The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

15.09.2018 Релиз сетевого конфигуратора NetworkManager 1.14 (48 +15)
  Подготовлен новый стабильный релиз интерфейса для упрощения настройки параметров сети - NetworkManager 1.14. Плагины для поддержки VPN, OpenConnect, PPTP, OpenVPN и OpenSWAN развиваются в рамках собственных циклов разработки.

Ключевые новшества NetworkManager 1.14:

  • Поддержка устройств для работы в маломощных беспроводных сетях IEEE 802.15.4 с использованием протокола 6lowPAN (IPv6 over Low power Wireless Personal Area Networks);
  • Возможность повторной активации профиля, используя настройку "connection.multi-connect";
  • Добавлена настройка для привязки профиля к устройствам через определение списка сопоставления с именами сетевых интерфейсов;
  • Поддержка возможностей инструментария ethtool для управления выносом операций вычисления контрольных сумм и обработки сегментов на плечи сетевой карты (offload);
  • Возможность настройки LLMNR (Link Local Multicast Name Resolution);
  • Предложен новый API для взаимодействия с NetworkManager через D-Bus , старый D-Bus API объявлен устаревшим из-за проблем, возникающих с привязкой к порядку следования байт при кодировании IP-адреса;
  • Поддержка IP-туннелей ip6gre и ip6gretap;
  • Возможность определения сетевых интерфейсов, используемых для VPN на базе WireGuard (WireGuard VPN пока не может быть настроен через NetworkManager);
  • Возможность настройки сетевых интерфейсов, созданных виртуализированными устройствами на базе технологии SR-IOV (Single Root Input/Output Virtualization);
  • Улучшен разбор ошибок при активации в условиях недоступности сетевого устройства;
  • Возможность повторного применения изменений метрик маршрута;
  • Поддержка использования EAP-профилей с бэкендом на базе Wi-Fi демона IWD, развиваемого компанией Intel в качестве альтернативы wpa_supplicant. Поддержка API iwd 0.8.

  1. OpenNews: Релиз сетевого конфигуратора NetworkManager 1.12
  2. OpenNews: В ArchLinux интегрирован новый сетевой конфигуратор netctl
  3. OpenNews: Первый стабильный релиз сетевого конфигуратора ConnMan
  4. OpenNews: Разработчики systemd предложили новую систему для настройки сетевой конфигурации
  5. OpenNews: Ubuntu переходит на формат сетевой конфигурации netplan
Обсуждение (48 +15) | Тип: Программы |
14.09.2018 Intel опубликовал открытую прошивку для инициализации оборудования и загрузки ОС (70 +19)
  Компания Intel опубликовала открытый проект Slim Bootloader, развивающий открытую прошивку, которую можно использовать вместо BIOS для инициализации оборудования и организации процесса загрузки ОС. Slim Bootloader позиционируется как безопасное, легковесное и высоко оптимизированное решение, пригодное в том числе для создания прошивок для ПК, серверов и IoT-устройств. Исходные тексты Slim Bootloader открыты под лицензией BSD.

Slim Bootloader может выполнять работу по первичной инициализации основных аппаратных компонентов после включения системы, с последующей передачей управления загрузчику, отвечающему за запуск основной операционной системы. Проект обеспечивает высокую скорость загрузки при минимальном размере прошивки, что может оказаться полезным OEM-производителям, разработчикам устройств и просто энтузиастам при подготовке решений для загрузки специализированных систем.

В настоящее время Slim Bootloader поддерживает только аппаратные платформы на базе микроархитектуры Apollo Lake, включая плату UP Squared, эталонную систему Intel Leaf Hill и модуль MinnowBoard 3, а также загрузку виртуальных машин через QEMU. Загрузчик может применяться совместно с инструментами и библиотеками от проекта EDK II, в рамках которого ведётся разработка открытых компонентов для создания UEFI-прошивок.

Slim Bootloader изначально развивается как модульная система, в которой компоненты инициализации оборудования и загрузки операционной системы разделены, что позволяет добиться хорошей расширяемости и гибкости в настройке. Slim Bootloader способен загружать различные операционные системы и имеет встроенные средства для обновления прошивки, контроля целостности (Boot Guard) и верификации загружаемых компонентов по цифровой подписи (Root of Trust). Для диагностики и отладки предоставляется встроенный интерфейс командной строки.

При использовании Slim Bootloader процесс загрузки разбивается на стадии:

  • Stage 1A - начальная инициализации, до доступности памяти;
  • Stage 1B - инициализации основной памяти;
  • Stage 2 - инициализация CPU, контроллеров ввода/вывода, устройств и другого оборудования;
  • Payload - загрузка, проверка и запуск образов ОС или вызов обработчика обновления прошивки.

Поддерживаются следующие виды обработчиков (payload):

  • Встроенный загрузчик, соответствующий спецификации MultiBoot и подходящий для загрузки Linux, гипервизора, Android или исполняемых файлов в формате ELF или PE;
  • Встроенный обработчик обновления прошивки, автоматизирующий безопасную установку обновлений;
  • Внешний обработчик UEFI, базирующийся на наработках TianoСore EDK II (открытая реализация UEFI) и подходящий для загрузки Windows. Обработчик предоставляет сервисы для Secure boot, SMM и UEFI runtime;
  • Режим запуска произвольных обработчиков для реализации специфичной функциональности.

  1. OpenNews: Выпуск Coreboot 4.8
  2. OpenNews: В CoreBoot добавлена реализация открытой UEFI-прошивки на базе TianoCore
  3. OpenNews: Linux Foundation представил проект LinuxBoot для замены UEFI-прошивок
  4. OpenNews: Intel представил проект по развитию открытых прошивок для звуковых чипов
  5. OpenNews: Foundries.io представила платформы для разработки безопасных прошивок для IoT устройств
Обсуждение (70 +19) | Тип: Программы | Интересно
14.09.2018 Уязвимость в пакетном менеджере APK, позволяющая удалённо выполнить код в Alpine Linux (22 +15)
  Исследователь безопасности Max Justicz, известный выявлением уязвимостей в репозиториях Packagist, NPM и RubyGems, опубликовал информацию о новой критической уязвимости в пакетном менеджере APK, применяемом в дистрибутиве Alpine Linux (используется по умолчанию для контейнеров Docker). Уязвимость несколько дней назад уже устранена в APK, а проект Alpine Linux выпустил обновление 3.8.1, в который включено данное исправление.

Атакующие, имеющие возможность совершить MITM-атаку или изменить пакеты на зеркале, могли подменить загружаемый пользователем apk-пакет и инициировать выполнение своего кода в системе c правами root. В Alpine Linux при доступе к штатным репозиториям по умолчанию не применяется TLS-шифрование канала связи, а используется только верификация целостности и источника пакета по цифровой подписи. К сожалению подобной проверки оказалось недостаточно, так как приводящая к уязвимости ошибка проявляется на стадии распаковки пакета, которая выполняется до проверки цифровой подписи.

Суть проблемы в том, что через манипуляцию с путями внутри пакета атакующие могут добиться распаковки непроверенного файла в системный каталог. Пакет apk представляет собой архив tar, при распаковке которого файлы поочерёдно извлекаются в корень с добавлением к имени окончания ".apk-new". В случае несовпадения проверочного хэша распакованные файлы удаляются. Проблема проявляется из-за ошибки при обработке символических ссылок.

Атакующий может создать в пакете ссылку с именем "link", указывающую, допустим, на файл "/etc/apk/commit_hooks.d/x". Данная ссылка будет распакована с временным именем "link.apk-new", но продолжит указывать на "/etc/apk/commit_hooks.d/x". Кроме символической ссылки в пакет можно поместить обычный файл тем же именем "link". Пакетный менеджер попытается сохранить его как "link.apk-new", но с данным именем уже присутствует символическая ссылка, что приведёт к созданию адресуемого через ссылку файла "/etc/apk/commit_hooks.d/x". Когда apk обнаружит несоответствие пакета проверочному хэшу, он удалит link.apk-new, но файл "/etc/apk/commit_hooks.d/x" останется в системе.

В итоге злоумышленник может переписать любой файл, в том числе разместить скрипт в каталоге /etc/apk/commit_hooks.d/, скрипты из которого вызываются перед завершением работы apk, что приведёт к выполнению кода до завершения обработки текущего пакета. Подобная особенность может использоваться для скрытия атаки. Изменив на лету память процесса apk через /proc/pid/mem, атакующий может добиться завершения apk всегда с нулевым кодом возврата, что позволяет успешно довести до конца процесс обновления или сборки Docker-контейнера и не вызвать подозрений.

  1. OpenNews: Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
  2. OpenNews: Уязвимость в Apache CouchDB, позволяющая совершить атаку на реестр пакетов NPM
  3. OpenNews: В RubyGems выявлена удалённо эксплуатируемая уязвимость
  4. OpenNews: Root-уязвимость из-за некорректных настроек в пакете nginx для Debian и Ubuntu
  5. OpenNews: Уязвимость в пакетном менеджере APT, проявляющаяся в конфигурациях с зеркалами
Обсуждение (22 +15) | Тип: Проблемы безопасности |
14.09.2018 Компрометация репозиториев дополнений к Kodi привела к распространению вредоносного кода (42 +9)
  Компания ESET сообщила о выявлении вредоносного кода в репозиториях дополнений для свободного медиацентра Kodi. Пользователи Linux и Windows, добавившие в Kodi репозитории Bubbles, Gaia и XvBMC, были поражены вредоносным ПО, осуществляющим майнинг криптовалюты.

Первые вредоносные изменения были добавлены в репозитории ещё в декабре 2017 года и январе 2018 года. Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам. В настоящее время все проблемные репозитории уже закрыты, после инициированных антипиратской группой BREIN судебных разбирательств, касающихся нарушения авторских прав.

Атака производилась через манипуляцию с популярным дополнением script.module.simplejson, которое используется во множестве других дополнений. При добавлении проблемных репозиториев в Kodi, через некоторое время в данных репозиториях появлялся более новый фиктивный выпуск script.module.simplejson. Kodi воспринимал его как легитимное обновление и загружал его. В качестве зависимости вместе с новым фиктивным выпуском этого дополнения в систему пользователя автоматически загружалось ещё одно дополнение script.module.python.requests.

Данное дополнение включало запутанный блок кода, который анализировал текущее программное окружение, загружал соответствующий ему исполняемый файл для майнинга (Win64/CoinMiner.II, Win64/CoinMiner.MK, Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK и Linux/CoinMiner.CU) и удалял себя из системы для заметания следов. Поражались различные системы на базе Windows и Linux.

Для атаки достаточно было прописать проблемный репозиторий в настройки Kodi или установить стороннюю сборку, в которой подобные репозитории были прописаны. Установка дополнений из этих репозиториев не требовалась. Точных инструкций по определению факта компрометации пользовательского окружения не приводится, кроме субъективной оценки возрастания нагрузки на CPU.

По предварительным данным жертвами вредоносных дополнений стали 4774 пользователя, а общая сумма полученная злоумышленниками в результата майнинга составила 62 Monero (около 6800 долларов). Большая часть жертв находится в США, Израиле, Греции, Великобритании и Голландии. Отмечается, что возможно атака не ограничится репозиториями Bubbles, Gaia и XvBMC, поэтому пользователям Kodi следует проявлять осторожность при подключении репозиториев, установке дополнений и использовании сторонних сборок.

Примечательно, что это вторая крупная атака через дополнения к Kodi - первая атака была замечена в начале 2017 года, распространялась через популярное дополнение Exodus и специализировалась на построении ботнета для проведения DDoS-атак.

  1. OpenNews: Не исключена подмена MetalKettle, популярного репозитория для медиацентра Kodi
  2. OpenNews: Атака на Kodi, VLC и Popcorn-Time через вредоносные субтитры
  3. OpenNews: Состоялся релиз открытого медиацентра Kodi 17.0
  4. OpenNews: Атака на системы с rTorrent для скрытого майнинга криптовалюты
  5. OpenNews: Атака по майнингу криптовалюты на незащищённых серверах PostgreSQL
Обсуждение (42 +9) | Тип: Проблемы безопасности |
14.09.2018 Mozilla тестирует DNS поверх HTTPS и применение GPU для отрисовки (130 +19)
  Разработчики Mozilla предложили пользователям принять участие в тестировании функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS). После успешного эксперимента с включением DoH в ночных сборках, решено протестировать данную функциональность в бета-выпусках Firefox. В конце этой недели части пользователей Firefox Beta из США будет предложено активировать обращение к DNS через HTTPS (при нежелании принимать участие в тестировании пользователь сможет отказаться).

В процессе тестирования DoH в ночных сборках существенное ускорение отклика было замечено только участниками с медленными каналами связи,в то время как у большинства пользователей наблюдалось незначительное снижение производительности. Тем не менее эксперимент был признан удачным, так как польза от повышения защищённости при использовании DoH перекрывает зафиксированную задержку на уровне 6 миллисекунд, которая незаметна в процессе работы.

Желающие могут присоединиться к тестированию DoH, изменив в about:config значение network.trr.mode (поддерживается, начиная с Firefox 60). Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/".

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Дополнительно, можно отметить активацию для ограниченного числа пользователей ночных сборок Firefox системы композитинга Servo WebRender, написанной на языке Rust. При включении WebRender для выполнения операций отрисовки элементов страницы не используется встроенная в движок Gecko система композитинга, обрабатывающая данные при помощи CPU. Вместо этого применяются шейдеры, выполняемые в GPU, что позволяет добиться существенного увеличения скорости отрисовки.

Тестирование WebRender затронет около 17% пользователей стационарных ПК с ОС Windows 10 и видеокартой NVIDIA. Для активации WebRender независимо от попадания в группу тестирования в about:config можно выставить переменную "gfx.webrender.all". По оценке разработчиков, система уже работает достаточно стабильно на всех поддерживаемых в Firefox платформах, кроме Android.

  1. OpenNews: В ночные сборки Firefox добавлен WebRender, использующий GPU для отрисовки web-страниц
  2. OpenNews: Релиз Firefox 60
  3. OpenNews: Тестирование DNS over HTTPS в Firefox может привести к утечке данных об открываемых сайтах
  4. OpenNews: В следующем выпуске Android появится поддержка "DNS over TLS"
  5. OpenNews: Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
Обсуждение (130 +19) | Тип: К сведению |
14.09.2018 Первый бета-выпуск мобильной платформы /e/, развиваемой создателем Mandrake Linux (80 +15)
  Гаэль Дюваль (Gaël Duval), создатель дистрибутива Mandrake Linux, объявил о начале бета-тестирования проекта "/e/" (ранее Eelo), в рамках которого развивается дистрибутив для смартфонов, сосредоточенный на обеспечении конфиденциальности пользовательских данных. Тестовые сборки прошивки подготовлены для различных моделей Essential Phone, Fairphone, Google Nexus, HTC, Huawei, LeEco, LG, Motorola, OnePlus, Samsung и Xiaomi.

Отмечается, что после года разработки проект достиг уровня готовности для повсеместного тестирования. Первый стабильный релиз планируется выпустить в начале 2019 года. Проектом также намечена смена названия, так как используемое при разработке имя "/e/" проблематично использовать в обсуждениях и оно плохо подходит для поиска. Изначально выбранное имя Eelo стало невозможно использовать из-за проблем с регистрацией торговой марки (поступила претензия из-за похожести на торговую марку "eelloo" и хотя претензия была спорной, Гаэль Дюваль решил не ввязываться в судебное разбирательство).

Прошивка развивается как ответвление от свободного проекта LineageOS 14.1 (бывший CyanogenMod), что позволяет сохранить поддержку приложений, написанных для Android, и не тратить ресурсы на обеспечение поддержки оборудования. Для взаимодействия с сервисами Google предустановлен пакет microG, который обеспечивает поддержку некоторых API Google без установки проприетарных компонентов Google. При этом сами сервисы Google не используются, а заменены на независимые аналоги. Например, для определения местоположения по Wi-Fi и базовым станциям (без GPS) вместо Google Network Location Provider предлагается прослойка на основе Mozilla Location Service. Установка приложений осуществляется из каталогов F-Droid и Yalp Store.

Главным отличием платформы "/e/" от LineageOS является переработанный интерфейс пользователя. По мнению участников проекта, LineageOS предлагает не слишком привлекательный интерфейс, который ориентирован на продвинутых пользователей и включает множество мелочей, отпугивающих обычных пользователей. Интерфейс "/e/" включает собственный ланчер BlissLauncher, улучшенную систему уведомлений, новый экран блокировки и иное стилевое оформление. В BlissLauncher задействован специально разработанный для проекта набор автоматически масштабируемых пиктограмм и подборка виджетов (например, виджет для показа прогноза погоды).

В число предустановленных по умолчанию приложений входят почтовый клиент (форк K9-mail с поддержкой OAuth), программа для отправки мгновенных сообщений (Signal), чат (Telegram), системы для ведения заметок и планирования задач. Для работы с картами используется приложение Magic Earth, которое пока остаётся проприетарным, но ведутся переговоры об открытии кода. Вместо поисковой системы Google предлагается метапоисковый сервис на основе форка движка Searx, обеспечивающий анонимность отправляемых запросов. В качестве опций также можно выбрать поисковые системы Qwant и DuckDuckGo.

Настройка доступа производится через собственный менеджер аутентификации, позволяющий использовать для всех сервисов единую учётную запись (user@e.email), которая регистрируется в процессе первой установки.

Среди предлагаемых в "/e/" сервисов: электронная почта, облачное хранилище, календарь-планировщик, заметки и задачи. Учётную запись можно использовать для получения доступа к своему окружению через Web или на других устройствах. Облачное хранилище построено на открытой платформе NextCloud.

Для поддержания прошивки в актуальном виде пользователю предлагается система OTA-обновлений и интерфейс, позволяющий контролировать получение и установку системных обновлений.

Среди планов на будущее:

  • Инструмент для резервного копирования и восстановления настроек;
  • Доработка приложений и оптимизация интерфейса пользователя;
  • Решение вопроса с DNS-серверами по умолчанию. Сейчас используется Google DNS (8.8.8.8), но рассматривается возможность замены на 1.1.1.1 или 9.9.9.9 и предоставления интерфейса для выбора DNS-сервера пользователем;
  • Обновление системы до LineageOS 15/Android Oreo;
  • Возможная поддержка OAuth для аутентификации;
  • Подготовка Docker-образов для развёртывания сервисов "/e/" на своих мощностях. При желании вместо предоставляемых проектом почтового сервера, облачного хранилища и календаря-планировщика, пользователь сможет запустить свои экземпляры данных сервисов;
  • Ведётся разработка кастомизированной версии TWRP (Team Win Recovery Project);
  • Улучшение поискового движка и увеличение его производительности;
  • Создание собственного репозитория приложений. В разработке находится прототип репозитория, охватывающий около 60 тысяч Android-приложений, и новая программа для установки программ. До завершения работы над репозиторием пользователям предлагаются каталоги Yalp Store и F-droid.

  1. OpenNews: Создатель Mandrake Linux представил мобильную платформу Eelo
  2. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
  3. OpenNews: Опубликованы макеты мобильного интерфейса GNOME для смартфона Librem 5
  4. OpenNews: Раскол среди создателей проекта CopperheadOS
  5. OpenNews: Проект postmarketOS приступил к созданию загрузчика и прошивки модема для смартфонов
Обсуждение (80 +15) | Тип: К сведению | Интересно
13.09.2018 Выпуск Samba 4.9.0 (44 +11)
  После шести месяцев разработки подготовлен релиз Samba 4.9.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.9:

  • Реализован новый экспериментальный бэкенд LDB на базе библиотеки LMDB, позволяющий создавать БД больше 4 Гб. Для включения нового бэкенда следует использовать опцию "--backend-store=mdb". Для сборки требуется наличие версии lmdb выше 0.9.16;
  • Добавлена поддержка объектов установки паролей (PSO - Password Settings Objects или FGPP - Fine-Grained Password Policies). PSO позволяет для отдельных пользователей или групп переопределить правила установки пароля, заданные в Active Directory. Например, для выборочных пользователей можно потребовать установки более длинных паролей или отменить ограничения по сложности пароля. Настройка PSO выполняется командой 'samba-tool domain passwordsettings pso';
  • Добавлена команда 'samba-tool domain backup online' для созданий файла с резервной копией БД для указанного домена Active Directory, а также команда и 'samba-tool domain backup restore' для восстановления состояния сервисов Samba на основе ранее сохранённого бэкапа;
  • Добавлена базовая поддержка переименования доменов Samba. Переименование производится в два шага: вначале для клонирования БД домена запускается команда 'samba-tool domain backup rename', а затем полученный файл с резервной копией БД восстанавливается под новым именем домена при помощи команды 'samba-tool domain backup restore';
  • Реализован плагин локальной авторизации для MIT Kerberos, который через winbind управляет взаимодействием между пользователем в Kerberos и учётной записью в Active Directory. На входе указывается пользователь (principal) Kerberos и имя локальной учётной записи, после чего определяется их соответствие и выдаётся канонизированный вариант (например, если пользователь зашёл как "alice", а samAccountName выставлен в "ALICE", для Kerberos будет возвращено имя "ALICE");
  • Добавлена поддержка аудита базы данных sam.ldb. Для ведения лога операций с БД предложены отладочные классы "dsdb_audit" и "dsdb_json_audit", а также классы "dsdb_transaction_audit" и "dsdb_transaction_json_audit" для ведения лога принятых и отклонённых транзакций;
  • Добавлена поддержка аудита операций изменения пароля в AD DC. Ведение лога смены паролей включается при помощи новых отладочных классов "dsdb_password_audit" и "dsdb_password_json_audit";
  • Добавлена поддержка аудита операций изменения принадлежности пользователей к группе, которая включается через отладочные классы "dsdb_group_audit" и "dsdb_group_json_audit";
  • Обеспечено сохранение в логе (только для формата JSON) продолжительности стадии аутентификации для NTLM и Kerberos KDC;
  • В модуле аудита файловой системы vfs_full_audit с "all" на "none" изменён используемый по умолчанию набор отслеживаемых успешных и не успешных операций (т.е. по умолчанию теперь не выполняются все возможные отслеживания, что помогает защититься от потенциальных DoS-атак при подключении данного модуля к объектам VFS). Кроме того, в модули vfs_audit, vfs_ext_audit и vfs_full_audit добавлена поддержка всех корректных объектов syslog;
  • Добавлена новая команда "net ads setspn" для управления Windows SPN (Service Principal Names) в Active Directory. По функциональности команда близка к утилите 'setspn.exe' и также позволяет добавлять, удалять и просматривать список Windows SPN, хранимый в объекте Computer из Windows AD;
  • Расширена функциональность команды 'net ads keytab'. Изменено поведение подкоманды "net ads keytab add", которая больше не преобразует в Windows SPN переданный класс сервиса (nfs, html и т.п.) и не добавляет его в объект Computer в Windows AD. По умолчанию изменения ограничиваются только файлом keytab. Для воссоздания старого поведения добавлена новая подкоманда 'add_update_ads', а также предложено использовать отдельную команду 'net ads setspn add' для внесения изменений в Windows SPN;
  • Для сборки Samba AD DC по умолчанию требуется наличие библиотеки Jansson. При сборке без AD DC ("--without-ad-dc") от данной зависимости можно отказаться передав в configure параметр "--without-json-audit";
  • Добавлены новые возможности для диагностики проблем при репликации DRS: В команду 'samba-tool drs showrepl' добавлена опция "--summary" для вывода сводки о работоспособности репликации. Реализована новая команда 'samba-tool visualize uptodateness' для визуализации задержек при репликации;
  • В команду 'samba-tool computer' добавлена возможность манипуляции учётными записями в объекте Computer, в том числе создания нового экземпляра объекта и сброса пароля. Данные операции допускают введение сервера или рабочей станции в домен Samba AD в режиме offline;
  • Добавлена новая команда 'samba-tool ou' для управления организационными единицами (OU - Organizational Units). Поддерживаются подкоманды create, delete, move, rename, list и listobjects для создания, удаления, перемещения, переименования OU, а также вывода списка OU и находящихся в них объектов. Кроме того добавлены отдельные команды samba-tool для управления пользователями и группами: "group move" и "user move" для перемещения пользователя в организационную единицу, "user show" для показа привязанных к пользователю объектов AD;
  • Утилита для тестирования производительности 'traffic_reply' адаптирована для применения с Microsoft Windows AD, а не только с Samba AD;
  • При выполнении операции 'samba-tool domain demote' по умолчанию и в режиме '--remove-other-dead-server' теперь осуществляется чистка записей в DNS. Дополнительно для автоматической чистки записей в DNS можно использовать команду 'samba-tool dns cleanup';
  • Значительно увеличена производительность работы команды 'samba-tool ntacl sysvolreset';
  • Обеспечено тестирование Samba с использованием системы непрерывной интеграции на базе GitLab;
  • Добавлена поддержка очистки записей, динамически заведённых в DNS, после определённого времени их неактивности. Режим чистки включается в smb.conf при помощи директивы "dns zone scavenging = yes";
  • Улучшена поддержка доверенных доменов и лесов (Trusted Domain и Trusted Forest). Поддержка внешних доверенных доменов и переходных доверенных лесов для аутентификации Kerberos и NTLM теперь поддерживается в обоих направлениях (inbound и outbound). Добавлена возможность добавления пользователей и групп из доверенных доменов в группы доменов. Обеспечено автоматическое создание объектов foreignSecurityPrincipal (FPO), когда в группу добавляются члены доверенных доменов и лесов. В команде 'samba-tool group *members' теперь допустимо указывать внешние SID-идентификаторы членов групп;
  • Полностью переработана конфигурация CTDB. Опции фонового процесса и утилит теперь задаются в новом файле конфигурации ctdb.conf. Настройки, определяющие параметры запуска, задаются в специфичных для дистрибутивов файла конфигурации (см. man ctdb.sysconfig). Параметры для тюнинга загружаются из файла ctdb.tunables (указание CTDB_SET_TunableVariable=value в основной конфигурации больше не поддерживается). Удалены или изменены многие опции ctdbd, настройки ctdbd.conf и скрипты обработки событий.

    Скрипты обработки событий перемещены в каталог scripts/legacy, а скрипты вывода уведомлений в каталог scripts/notification. Все скрипты должны поставляться с расширением ".script". Скрипты обработки событий больше не настраиваются в общем конфигурационном файле, а указываются индивидуально для каждого скрипта (например, для скрипта 50.samba создаётся файл конфигурации 50.samba.options, а для общих настроек используется файл script.options).

  • Команда 'samba_gpoupdate' переименована в 'samba_gpupdate', а синтаксис её вызова приближен к аналогичной утилите для Windows.

  1. OpenNews: Выпуск Samba 4.8.0
  2. OpenNews: Уязвимость в Samba 4, которая может привести к удалённому выполнению кода
  3. OpenNews: Критическая уязвимость в Samba, позволяющая поменять пароль любого пользователя
  4. OpenNews: Выпуск Samba 4.7.0
  5. OpenNews: Зафиксированы атаки для майнинга криптовалюты на уязвимых серверах Samba и на Raspberry Pi
Обсуждение (44 +11) | Тип: Программы |
13.09.2018 Facebook открыл код распределённой системы хранения LogDevice (56 +11)
  Facebook перевёл в разряд отрытых продуктов LogDevice, распределённую систему хранения последовательно поступающих наборов данных, таких как логи, данные мониторинга, сведения об изменении конфигурации и потоки информации о событиях. Система ориентирована на надёжное и отказоустойчивое хранение логов, обеспечивает сохранение порядка поступления записей и может масштабироваться для обработки миллионов разных логов в одном кластере хранения с интенсивностью поступления данных в несколько гигабайт в секунду. Код написан на языке С++ и опубликован под лицензией BSD.

LogDevice может адаптироваться для различных видов нагрузки. Например, может использоваться для сохранения потоков событий от особо важных подсистем, гарантируя целостность всей поступающей информации и минимальные задержки на обработку данных, или применяться для принятия больших объёмов данных для контроля тренировки систем машинного обучения. Для обеспечения отказоустойчивости все поступающие данные реплицируются на несколько узлов. Автоматически обрабатываются ситуации выхода узлов из строя и деградирования производительности узлов (данные и нагрузка перераспределяются на другие узлы). Движок локального хранения на узлах основан на RocksDB и оптимизирован как для применения жёстких дисков, так и SSD-накопителей.

В хранилище данные поступают в виде непрерывного потока записей. Запись неделима и является минимальным объектом адресации в хранилище. Каждая запись снабжена своим уникальным идентификатором последовательности (LSN - Log Sequence Number). Осуществляющее передачу логов приложение получает информацию о присвоенном LSN после подтверждения успешной записи данных в хранилище. При чтении приложению для обработки могут возвращаться сразу несколько записей, но адресация производится только на основе LSN, т.е. хранилище может вернуть N записей начиная с указанного LSN.

Хранилище работает в режиме пополнения, который допускает только добавление новых данных. Изменение и удаление не поддерживается. Хранилище рассчитано на неограниченное время хранения записей, но предусмотрена и возможность чистки устаревших данных. Для проведения чистки устаревших записей предлагается использовать урезание лога, при котором удаляются все старые данные путём отсечения части лога. Урезание логов может производиться как по команде администратора, так и автоматически через определённые промежутки времени или при потреблении заданного объёма дискового пространства.

Для управления предлагается API и утилита командной строки ldshell, поддерживающая интерфейс LDQuery (команда query) для формирования запросов данных и оценки состояния кластера при помощи конструкций в стиле SQL.

  1. OpenNews: Microsoft Research открыл код быстрого хранилища в формате ключ/значение
  2. OpenNews: Выпуск распределённого отказоустойчивого хранилища LeoFS 1.4.0
  3. OpenNews: Выпуск распределённого хранилища Ceph 10.2.0
  4. OpenNews: Facebook открыл код NoSQL БД RocksDB, оптимизированной для Flash-накопителей
  5. OpenNews: Компания Apple открыла код распределённой СУБД FoundationDB
Обсуждение (56 +11) | Тип: Программы |
12.09.2018 Европарламент утвердил новые правила авторского права, вводящие упреждающую фильтрацию контента (148 –47)
  Депутаты Европарламента проголосовали за противоречивые статьи 11 и 13. Самой критичной из них является 13 статья, в которой говорится, что технологические платформы должны фильтровать всё, что люди публикуют, и на этапе загрузки проверять размещаемые материалы на предмет потенциального нарушения авторских прав.

Противники принятия новых правил предупреждают, что интернет-компании заставят внедрить строгие автоматические алгоритмы, через которые должен пройти контент, прежде чем он будет опубликован на таких платформах, как Twitter и Facebook. Алгоритмы могут отвергнуть все, что подпадает под реализованные в фильтрах шаблоны, что может привести к потенциальному запрету мемов, которые, например, используют кадры из фильмов.

В изначально предложенном варианте, правила распространялись на различные категории контента, от видео, изображений и аудиозаписей, до исходных текстов. Но в итоговых поправках программный код был явно исключён из действия 13 статьи. В частности, финальный вариант статьи охватывает только платформы, где люди загружают музыку или видео, и не распространяется на программное обеспечение (архивы и репозитории, а также платформы разработки открытого ПО).

Статья 11 вводит так называемые "отчисления за ссылки", которые позволяют новостным изданиям потребовать выплаты отчислений за размещение заголовков новостей на сайтах агрегаторов контента, таких как Google и Facebook. Отчисления могут взиматься, если ссылка содержит более одного слова из исходного материала. В поправках из данной статьи выведены ссылки на источник, т.е. издатель не может потребовать получения лицензии на ссылку, если она используется для идентификации или запроса источника контента. Кроме того, издатели должны явно обозначить в публикации необходимость заключения лицензионного соглашения на выставление ссылки, по умолчанию заключение такого соглашения не требуется.

Интерес также вызывает статья 12a, запрещающая публикацию своих фотографий (в том числе селфи) и видео, снятых на спортивных матчах. Только организатор матчей имеет право на публикацию записей, связанных с мероприятием.

После утверждения парламентом законопроект перешёл на стадию закрытого трёхстороннего обсуждения, в котором кроме парламента примут участие Европейская комиссия (отвечает за подготовку законопроектов) и Совет Европейского союза, в который входят министры правительств 28 стран, входящих в Европейский союз. Данные три органа власти попытаются согласовать свои версии текста законопроекта и сформировать окончательный вариант закона, который будет выставлен на итоговое голосование в Европейском парламенте. Ожидается, что финальное решение по законопроекту будет принято в начале 2019 года.

  1. OpenNews: Еврокомиссия хочет обязать GitHub фильтровать код на этапе загрузки
Обсуждение (148 –47) | Автор: Аноним | Тип: Тема для размышления |
12.09.2018 Проект Python для соблюдения политкорректности избавляется от терминов "master" и "slave" (477 –119)
  Гвидо ван Россум (Guido van Rossum) поставил точку в споре, возникшем среди разработчиков языка Python из-за изменений, предложенных Виктором Штиннером (Victor Stinner), работающим в Red Hat и входящим с число ключевых разработчиков Python. Виктор предложил вычистить код Python от упоминания слов "master" и "slave", так как их использование является неполиткорректным и ассоциируется с рабством и неравноправием. Несколько лет назад некоторые открытые проекты уже затронула череда подобных переименований, например, в Drupal термины "master" и "slave" были заменены на "primary" и "replica", а в Django и CouchDB на "leader" и "follower".

Предложение вызвало бурную дискуссию, которая привела к расколу сообщества на сторонников и противников переименования. Противники мотивировали свою позицию тем, что не следует смешивать политику и программирование, "master" и "slave" лишь термины, значение которых уже устоялось в компьютерной технике и не имеет ничего общего с одобрением рабства. Кроме того, замена устоявшихся терминов неизбежно вызовет путаницу среди разработчиков и может привести к нарушению обратной совместимости. Также упоминается, что одно дело когда какие-то выражения являются оскорбительными или непонятными, но в случае с "master" и "slave" имеет место лишь неопределенно сформированные представления о политической корректности, мешающие использованию простого английского языка.

Несмотря на намерение уйти с поста великодушного пожизненного диктатора, в спор пришлось вмешаться Гвидо ван Россуму и принять конечное решение. Из пяти коммитов, предложенных при обсуждении переименования "master" и "slave" на parent/main/server и child/worker, в кодовую базу принято четыре. Изменения отразятся в релизе Python 3.8. Одно изменение отклонено, так как затрагивает устоявшуюся терминологию UNIX ptys, используемую другими проектами.

Среди принятых изменений:

  • "master process" заменён на "parent process";
  • "master option mappings" на "main option mappings";
  • "master pattern object" на "main pattern object";
  • В модуле ssl слово "master" заменено на "server";
  • В pty.spawn() параметр master_read заменён на parent_read;
  • Метод pty.slave_open() переименован в pty.child_open(), но вызов pty.slave_open пока оставлен для обратной совместимости;
  • В os.openpty() и os.forkpty() параметры master_fd/slave_fd переименованы в parent_fd/child_fd;
  • Внутренние переменные master_fd, slave_fd и slave_name переименованы в parent_fd, child_fd и child_name;
  • Опция "--slaveargs" заменена на "--worker-args";
  • Функция run_tests_slave() переименована в run_tests_worker().

Дополнение: Сообщество разработчиков СУБД Redis также обсуждает предложение по избавлению от терминов "master" и "slave". При этом, предлагаются более кардинальные изменения, такие как переименование операции "SLAVEOF" в "REPLICAOF" и настройки "slaveof" в "replicaof" (для сохранения совместимости поддержка "SLAVEOF" будет сохранена в виде опции). Поддержка признака "slave" в командах INFO и ROLE пока будет оставлена, так как связана с большими нарушениями совместимости. Но в будущем планируется предложить альтернативу INFO и заменить в ROLE "slave" на "replica".

Обсуждение поднял Сальвадор Санфилиппо (Salvatore Sanfilippo), создатель СУБД Redis, который не считает, что переименование оправданно, но вынужден реагировать из-за давления со стороны политактивистов, призывающих не использовать Redis из-за применения дискриминационной терминологии.

  1. OpenNews: Гвидо ван Россум решил отстраниться от руководства проектом Python
  2. OpenNews: Увидел свет язык программирования Python 3.7
  3. OpenNews: Проект Python представил новый каталог пакетов PyPI и пакетный менеджер Pip 10
  4. OpenNews: Конфликт между Ричардом Столлманом и командой разработчиков Glibc
  5. OpenNews: Мэтью Гаррет в знак протеста отказался выпускать патчи для продуктов Intel
Обсуждение (477 –119) | Тип: Тема для размышления |
11.09.2018 Значительный выпуск криптографической библиотеки OpenSSL 1.1.1 (64 +28)
  После двух лет разработки состоялся релиз библиотеки OpenSSL 1.1.1 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Новая ветка включает изменения, не нарушающие обратную совместимость на уровне API и ABI, т.е. все приложения, собранные с OpenSSL 1.1.0, продолжат работу без пересборки и в большинстве случаев смогут обеспечить поддержку TLSv1.3 путём замены версии библиотеки. Поддержка выпуска OpenSSL 1.1.1 будет осуществляться в течение как минимум пяти лет.

Основные новшества OpenSSL 1.1.1:

  • Поддержка TLS 1.3 (RFC 8446), который представляет собой улучшенную версию протокола TLS и отличается удалением устаревших и ненадёжных криптографических примитивов (MD5, SHA-224) и возможностей (сжатие, повторное согласование, не-AEAD шифры, статический обмен ключами RSA и DH, указание unix-времени в Hello-сообщениях и т.п.), работает только в режиме forward secrecy (компрометации одного из долговременных ключей не позволяет расшифровать перехваченный сеанс), обеспечивает более высокую производительность, поддерживает режим 0-RTT (устраняет задержки при возобновлении ранее установленных HTTPS-соединений), поддерживает потоковый шифр ChaCha20, алгоритм аутентификации сообщений (MAC) Poly1305, ключи аутентификации на основе цифровых подписей Ed25519, HKDF (HMAC-based Extract-and-Expand Key Derivation Function), ключи на основе алгоритмов x25519 (RFC 7748) и x448 (RFC 8031);
  • Значительная переработка встроенного генератора псевдослучайных чисел. По умолчанию для генерации случайных чисел задействован метод AES-CTR DRBG (Deterministic Random Bit Generator), соответствующий требованиям стандарта NIST SP 800-90Ar1. Поддерживается использование цепочки из нескольких экземпляров DRBG, а также публичные и закрытые экземпляры DRBG и привязка отдельных экземпляров DRBG к каждому потоку. DRBG корректно обрабатывает операции fork() и может размещаться в отдельной защищённой области памяти;
  • Настройки конфигурации перенесены в файл configdata.pm;
  • Обеспечена возможность использования в сборочном скрипте Configure переменных для утилиты make в стиле GNU;
  • Определены пространства имён OSSL и OPENSSL, реализованные в виде префиксов;
  • Добавлена поддержка формирования ключей RSA на основе более чем двух случайных простых чисел (multi-prime, RFC 8017);
  • Реализованы криптографические хэши SM2, SM3 (GB/T 32905-2016) и SM4 (GB/T 32907-2016), стандартизированные для учреждений Китая;
  • Поддержка расширения TLS для согласования максимального размера фрагмента (Maximum Fragment Length);
  • Значительно усилена защита от атак по сторонним каналам;
  • Добавлен модуль STORE (OSSL_STORE), предоставляющий унифицированный API для доступа к ключам, сертификатам, CRL и другим объектам в хранилищах, используя схему на базе URI;
  • Поддержка алгоритма симметричного блочного шифрования ARIA;
  • Поддержка алгоритмов хэширования SHA3, SHA512/224 и SHA512/256;
  • Поддержка алгоритма создания цифровых подписей EdDSA, включая схемы Ed25519 и Ed448;
  • Поддержка хеш-функции SipHash;
  • Переписан движок devcrypto.

  1. OpenNews: OpenSSL переходит на новую лицензию, совместимую с GPL
  2. OpenNews: Значительный выпуск криптографической библиотеки OpenSSL 1.1.0
  3. OpenNews: OpenSSL 1.0.2 решено поддерживать до 2020 года
  4. OpenNews: Критическая уязвимость в OpenSSL
  5. OpenNews: Опубликован RFC для TLS 1.3
Обсуждение (64 +28) | Тип: Программы |
11.09.2018 Выпуск распределенной системы управления исходными текстами Git 2.19 (40 +28)
  Подготовлен выпуск распределенной системы управления исходными текстами Git 2.19.0. Git является одной из самых популярных, надёжных и высокопроизводительных систем управления версиями, предоставляющей гибкие средства нелинейной разработки, базирующиеся на ответвлении и слиянии веток. Для обеспечения целостности истории и устойчивости к изменениям задним числом используются неявное хеширование всей предыдущей истории в каждом коммите, также возможно удостоверение цифровыми подписями разработчиков отдельных тегов и коммитов. По сравнению с прошлым выпуском в новую версию принято 769 изменений, подготовленных при участии 72 разработчиков, из которых 16 впервые приняли участие в разработке.

Основные новшества:

  • Добавлена команда "git range-diff", позволяющая сравнить разные наборы коммитов. В отличие от "git diff" команда "git range-diff" может охватить более одного коммита и показать не только изменения содержимого и прикреплённых примечаний, но и различия в порядке следования коммитов. Например, новая команда может применяться для оценки различий между состоянием сразу нескольких коммитов после корректировки набора исправлений при помощи "git rebase" в процессе подготовки к слиянию с основным проектом.

    На скриншоте ниже показано изменение состояния веток, при котором коммит с добавлением README.md перемещён на первое место, внесено исправление в один из коммитов, исправлено примечание и добавлен дополнительный коммит, вставляющий недостающий символ перевода строки:

  • В команду "git grep" добавлены новые опции "--column" и "--only-matching" ("-o"). При указании "--column" в выводе кроме номера строки также показывается и номер позиции совпадения в строке. Данную информацию можно использовать в новом дополнении git-jump для Vim, применяемого для точного перехода на искомую позицию в файле при разборе конфликтов слияния, просмотре различий и выполнении операции поиска.

    Опция "--only-matching" может применяться для отображения только части строки, подпадающей под заданное регулярное выражение. Например, для подсчёта частоты использования в коде разных вариантов именования хэшей SHA-1 можно использовать команду:

  • В командах работы с ветками, такими как "git branch", "git tag" и "git for-each-ref", предоставляется опция "--sort", позволяющая определить порядок вывода результатов. В новом выпуске дополнительно предложен параметр "branch.sort", позволяющий определить в файле конфигурации метод сортировки по умолчанию. По умолчанию осуществляется сортировка по имени (refname), но для некоторых разработчиков удобнее метод "authordate", при котором выполняется сортировка по времени последнего обновления (вначале выводятся самые свежие ветки). Также доступны методы сортировки "numparent" (по числу привязок) и "upstream" (по серверам, с которых были получены ветки);
  • Обеспечена автоматическая генерация списка автодополнения ввода для большинства команд и опций файла конфигурации;
  • В функциях создания и верификации цифровых подписей для коммитов и тегов появилась поддержка применения утилиты gpgsm, которая используется сертификаты X.509 вместо ключей OpenPGP;
  • Опция "-l" в "git branch", которая является сокращением опции "--create-reflog", объявлена устаревшей и теперь приводит к выводу предупреждения. В будущем планируется сделать "-l" сокращением опции "--list", по аналогии с командой "git tag -l";
  • Добавлена настройка checkout.defaultRemote, позволяющая определить удалённый сервер, используемый по умолчанию для выполнения операции checkout с именем внешней ветки, в случае если данная ветка присутствует одновременно на нескольких серверах;
  • При помощи атрибута working-tree-encoding теперь можно задать желаемую кодировку текста в привязке к отдельным файлам, что позволяет решить проблемы с обработкой UTF-16 как бинарных данных. При установке атрибута данные будут хранится в UTF-8, но при операции checkout отдаваться в желаемой кодировке, т.е. корректно будут работать такие команды, как "git diff";
  • Добавлена экспериментальная возможность частичного клонирования репозиториев, позволяющая организовать работу не имея полной копии всего репозитория и без всей истории изменений. Например, при работе с небольшой частью очень большого репозитория частичное клонирование позволит при операциях clone и fetch ограничиться загрузкой только среза необходимых данных, без блобов и лишних веток. В дальнейшем, при обращении к отсутствующим объектам, данные объекты будут на лету загружаться с сервера по мере необходимости. Большинство внешних серверов пока не поддерживают частичное клонирование, но для локальных экспериментов можно использовать команду "git clone --filter=blob:none";
  • Представлена экспериментальная возможность хранения объектов в форме графа коммитов, при котором для индексации используется не линейный список хэшей объектов со ссылками на другие объекты, а структура в виде графа. Если сейчас для определения релизов в которых содержится определённое исправление требуется загрузка каждого объекта с диска для поиска ссылок, то при хранении в виде графа можно сразу определить все необходимые связи. Для включения нового метода хранения можно использовать команду "git config core.commitGraph true". Тестирование нового метода хранения с репозиториями ядра Linux, Git и Windows показало почти двухкратное увеличение производительности операций с ветками:
    
       Команда 	                До 	После 	Изменение
    
    Linux:
       git merge-base master topic 	0.52 	0.06 	-88%
       git branch --contains 	76.20 	0.04 	-99%
       git tag --contains 	        5.30 	0.03 	-99%
       git tag --merged 	        6.30 	1.50 	-76%
       git log --graph -10  	5.90 	0.74 	-87%
    
    Git:
       git merge-base master topic 	0.10 	0.04 	-60%
       git branch --contains 	0.76 	0.03 	-96%
       git tag --contains 	        0.70 	0.03 	-96%
       git tag --merged        	0.74 	0.12 	-84%
       git log --graph -10 	        0.44 	0.05 	-89%
    
    Windows:
       git status --ahead-behind 	14.30 	4.70 	-67%
       git merge-base A B 	        11.40 	1.80 	-84%
       git branch --contains 	9.40 	1.60 	-83%
       git log --graph -10          24.30 	5.30 	-78%
    
  • Кроме того, продолжается развитие ранее начатых экспериментальных проектов: уход от применения скомпрометированного алгоритма SHA-1 для хэширования объектов (ожидается опциональная поддержка SHA3-256, которая сможет применяться параллельно с SHA-1) и переход на вторую версию коммуникационного протокола Git (примечателен возможностью фильтрации веток и тегов на стороне сервера и средствами для расширения протокола).

  1. OpenNews: Выпуск распределенной системы управления исходными текстами Git 2.18
  2. OpenNews: Около 390 тысяч сайтов оставили открытыми каталоги .git с кодом
  3. OpenNews: Обновление Git с устранением уязвимостей
  4. OpenNews: Представлена вторая версия протокола Git
  5. OpenNews: GitHub выпустил Git LFS 2.4.0
Обсуждение (40 +28) | Тип: Программы |
11.09.2018 Выпуск новой стабильной ветки Tor 0.3.4 (16 +16)
  Доступен выпуск инструментария Tor 0.3.4.8, используемого для организации работы анонимной сети Tor. Tor 0.3.4.8 признан первым стабильным выпуском ветки 0.3.4, которая развивалась последние четыре месяца. Одновременно также выпущены корректирующие обновления прошлых веток Tor 0.2.9.17, 0.3.2.12 и 0.3.3.10, в которые включены накопившиеся исправления ошибок. Новая ветка 0.3.4 примечательна улучшением кода для противодействия DoS-атакам, оптимизацией для применения на встраиваемых и маломощных системах, продолжением перевода кода на модульную основу, расширением применения тестовых наборов и системы непрерывной интеграции Travis CI.

Основные новшества:

  • Код обеспечения работы корневых директорий Tor (directory authority) переведён на модульную основу, выделен в отдельный каталог src/or/dirauth/ и теперь доступен в виде модуля dirauth. Модуль dirauth собирается по умолчанию, а для отключения сборки следует использовать опцию "configure --disable-module-dirauth";
  • Внесено несколько оптимизаций, направленных на снижение нагрузки на CPU, уменьшение энергопотребления и улучшение работы на мобильных системах. Tor теперь не используется запуск периодических событий в состоянии неактивности (DisableNetwork) или временной приостановки работы (hibernation), что упрощает отключение Tor из мобильного приложения, когда устройство находится в спящем режиме или Tor не запущен, и снижает энергопотребление благодаря сокращению числа операций, приводящих к пробуждению процессора.

    Многие операции, ранее выполнявшиеся периодическими обработчиками, вызываемыми раз в секунду, перемещены в callback-вызовы, запускаемые по расписанию. В том числе периодические обработчики теперь не применяются для закрытия соединений, цепочек и каналов, голосования для достижения консенсуса, сброса логов, обработки отложенных запросов, проверки кэша консенсуса, сохранения состояния на диск, отслеживания uptime и проверки доступности портов.

    Проведён рефакторинг кода для вычисления ограничений пропускной способности. Все вычисления пропускной способности теперь производятся по мере необходимости, а не каждые TokenBucketRefillInterval миллисекунд;

  • Расширена проверка кода в системе непрерывной интеграции Travis, для ускорения сборки в которой теперь используются ccache и cargo cache. Добавлена поддержка кросс-компиляции для компонентов на языке Rust. Задействованы дополнительные unit-тесты;
  • Повышены системные требования - для работы теперь необходима поддержка mmap() или эквивалентного вызова. Отмечается, что сборка Tor на старых системах без mmap() с определённых пор приводит к сбою, но эта ошибка никого не беспокоила, поэтому изменение требований должно пройти безболезненно.

  1. OpenNews: Проект Tor начал тестирование браузера для платформы Android
  2. OpenNews: Выпуск web-браузера Tor Browser 8.0
  3. OpenNews: Проект по интеграции поддержки Tor в Firefox
  4. OpenNews: Выпуск новой стабильной ветки Tor 0.3.3
  5. OpenNews: Стабильный выпуск новой ветки Tor 0.3.2
Обсуждение (16 +16) | Тип: Программы |
10.09.2018 Уязвимость в NoScript 5.x, позволяющая обойти отключение JavaScript в Tor Browser 7.x (46 +17)
  Компания Zerodium, скупающая сведения о ранее неизвестных уязвимостях в Tor Browser, раскрыла информацию об уязвимости в Tor Browser 7.x, позволяющей обойти запрет выполнения JavaScript-кода при выборе режима 'Safest'. Проблема присутствует в классической ветке дополнения NoScript 5.x, которое входит в состав Tor Browser. Уязвимость не проявляется в ветках Tor Browser 8.x и NoScript 10.x, переведённых на технологию WebExtension.

Как оказалось, NoScript 5.x не блокирует выполнения JavaScript кода в случае загрузки скриптов с некорректным Content-Type, который, тем не менее, воспринимается браузером. В частности, при отдаче страницы с "Content-Type: text/html;/json" код JavaScript будет выполнен даже при включении режима полной блокировки скриптов в NoScript. Уязвимость вызвана исправлением, добавленным весной прошлого года в составе выпуска 5.0.4 для решения проблемы с невозможностью просмотра файлов в формате JSON при отключённом JavaScript.

Разработчики NoScript оперативно выпустили обновление 5.1.8.7 в котором устранили выявленную уязвимость. Так как компания Mozilla прекратила приём обновлений для старых дополнений в каталог AMO и, соответственно, не позволяет сформировать цифровую подпись, для ручной установки обновления XUL-дополнения в старых версиях Firefox в about:config следует деактивировать параметр xpinstall.signatures.required. Проект Tor пока не сформировал обновление ветки Tor Browser 7.x, поддержка которой формально уже прекращена.

  1. OpenNews: Zerodium готов выплатить миллион долларов за 0-day уязвимости в Tor Browser
  2. OpenNews: Обновление Tor Browser 6.0.7 и Firefox 50.0.2 с устранением 0-day уязвимости
  3. OpenNews: В Tor Browser устранена уязвимость, допускавшая прямое соединение в обход Tor
  4. OpenNews: В Tor Browser 7.0.9 устранена уязвимость, раскрывающая реальный IP-адрес
  5. OpenNews: Новые версии Tor с устранением уязвимостей
Обсуждение (46 +17) | Тип: Проблемы безопасности |
10.09.2018 Выпуск облачного хранилища Nextcloud 14 (102 +28)
  После семи месяцев разработки представлен выпуск облачной платформы Nextcloud 14, развивающейся как форк проекта ownCloud, созданный основными разработчиками данной системы. Nextcloud и ownCloud позволяют на своих серверных системах развернуть полноценное облачное хранилище с поддержкой синхронизации и обмена данными. Ключевым отличием Nextcloud от ownCloud является намерение предоставить в едином открытом продукте все расширенные возможности, ранее поставляемые только в коммерческой версии ownCloud. Исходные тексты Nextcloud, как и ownCloud, распространяются под лицензией AGPL.

Nextcloud предоставляет средства для обеспечения совместного доступа, версионный контроль изменений, поддержку воспроизведения медиаконтента и просмотра документов прямо из web-интерфейса, возможность синхронизации данных между разными машинами, возможность просмотра и редактирования данных с любого устройства в любой точке сети. Доступ к данным может быть организован как при помощи web-интерфейса, так и с использованием протокола WebDAV и его расширений CardDAV и CalDAV. В отличие от сервисов Google Drive, Dropbox, Яндекс.Диск и box.net, проекты ownCloud и Nextcloud дают пользователю полный контроль над своими данными - информация не привязывается ко внешним закрытым облачным системам хранения, а размещается на подконтрольном пользователю оборудовании. Сервер Nextcloud можно развернуть на любом хостинге, поддерживающем выполнение PHP-скриптов и предоставляющем доступ к SQLite, MariaDB/MySQL или PostgreSQL.

В новом выпуске:

  • Добавлена возможность видеоверификации доступа к контенту, при которой пользователь может предоставить в совместный доступ ресурс, загрузить который можно только после предварительного подтверждения личности при помощи видеовызова. При использовании новой схемы верификации получателю передаётся ссылка на совместный ресурс, при попытке открытии которого вместо вывода формы ввода пароля устанавливается сеанс видеосвязи с отправителем и доступ открывается (передаётся пароль) только если отправитель удостоверился, что на другом конце именно тот, кому адресовалась передача. Например, таким способом врач может передать пациенту результаты обследования с гарантией, что их увидит именно пациент, а не один из родственников, имеющих доступ к компьютеру;

  • Добавлен режим прохождения двухфакторной аутентификации при помощи мессенджеров Signal или Telegram. Возможность реализована в виде нового провайдера аутентификации "gateway", который отправляет код подтверждения не по SMS, а в виде сообщения через Signal или Telegram. Кроме того, в новой версии обеспечена возможность прохождения двухфакторной аутентификации через NFC при помощи брелока Yubikey NEO;
  • Улучшена поддержка аутентификации при помощи SAML и Kerberos, в том числе теперь можно проводить аутентификацию на серверах Samba при помощи Kerberos. В Nextcloud SAML добавлена возможность работы сразу с несколькими провайдерами идентификации, что позволяет сочетать локальную базу пользователей с системами централизованной аутенитификации, поддерживающими SAML;
  • Проведена работа по выполнению требований Общего регламента по защите данных (GPDR), принятого в Евросоюзе для усиления защиты персональных данных. В новой версии добавлен модуль Data Protection Confirmation и отдельный файл с логом аудита, дополнившие ранее предлагаемый модуль Nextcloud Compliance Kit;
  • Добавлена поддержка алгоритма хэширования паролей ARGON2I, несколько лет назад победившего на конкурсе Password Hashing Competition;
  • Добавлена функция совместного доступа к заметкам;
  • Реализована поддержка поиска в содержимом комментариев;
  • Добавлена возможность восстановления удалённых групп ресурсов, к которым был предоставлен совместный доступ;
  • Продолжена работа по усовершенствованию средств для построения объединённых систем (Federation);
  • Внесены многочисленные мелкие улучшения в интерфейс пользователя, заметно улучшена реализация боковой панели.

  1. OpenNews: Выпуск облачного хранилища Nextcloud 13
  2. OpenNews: Релиз облачного хранилища Nextcloud 12, форка ownCloud
  3. OpenNews: Выпуск облачного хранилища Nextcloud 11, форка ownCloud
  4. OpenNews: Выпуск ownCloud 9.0, платформы для создания облачных хранилищ в стиле Dropbox
  5. OpenNews: Основатель и ключевые разработчики ownCloud создали форк проекта
Обсуждение (102 +28) | Тип: Программы |
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor