LINUX.ORG.RU

Сообщения MozillaFirefox

 

Firefox 67

Новости — Mozilla
Группа Mozilla

 , ,

MozillaFirefox ()

Технические подробности недавнего отключения дополнений в Firefox

Новости — Mozilla
Группа Mozilla

Прим. переводчика: для удобства читателей даты приведены по московскому времени

Недавно мы пропустили момент истечения срока действия одного из сертификатов, используемых для подписи дополнений. Это привело к отключению дополнений у пользователей. Теперь, когда по большей части проблема исправлена, я хотел бы рассказать о подробностях произошедшего и о проделанной работе.

( читать дальше... )

>>> Подробности

 , ,

MozillaFirefox ()

Firefox 66

Новости — Mozilla
Группа Mozilla

 ,

MozillaFirefox ()

Firefox 65

Новости — Mozilla
Группа Mozilla

 , , , ,

MozillaFirefox ()

Firefox 64

Новости — Mozilla
Группа Mozilla

 , ,

MozillaFirefox ()

Опубликованы видеозаписи докладов с Open Source Summit Europe 2018

Новости — Linux General
Группа Linux General

Open Source Summit 2018 проходил с 22 по 24 октября в Эдинбурге.

Консорциум The Linux Foundation опубликовал видеозаписи и слайды (на английском языке), некоторые из которых представляют особый интерес:

  • Джонатан Корбет (создатель LWN.net) рассказывает о тенденциях развития ядра.
  • Ральф Рамзауэр и Вольфганг Мауэрер (OTH Regensburg) вместе с Яном Кизской (Siemens) изучают влияние заплаток против Meltdown и Spectre на работу ядра в реальном времени.
  • Кристоф Ламетер (Jump Trading LLC) рассказывает о работе подсистемы управления памятью в ядре, ментейнером которой он является.
  • Александр Попов (Positive Technologies) докладывает о том, как обстоят дела безопасностью в ядре, и о внедрении PAX_MEMORY_STACKLEAK.
  • Даррен Харт (VMware) объясняет в чём заключается сложность работы с Kconfig и как с этим бороться.
  • Уилл Дикон (ARM) докладывает о примитивах ядра, устанавливающих порядок I/O и DMA-операций.
  • Лукас Булвахн (BMW) делится подробностями применения ядра Linux в системах, требовательных к надежности.
  • Стефан Хайноцзи (Red Hat) рассказывает о безопасности виртуализации средствами QEMU/KVM.
  • Кейс Кук (Google) отчитывается о статусе Kernel Self-Protection Project (KSPP) — проекта по устранению в ядре целых классов уязвимостей и методов их эксплуатации.

Все доклады (113 штук) можно посмотреть на YouTube.

По неизвестным причинам некоторые видеозаписи были удалены. В частности, мы не увидим доклады Грега Кроа-Хартмана об эпопее с обнаружением и исправлением Meltdown/Spectre (и о реакции Intel), а также Мэтью Гаррета о патчах Kernel Lockdown (защита ядра от действий суперпользователя-злоумышленника) и о том, по каким политическим мотивам эти патчи не принимают в ядро, хотя они уже используются в основных дистрибутивах Linux.

>>> Подробности

 ,

MozillaFirefox ()

Firefox 63

Новости — Mozilla
Группа Mozilla

 ,

MozillaFirefox ()

Попытка изменения лицензии проекта Lerna

Форум — Talks

Две недели назад пользователь James Kyle (известный, в том числе, тем, что искореняет термины типа «master/slave» из программного обеспечения) предложил дополнить лицензию MIT проекта Lerna запретом использовать программный продукт ряду компаний. В их число вошли Microsoft, Amazon, Motorola, Dell, Xerox, Canon, LinkedIn и другие. Эти компании оказывают услуги иммиграционной и таможенной полиции США, которая обвиняется правозащитниками в разлучении детей нелегальных иммигрантов с родителями, против чего и протестует jamiebuilds.

Пулл-реквест приняли, после чего на проект обрушились с критикой видные члены СПО-сообщества. Эрик Рэймонд (сооснователь OSI и автор знаменитого эссэ «Собор и базар») указал на то, что расширив лицензию дополнительным требованием, Lerna перестала быть открытым программным обеспечением, ведь пятый пункт определения Open Source запрещает дискриминацию какой-либо группы людей. Вдобавок, такие действия привносят политику в разработку ПО, а это именно то, от чего стоит держаться подальше, иначе сообщество рискует расколоться из-за политических предпочтений отдельных его членов (примечание автора новости: с другой стороны, отделение политики от кода порой приводит к плачевным последствиям).

Кроме того, Фонд СПО неоднократно указывал на то, что ограничения на применение переводят лицензию в статус несвободной. В своё время это послужило причной удаления расширения JSON из PHP 5.5

Некоторые разработчики даже выразили желание изъять код, написанный ими для Lerna.

Менее чем через сутки проблемный пулл-реквест отменили и исключили James Kyle из проекта Lerna.

Перемещено Shaman007 из opensource

 , , ,

MozillaFirefox ()

Firefox 62

Новости — Mozilla
Группа Mozilla

 ,

MozillaFirefox ()

Популярное браузерное дополнение Stylish уличено в передаче истории посещений пользователя

Новости — Mozilla
Группа Mozilla

Полтора года назад коммерческая компания SimilarWeb купила дополнение Stylish, портал userstyles.org и приступила к сбору обезличенной статистики, передаваемой дополнением.

Выяснилось, что, вопреки этим заявлениям, дополнение передаёт историю просмотра браузера и даже ссылки, содержащиеся на страницах, посещённых пользователем.

( читать дальше... )

>>> Подробности

 , , ,

MozillaFirefox ()

Firefox 61

Новости — Mozilla
Группа Mozilla

Доступен выпуск Firefox 61. Тем временем, доля Firefox среди браузеров упала ниже 10%.

  • Распараллелен парсинг стилей (до этого параллельным было лишь вычисление стилей). Кроме того, Firefox теперь не перестраивает заново весь список отображаемых элементов, если изменилась лишь небольшая часть страницы. Это позволяет снизить потери кадров на величину до 40%.
  • Ускорен переход между вкладками. Уже при наведении курсора на вкладку, браузер отрисовывает её в буфер.
  • В меню действий (многоточие в адресной строке) появилась возможность добавить текущий сайт в качестве поисковой системы (при условии, что сайт поддерживает стандарт OpenSearch).
  • HTML-страницам запрещено подгружать дочерние ресурсы по протоколу FTP. Это не затрагивает поддержку FTP в целом, однако, разработчики не исключают полного прекращения поддержки FTP когда-нибудь в будущем.
  • При включении тёмной темы браузера тёмными теперь становятся также домашняя страница, главное меню, меню закладок и меню журнала.
  • Дополнения WebExtensions получили возможность скрывать вкладки.
  • Улучшена синхронизация закладок.
  • В настройках появился новый раздел «Начало», где можно настроить внешний вид домашней страницы.
  • Появилась возможность использовать отдельный контейнер при создании превьюшек.
  • Шрифт EmojiOne, начиная с версии 3.0, не разрешает использование в коммерческих целях, поэтому он заменён на Twemoji.
  • Некоторые пользователи (преимущественно с английской локалью) получат экспериментальное дополнение Firefox Monitor. Оно позволяет проверить почтовый адрес пользователя по базе скомпрометированных адресов и получать уведомления, если адрес окажется скомпрометирован в будущем. Используется k-анонимизация — математически обоснованный способ анонимизации — при котором вместо адреса на сервер отправляются 6 первых символов хэша SHA-1. В ответ сервер отправляет полные хэши, начало которых совпадает с присланным значением. Firefox локально сверяет присланные хэши с ранее вычисленным полным хэшем и уведомляет пользователя в случае совпадения. Таким образом, серверу не раскрывается адрес эл. почты пользователя.
  • Окончательно удалена поддержка файлов JAR. Единственным известным приложением, которому это требовалось, было IBM iNotes, но и его переписали два года назад.
  • В macOS дополнения теперь выполняются в отдельном процессе.
  • Пользователи macOS теперь могут поделиться адресом текущей вкладки с помощью значка «многоточие» в адресной строке.

( читать дальше... )

>>> Подробности

 ,

MozillaFirefox ()

Firefox 60

Новости — Mozilla
Группа Mozilla

Доступен выпуск Firefox 60, который также является основой для нового выпуска с долгосрочной поддержкой (ESR). Поддержка предыдущей ветки ESR (52) закончится в сентябре этого года.

( читать дальше... )

>>> Подробности

 ,

MozillaFirefox ()

Обнаружены уязвимости в процессорах AMD

Новости — Безопасность
Группа Безопасность

Представитель AMD подтвердил, что уязвимости, о которых ранее в этом месяце сообщили исследователи стартапа CTS-Labs, действительно присутствуют в процессорах компании.

( читать дальше... )

>>> Подробности

 ,

MozillaFirefox ()

Firefox 59

Новости — Mozilla
Группа Mozilla

 ,

MozillaFirefox ()

Firefox 58

Новости — Mozilla
Группа Mozilla

 ,

MozillaFirefox ()

Уязвимость в прошивке процессоров AMD

Новости — Безопасность
Группа Безопасность

Вслед за обнаруженной уязвимостью в подсистеме Intel ME (позволяющей осуществить незаметное исполнение кода), обнародованы сведения об аналогичной уязвимости в прошивке процессоров AMD.

Процессоры AMD (APU, выпущенные после 2013 года, а также семейство Ryzen) содержат встроенное ARM-ядро, предоставляющее подсистему HVB, внутреннее хранилище для S3 BootScript, эмулятор TPM для реализации Measured Boot, генератор случайных чисел и ускоритель криптографических операций. Код, который исполняется на PSP, имеет полный доступ к вводу-выводу и системной памяти.

Прошивка PSP поставляется в бинарном виде без исходных кодов. Статический анализ позволил специалистам корпорации Google обнаружить переполнение стека, который может быть использован атакующим для компрометации системы. Действия злоумышленника невозможно отследить из пользовательского окружения.

Проблема отчасти смягчается тем, что для совершения временной атаки и кражи ключей шифрования злоумышленнику потребуется предварительное получение прав суперпользователя, а для создания постоянного руткита - физический доступ к ПК (необходима манипуляция перемычками на мат. плате).

AMD уже выпустила исправленную версию прошивки, пользователям рекомендуется следить за сайтом производителя мат. платы в ожидании выхода обновлений BIOS.

>>> Подробности

 , ,

MozillaFirefox ()

Firefox 57

Новости — Mozilla
Группа Mozilla

Доступен выпуск Firefox 57.

Разработчики с гордостью называют этот релиз Firefox Quantum. Благодаря новому многопоточному CSS-движку (Stylo), написанному на языке Rust, и полному переходу на мультипроцессный режим работы (отказу от старого API дополнений и прослоек совместимости) удалось удвоить показатели в тесте Speedometer 2.0 (по сравнению с Firefox 52 ESR) и обогнать Chrome. Кроме того, браузер заметно выигрывает у Chrome по потреблению памяти.

В будущем ожидается переход к многопоточной обработке DOM и JavaScript, а также включение новой системы рендеринга.

( читать дальше... )

>>> Подробности

 , , ,

MozillaFirefox ()

Mozilla просит присылать образцы шума для обучения нейросети

Новости — Mozilla
Группа Mozilla

Mozilla совместно с Xiph.org ведёт разработку нейросети RNNoise. Цель — создание алгоритма, который превзойдёт по качеству шумоподавления конкурирующие решения, обладая способностью в реальном времени работать даже на устройствах наподобие Raspberry Pi.

Такой алгоритм будет полезен, например, при организации видеоконференций и других подобных сценариях, когда важна работа в реальном времени.

Протестировать работу алгоритма можно на специально созданной странице.

Для обучения нейросети требуется много образцов шума. Подходит шум, который записан в любом месте, где возможна голосовая связь. Требуется лишь нажать кнопку записи и помолчать минуту, а также указать, в каком окружении (авто, кафе, улица, поезд, офис) был записан образец.

>>> Подробности

 , ,

MozillaFirefox ()

В подсистеме Intel ME обнаружена возможность выполнения произвольного кода

Новости — Безопасность
Группа Безопасность

Intel ME — проприетарная технология, опирающаяся на встроенный в чипсет микроконтроллер, который уже более 10 лет присутствует во всех чипсетах Intel (десктопы, ноутбуки, серверы, планшетные ПК).

Для работы Intel Management Engine достаточно лишь дежурного напряжения (когда система выключена, но подаётся электропитание), а сам он имеет доступ к содержимому оперативной памяти ПК, внеполосный доступ к сетевому интерфейсу (предположительно, это касается лишь интегрированных в мат. плату сетевых чипов от самой Intel), а также может незаметно для пользователя исполнять код, подписанный корпорацией Intel.

Начиная с чипсетов 100-й серии, ME аппаратно представляет из себя 3-ядерный процессор с архитектурой x86, работающий под управлением ОС MINIX. До этого использовались микропроцессоры ARCtangent-A4 и ARCtangent-A5 c ОС ThreadX.

Исследователи из компании Positive Technologies обнаружили уязвимость в ME 11.x (Skylake и более новые поколения), позволяющую обойти требование наличия цифровой подписи у выполняемого кода. Ранее эти же исследователи обнаружили недокументированный бит, позволяющий отключить работу Management Engine.

Подробности будут раскрыты в декабре этого года на конференции Black Hat Europe.

>>> Подробности

 ,

MozillaFirefox ()

Firefox 56

Новости — Mozilla
Группа Mozilla

 ,

MozillaFirefox ()

RSS подписка на новые темы