распространяемым на законных основаниях. Нейтралитет был обеспечен в классификации "Title II", в рамках которой широкополосный доступ трактовался как "информационный сервис", а не "телекоммуникационный сервис", что ставило распространителей контента и операторов связи в один ранг и не допускало дискриминации одной из сторон.

Отмечается, что у сторонников сетевого нейтралитета ещё остаётся шанс добиться отмены изменения правил через Конгресс США. Первая палата Конгресса (Сенат) уже проголосовала за отмену изменений, внесённых FCC. Остаётся добиться утверждения отмены изменений во второй палате Конгресса (Палата представителей), в которой по предварительной оценке преобладают противники сетевого нейтралитета. Тем не менее, опрос населения показал, что 86% склоняются в пользу обеспечения сетевого нейтралитета, что может изменить позицию некоторых членов Палаты представителей.

Отмечается, что три штата США (Орегон, Вашингтон и Вермонт) уже утвердили в своих локальных законодательных актах сохранение правил сетевого нейтралитета. Еще шесть штатов (Гавайи, Монтана, Нью-Джерси, Нью-Йорк, Род-Айленд и Вермонт) проголосовали за внесение аналогичных изменений. В общем виде, 35 из 50 штатов в той или иной форме работают над обеспечением элементов сетевого нейтралитета.

Напомним, что сторонники нейтралитета, среди которых в основном крупные контент-провайдеры и online-сервисы, отстаивают недопустимость разделения приоритетов для разных видов и источников трафика, так как это неизбежно приведёт к ухудшению качества доступа к одним сайтам и видам данных за счёт увеличения приоритета для других, а также усложнит выведение на рынок новых сервисов, так как они будут изначально проигрывать по качеству доступа сервисам, заплатившим провайдерам за повышение приоритета их трафика.

Противники нейтралитета, среди которых преобладают интернет-провайдеры и производители сетевого оборудования, добиваются возможности изменения приоритетов для разного вида трафика на своё усмотрение, главным образом с целью организации сбора отчислений с контент-провайдеров за повышение скорости доступа к их ресурсам или для повышения качества доступа к своим сервисам за счёт ограничения скорости к сервисам конкурентов.

  1. Главная ссылка к новости
  2. OpenNews: Сенат США проголосовал за отмену решения FCC, касающегося сетевого нейтралитета
  3. OpenNews: Mozilla обратилась в суд для защиты сетевого нейтралитета
  4. OpenNews: Федеральное агентство по связи США отменяет правила сетевого нейтралитета
  5. OpenNews: Федеральное агентство по связи США проголосовало за сохранение сетевого нейтралитета
  6. OpenNews: Федеральное агентство по связи США стало на сторону сторонников сетевого нейтралитета
Обсуждение (86 –17) | Тип: К сведению |
11.06.2018 Выпуск Wine 3.10 (47 +21)
  Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 3.10. С момента выпуска версии 3.9 было закрыто 17 отчётов об ошибках и внесено 286 изменений.

Наиболее важные изменения:

  • В Direct 3D 12 добавлена поддержка цепочек переключений виртуальных фреймбуферов (SwapChain);
  • Реализация API Vulkan приведена в соответствие с последним вариантом спецификации;
  • Добавлена поддержка отладчика для процессов Wow64;
  • Расширена поддержка планировщика запуска задач по расписанию (Task Scheduler);
  • Закрыты отчёты об ошибках, связанные с работой игр и приложений: Max Payne 3, Tumblebugs 2, Neverwinter Nights 2, Brothers: A Tale of Two Sons, Broforce, Dead Space, Lego Star Wars Complete Saga, World of Tanks, Tomb Raider 2013, CPU-Z 1.8x.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Wine 3.9
  3. OpenNews: Проект Wine выпустил Vkd3d 1.0 с реализацией Direct3D 12
  4. OpenNews: Выпуск проекта Wine Staging 3.3
  5. OpenNews: Стабильный релиз Wine 3.0
Обсуждение (47 +21) | Тип: Программы |
11.06.2018 Релиз NNCP 3.3, утилит для store-and-forward передачи файлов/почты/команд (25 +7)
  Состоялся релиз Node-to-Node copy (NNCP), набора утилит для безопасной передачи файлов, электронной почты и команд для исполнения в режиме store-and-forward. Поддерживается работа на POSIX-совместимых операционных системах. Утилиты написаны на языке Go и распространяются под лицензией GPLv3+.

Утилиты ориентированы на помощь в построении небольших одноранговых friend-to-friend сетей (дюжины узлов) со статической маршрутизацией для безопасной передачи файлов в режиме fire-and-forget, запросов на файлы, электронной почты и запросов на выполнение команд. Все передаваемые пакеты зашифрованы (end-to-end) и явно аутентифицируются по известным публичным ключам знакомых. Луковое (как в Tor) шифрование применяется для всех промежуточных пакетов. Каждый узел может выступать как в роли клиента, так и сервера и использовать и push и poll модель поведения.

Отличием NNCP от решений UUCP и FTN (FidoNet Technology Network), кроме вышеупомянутого шифрования и аутентификации, является поддержка из коробки сетей флоппинет и компьютеров, физически изолированных (air-gapped) от небезопасных локальных и публичных сетей. Особенностью NNCP также является лёгкая интеграция (наравне с UUCP) с текущими почтовыми серверами, такими как Postfix и Exim.

Из возможных областей применения NNCP отмечается организация отправки/приёма почты на устройства без постоянного подключения к интернету, передачи файлов в условиях нестабильного сетевого соединения, безопасной передачи очень больших объёмов данных на физических носителях, создание защищённых от MitM-атак изолированных сетей передачи данных, обхода сетевой цензуры и слежки. Так как ключ для дешифровки находится только у получателя, независимо от путей доставки пакета по сети или через физические носители, третье лицо не может прочитать содержимое, даже перехватив отправление. В свою очередь аутентификация по цифровой подписи не позволяет сформировать фиктивное отправление под видом другого отправителя.

Среди новшеств NNCP 3.3, по-сравнению с предыдущей новостью (версия 0.7), можно отметить:

  • Как и в UUCP, теперь можно делать удалённый вызов команд. Отправка почты стала удалённым выполнением команды sendmail. Например, это можно использовать для того, чтобы по узким каналам связи с низкой задержкой (например сотовая сеть) запросить удалённую систему сделать полное зеркалирование сайта/страницы и подготовить ответ для передачи по толстым каналам с большой задержкой (для копирования на диски/ленты);
  • Команда nncp-bundle позволяет создавать bundles пригодные для потоковой записи пакетов на ленты, компакт-диски и блочные устройства без файловых систем. Ранее невозможно было удобно обмениваться пакетами используя ленточные накопители без создания промежуточного архива;
  • Возможность создания .seen-файлов, отмечающих что заданный пакет был обработан ранее. Это позволяет обрабатывать огромные объёмы пакетов за несколько проходов чтения (с ленты, дисков) без их полного копирования в spool. Кроме того, позволяет избегать дублирования при обмене пакетами по нескольким параллельным каналам связи;
  • Включение NNCP в порты FreeBSD;
  • Отправитель может задать предпочитаемый приоритет для ответных пакетов на запросы файлов и исполнения команд;
  • Возможность переопределять промежуточные ноды через которые будет отправлен пакет прямо из командной строки, не меняя конфигурационный файл;
  • Алгоритм шифрования Twofish заменён на ChaCha20, существенно ускоряя работу на слабых процессорах;
  • Приоритеты пакетов, вместо целого числа 1-255, теперь можно задавать человекочитаемыми именами вида: NORMAL, BULK+20, PRIORITY-15, F+3;
  • Огромное количество поправок для удобства: возможность делать tossing только для заданного типа пакетов, возможность переопределять путь до spool директории, команда nncp-rm для удаления различных файлов из spool директории, прерывание низкоприоритетных online-передач более высокоприоритетными, и множество других.

  1. Главная ссылка к новости
  2. OpenNews: Релиз NNCP 0.7, утилит для безопасной передачи файлов/почты в режиме store-and-forward
  3. OpenNews: Первый релиз утилит NNCP для передачи файлов/почты в режиме store-and-forward
Обсуждение (25 +7) | Автор: stargrave | Тип: Программы |
11.06.2018 Первый альфа-выпуск PHP 7.3 (25 +9)
  Опубликован первый альфа-выпуск PHP 7.3. Релиз запланирован на 29 ноября.

Среди нововведений:

  • Реализован гибкий синтаксис многострочной вставки (строки heredoc и nowdoc), не требующий обязательного перевода строк после маркера окончания блока и допускающий выравнивание отступами;
  • Добавлена поддержка назначения ссылок в list(): синтаксис "list($a, &$b) = $array;", эквивалентный присвоению "$a = $array[0]; $b =& $array[1];" ;
  • В заголовок страницы phpinfo(), добавлено отображение переменной PHP_VERSION;
  • В расширение Date добавлен метод DateTime::createFromImmutable();
  • В расширение GD в функции imagecreatefromstring() появилась поддержка создания изображений в формате WebP;
  • В расширение OpenSSL добавлена функция openssl_pkey_derive();
  • Расширение PCRE переведено на ветку PCRE2;
  • Расширение SQLite3 обновлено до libsqlite 3.24.0;
  • Представлена новая функция net_get_interfaces() для получения информации о доступных сетевых интерфейсах;
  • Улучшена работа сборщика мусора;
  • Переработан PHP-скрипт ext_skel (генерирует шаблоны кода дополнений), который теперь можно полноценно запускать в Windows без дополнительных зависимостей ('php ext_skel.php');
  • Прекращена поддержка платформы BeOS.

  1. Главная ссылка к новости
  2. OpenNews: Релиз языка программирования PHP 7.2
  3. OpenNews: В PHPMailer выявлена ещё одна критическая уязвимость, вызванная недоработкой в PHP
  4. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
  5. OpenNews: Релиз языка программирования PHP 7.1
Обсуждение (25 +9) | Тип: Программы |
10.06.2018 Суд взыскал 259 тысяч долларов с компании, разрабатывающей Grsecurity (58 +28)
  Суд удовлетворил иск Брюса Перенса (Bruce Perens) и взыскал возмещение судебных издержек с компании Open Source Security, которая развивает проект Grsecurity и ранее пытались отсудить у Перенса 3 млн долларов за публикацию в авторском блоге критики лицензионной политики Grsecurity. Ранее суд отклонил все претензии к Брюсу Перенсу, а теперь взыскал с Open Source Security и Брэда Спенглера (Brad Spengler, автор grsecurity) 259 тысяч долларов для покрытия расходов на юридическое сопровождение защиты. Размер выплаты сопоставим с годовым заработком компании Open Source Security, в которой работает только один сотрудник, а годовой доход составляет 350 тысяч долларов.

Изначально Перенс просил взыскать 667 тысяч долларов, но суд согласился взыскать менее половины из этой суммы (это обычная практика и суды обычно уменьшают размер запрошенной суммы). Полученные средства составят гонорар выступавших на стороне защиты Хизер Микер (Heather Meeker) и Мелоди Драммонд Хансен (Melody Drummond Hansen), входящих в список Legal 500 и являющихся одними из лучших специалистов в делах, связанных с открытым ПО.

Напомним, что год назад Перенс (один из авторов определения Open Source, соучредитель организации OSI (Open Source Initiative), создатель пакета BusyBox и один из первых лидеров проекта Debian) опубликовал в своём блоге заметку, в которой раскритиковал ограничение доступа к наработкам Grsecurity и предостерёг от покупки платной версии из-за возможного нарушения лицензии GPLv2. Разработчик Grsecurity не согласился с подобной трактовкой и подал в суд на Брюса Перенса, обвинив его в публикации ложных заявлений под видом фактов и злоупотреблении своим положением в сообществе для умышленного нанесения вреда бизнесу компании Open Source Security. Суд отклонил претензии, указав, что публикация в блоге Перенса носит характер личного мнения и не направлена на нанесение предумышленного ущерба истцу.

При этом разбирательство не затрагивало непосредственно вопрос возможного нарушения GPL при применении ограничивающих условий при распространении патчей Grsecurity (расторжение договора в случае передачи патчей третьим лицам). Брюс Перенс считает, что нарушением GPL является сам факт создания дополнительных условий в договоре. В случае патчей Grsecurity, рассматривается не самодостаточный GPL-продукт, имущественные права на который находятся в одних руках, а производная от ядра Linux работа, которая также затрагивает и права разработчиков ядра. Патчи Grsecurity не могут существовать по отдельности без ядра и неразрывно с ним связаны, что соответствует критериям производного продукта. Подписание договора на предоставление доступа к патчам Grsecurity приводит к нарушению GPLv2, так как компания Open Source Security не имеет права распространять производный продукт от ядра Linux с дополнительными условиями без получения согласия от разработчиков ядра.

Позиция Grsecurity основана на том, что в договоре с клиентом определяются условия расторжения договора, в соответствии с которыми клиент может потерять доступ к будущим версиям патчей. Подчёркивается, что упомянутые условия касаются доступа к ещё не написанному коду, который возможно появится в будущем. Лицензия же GPLv2 определяет условия распространения существующего кода и не содержит явных ограничений, применимых для ещё не созданного кода. При этом клиенты Grsecurity не теряют возможности использования уже выпущенных и полученных ими патчей и могут распоряжаться ими в соответствии с условиями GPLv2.

  1. Главная ссылка к новости
  2. OpenNews: Брюс Перенс намерен отсудить у Grsecurity судебные издержки в размере 667 тысяч долларов
  3. OpenNews: Суд отклонил претензии Grsecurity к Брюсу Перенсу
  4. OpenNews: Разработчики Grsecurity подали судебный иск против Брюса Перенса
  5. OpenNews: Grsecurity возможно нарушает лицензию GPL в своих попытках остановить перенос кода в ядро Linux
  6. OpenNews: Создатель Busybox выступил с критикой недавних исков
Обсуждение (58 +28) | Тип: Тема для размышления |
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor