понедельник, 11 сентября 2017
17:40

Выпуск браузерного движка WebKitGTK+ 2.18

И это всё МОЁ
Представлен выпуск новой стабильной ветки WebKitGTK+ 2.16.0, порта браузерного движка WebKit для платформы GTK+. WebKitGTK+ позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK+, можно отметить Midori и штатный браузер GNOME (Epiphany).



URL
17:18

Запись за 11.09.2017 17:18:46 +0300

И это всё МОЁ
Майнеры и антивирус.

С темой майнеров лично я столкнулся после заявления Германа Клименко о том, что огромное количество серверов Москвы поражены майнерами. До этого майнеры были лично для меня лишь одним из видов вредоносных программ. Времени с тех пор прошлом не так уж и много, но количество желающих заработать на чужих компьютерах растет и думаю настала пора поговорить об этом явлении.

Кому интересно сколько майнеров создается в день, как они распространяются и (самое главное) как относятся к ним антивирусы - читать дальше:
Майнеры и антивирус



URL
17:01

Запись за 11.09.2017 17:01:50 +0300

И это всё МОЁ
В 2018г GNOME переходит на GTK4, который будет поддерживать работу на Vulkan, кроме используемого сейчас OpenGL.

Поддержка Vulkan в GTK4 продолжает созревать, разработка идёт, но, как и сам GTK4, всё это ещё не готово к массовому применению конечными пользователями.
Сегодня в основную кодовую базу разрабатываемого GTK4 Vulkan добавлен код кэша примитивных глифов. В настоящее время этот кэш глифов является лишь доказательством жизнеспособности концепции, но в будущем мы увидим, как он будет развиваться.
В последнее время также были проведены работы над текстовыми узлами, исправлениями ошибок Vulkan и улучшением обработки ресурсов, кроме других изменений.

Будет интересно посмотреть, как этот Vulkan back-end и GTK4 будут развиваться по мере продвижения в 2018 году.
GTK4's Vulkan Support Continues Maturing - Phoronix



URL
11:19

Apache CloudStack 4.10 — новая версия свободной облачной платформы

И это всё МОЁ
1 сентября был представлен новый релиз свободной облачной платформы, разрабатываемой организацией Apache Software Foundation (ASF), — Apache CloudStack 4.10.
Платформа Apache CloudStack написана на языке Java, была изначально разработана компанией Cloud.com и выпущена как Open Source-продукт (с исключением для 5 % кода) в мае 2010 года. В 2011 году её поглотила Citrix и открыла оставшийся код, а в 2012 году передала на…



@темы: Компьютеры

URL
10:46

10 лет с Колибри: как это было

И это всё МОЁ

Обзор от дизайнера и прикладного разработчика KolibriOS в честь 10-летия его участия в проекте.








 , , , ,








URL
00:09

Запись за 11.09.2017 00:09:35 +0300

И это всё МОЁ
Разработчики анонимного LiveCD Tails уже давно пытаются сделать доказуемым утверждение, что официальные бинарные ISO-образы действительно являются продуктом сборки исходных текстов соответствующей версии Tails, а не отличающейся версии (например, с закладками). И, кажется, у них получилось.

Идея доказательства — воспроизводимость сборки. Т.е. повторный запуск процедуры сборки (в т.ч. другим человеком на другом компьютере) должен дать на выходе побайтно совпадающий результат. Априори это не так — например, сборочная система может записывать дату сборки, или явно вызывать random() по самым разным причинам, или просто обрабатывать в каком попало (т.е. невоспроизводимом) порядке файлы из одного каталога, или вытворять другие действия с непредсказуемым, но неважным для функционирования конечного продукта, результатом. Все такие неопределенности, кажется, устранены.

Кажется — поскольку пока все проверки заведомо проходят только на компьютерах разработчиков. Внешнего подтверждения нет, просто поскольку никто «посторонний» на момент публикации первоисточника не пытался собрать Tails у себя и сравнить полученный образ с официальным. Собственно, сейчас разработчики просят сообщество провести самостоятельную тестовую сборку и сравнение, а также сообщить им о результатах.

»> Подробности
people.debian.org/~intrigeri/blog/posts/Can_you...

Источник:
www.linux.org.ru/news/debian/13672244



URL
воскресенье, 10 сентября 2017
23:26

Запись за 10.09.2017 23:26:27 +0300

И это всё МОЁ
Binary Analysis Platform (BAP) — это платформа для обратной разработки и анализа программ, для которых недоступны их исходные коды. Поддерживается более 30 архитектур, в первую очередь x86, x86-64 и ARM. BAP работает путём дизассемблирования и перевода инструкций в RISC-подобный язык — BAP Instruction Language (BIL). Такой подход позволяет платформе анализировать код одинаково хорошо, независимо от архитектуры. Вместе с платформой поставляется набор инструментов, библиотек и плагинов. Основная цель платформы — предоставить инструментарий для автоматического анализа программ.

BAP написана на Ocaml, и это предпочтительный язык для написания средств анализа, но также имеются биндинги к C, Python и Rust.

Релиз 1.3 является самым большим публичным релизом платформы, который содержит много нового:

новый загрузчик, который работает со всеми видами бинарных файлов, в том числе модулями ядер Linux и Darwin, разделяемыми библиотеками и другими представлениями программ;
сокращено потребление памяти;
Primus — фреймворк эмуляции ЦП;
лучшее представление программ благодаря удалению «мёртвого кода»;
поддержка LLVM 4.0.

»> Исходный код на Github
github.com/BinaryAnalysisPlatform/bap

»> Подробности
discuss.ocaml.org/t/ann-bap-v1-3-release/829

Источник:
www.linux.org.ru/news/development/13670908



URL
22:57

Публичное тестирование: воспроизводима ли сборка Tails?

И это всё МОЁ

Разработчики анонимного LiveCD Tails уже давно пытаются сделать доказуемым утверждение, что официальные бинарные ISO-образы действительно являются продуктом сборки исходных текстов соответствующей версии Tails, а не отличающейся версии (например, с закладками). И, кажется, у них получилось.

Идея доказательства — воспроизводимость сборки. Т.е. повторный запуск процедуры сборки (в т.ч. другим человеком на другом компьютере) должен дать на выходе побайтно совпадающий результат. Априори это не так — например, сборочная система может записывать дату сборки, или явно вызывать random() по самым разным причинам, или просто обрабатывать в каком попало (т.е. невоспроизводимом) порядке файлы из одного каталога, или вытворять другие действия с непредсказуемым, но неважным для функционирования конечного продукта, результатом. Все такие неопределенности, кажется, устранены.

Кажется — поскольку пока все проверки заведомо проходят только на компьютерах разработчиков. Внешнего подтверждения нет, просто поскольку никто «посторонний» на момент публикации первоисточника не пытался собрать Tails у себя и сравнить полученный образ с официальным. Собственно, сейчас разработчики просят сообщество провести самостоятельную тестовую сборку и сравнение, а также сообщить им о результатах.








 , ,








URL
22:48

Запись за 10.09.2017 22:48:51 +0300

И это всё МОЁ
Бюро кредитных историй Equifax обнародовало информацию о взломе, в результате которого в руки атакующих попали персональные данные 143 млн жителей США (44% населения США). Информация включает в себя имена, номера социального страхования, даты рождения, адреса и номера водительский удостоверений. Примерно для 209 тысяч человек дополнительно были получены номера кредитных карт, а для 182 тысяч - документы, связанные с урегулированием кредитных споров. Данные о кредитной истории, финансовых операциях и платежах не пострадали, так как хранились в не затронутой в результате атаки БД.

В отчёте компании William Baird & Co. утверждается, что взлом был совершён через уязвимость в web-фреймворке Apache Struts, который применяется на портале оказания online-услуг потребителям. Утечка была обнаружена 29 июля, но непосредственно взлом мог произойти в середине мая и около 2.5 месяцев злоумышленники имели неавторизированный доступ к системе. Не уточняется была эксплуатирована раскрытая несколько дней назад критическая уязвимость (CVE-2017-9805) или уязвимость, выявленная в марте (CVE-2017-5638). Обе проблемы позволяют выполнить свой код на сервере, при этом если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root, в результате удалённой атаки может быть получен доступ с правами root.

Фонд Apache опубликовал заявление, в котором пояснил свою позицию по поводу взлома. Так как атака произошла с мая по июль, для проникновения наиболее вероятно использовалась мартовская уязвимость, в этом случае серверы Equifax несколько месяцев заведомо продолжали использовать уязвимую версию Apache Struts, несмотря на начавшуюся волну атак и предупреждения о необходимости оперативного обновления. Если атака была совершена в при помощи сентябрьской уязвимости, то об этой уязвимости в мае-июле ещё не было известно и атакующие должны были сами её обнаружить или воспользоваться неизвестным 0-day эксплоитом. Манипуляции информацией о том, что сентябрьская уязвимость вызвана ошибкой, которая находится в коде уже 9 лет, неуместны, так как есть большая разница между выявлением ранее неизвестной ошибки и знанием о наличии неисправленной ошибки.

В качестве рекомендаций по обеспечению безопасности своей инфраструктуры Фонд Apache указал на необходимость соблюдения следующих правил:

Отслеживание сведений об уязвимостях и новых версиях применяемых фреймворков и библиотек.
Налаживание процесса оперативной установки обновлений с устранением уязвимостей - уязвимости должны устраняться за часы или считанные дни, но не спустя недели и месяцы.
Готовность к тому, что любые сложные программные системы потенциально могут содержать уязвимости. Инфраструктура изначально не должна полагаться не то, что применяемое ПО безопасно.
Применение нескольких уровней защиты для публично доступных сервисов и отделение таких сервисов от внутренних систем и БД транзитными прослойками. Уязвимости во внешнем интерфейсе не должны приводить к компрометации бэкенда.
Внедрение систем мониторинга и выявления аномалий для определения необычной активности при доступе к web-ресурсам.

Также можно отметить, что для проверки утечки данных пользователей в результате инцидента от имени Equifax был создан сайт equifaxsecurity2017.com, который предлагал ввести фамилию и 6 из 9 знаков номера социального страхования для определения степени утечки сведений о конкретном человеке. Сайт вызвал подозрения в проведении фишинга и даже был заблокирован службой OpenDNS. Субъективно о фишинге свидетельствовало использование типового движка WordPress, запрос персональных данных, регистрация доменного имени на стороннее лицо и использование TLS-сертификата бесплатного HTTPS-сервиса Cloudflare.

Источник:
www.opennet.ru/opennews/art.shtml?num=47170




URL
21:57

Запись за 10.09.2017 21:57:52 +0300

И это всё МОЁ
Первому баг-репорту в истории сегодня исполнилось 70 лет.

Он хранится в журнале испытаний компьютера Mark II в музее Смитсоновского института. Автором записи была Грейс Хоппер — её коллеги проследили возникшую ошибку в работе программы до мотылька, застрявшего в реле и блокирующего передачу сигнала. Случай был педантично задокументирован, местонахождение описано, мотылёк аккуратно вклеен и сопровождён описанием «Первый реальный случай обнаружения жучка» (англ. First actual case of bug being found).

Этот процесс Хоппер отметила как «дебаггинг» системы — в американском английском слово debugging буквально значило «удаление насекомых». Отладка (debugging) стала неотъемлемым этапом разработки программного обеспечения.

Адмирала Грейс Хоппер, разработчика первого компилятора для компьютерного языка, по праву можно назвать и первым тестировщиком. Она впервые применила стандартизацию к тестированию компьютерных систем и компонентов, и что особенно важно, к ранним языкам программирования — FORTRAN и COBOL. Хопперовские тесты соответствия этим стандартам привели к значительному сходству диалектов этих языков у главных производителей компьютеров.

В отставке Грейс стала послом доброй воли — читала лекции о заре компьютерной эры, своей карьере и об усилиях, которые разработчики компьютеров могут предпринять, чтобы упростить жизнь пользователям.

Ровно год назад в день тестировщика ВКонтакте запустила первый конкурс по тестированию VK Testing Challenge, для которого мы создали баг-трекер. Тогда две тысячи человек отправили хотя бы по одному отчёту. Сейчас в системе около 20 тысяч баг-репортов и предложений по улучшению.

Благодаря Михаилу Кошкину за год баг-трекер превратился в полноценную платформу для тестирования. Конкурс вырос в постоянную программу, собралось уникальное сообщество тестировщиков с почти 40 тысячами участников.

Ценности и дух профессии за более чем полвека не изменились — любопытство, неугасаемое желание докопаться до основ, причин и внутренних механизмов, критическое мышление, стремление сделать тестируемый продукт лучше и облегчить пользователям жизнь.

За прошедший год силами сообщества протестировано и выпущено 13 проектов ВКонтакте и наших партнёров: от десктопного приложения до мобильного оператора. В каждый мы вложили душу и сердце. Сейчас в тестировании 9 приложений, включая новые версии официальных клиентов VK. Мы рады пригласить людей, разделяющих наши ценности, присоединиться к программе бета-тестирования и официальному сообществу VK Testers. Отправить заявку можно на странице vk.com/testing.

С днём тестировщика!

С любовью к профессии,
Команда тестирования ВКонтакте
Всё началось с мотылька



URL
21:36

Запись за 10.09.2017 21:36:52 +0300

И это всё МОЁ
В кодовую базу Chromium 63 принято изменение с реализацией техники выявления попыток перехвата трафика HTTPS, в результате активности вредоносного ПО или MITM-прокси. В качестве признака для вывода предупреждения используется аномально большое число ошибок SSL-соединений для разных сайтов за короткий промежуток времени, т.е. метод выявляет факты грубой подмены, в результате которой возникают ошибки SSL и соединение помечается как небезопасное.

Основное отличие от предупреждения о небезопасном соединении заключается в том, что пользователь информируется о возможной локальной MITM-атаке, которая не связана с проблемами настройки HTTPS на конкретном внешнем сайте. Метод уже доступен для тестирования в Chrome Canary и активируется при запуске браузера с параметром "--enable-features=MITMSoftwareInterstitial"

Предупреждение не коснётся техники незаметной подмены HTTPS-сертификатов, которая практикуется некоторым антивирусным ПО, корпоративными межсетевыми экранами и системами инспектирования трафика. Подобное ПО перехватывает HTTPS-обращение клиента, затем от своего лица и с собственным сертификатом транслируют HTTPS-запрос на сервер, получают ответ и отдают его клиенту в рамках отдельного HTTPS-соединения, установленного с использованием SSL-сертификата перехватывающей системы. Для сохранения индикатора защищённого соединения в браузере на машины клиента устанавливается дополнительный корневой сертификат, позволяющий скрыть работу применяемой системы инспектирования трафика.

Источник:
www.opennet.ru/opennews/art.shtml?num=47169
В Chrome 63 появятся средства информирования о попытках перехвата HTTPS



URL
21:36

Запись за 10.09.2017 21:36:25 +0300

И это всё МОЁ
GNOME Mutter теряет часть своих X11-зависимостей для возможности использовать Wayland без Xorg server, XWayland и сопутствующих им зависимостей.

habrahabr.ru/post/322580/
Одним из интересных проектов Google Summer of Code в этом году, связанным с проектом GNOME, был переработаный компоновщик GNOME Mutter, и теперь его кодовые пути не требуют X11/XWayland для запуска компоновщика Wayland. Это изменение предположительно станет частью GNOME Mutter 3.28, который выйдет в марте 2018.

Студент-разработчик Armin Krezovi



URL
21:02

Запись за 10.09.2017 21:02:23 +0300

И это всё МОЁ
VLC начал работу над поддержкой воспроизведения 3D-видео.

Прошло некоторое время с тех пор, как с VLC сообщил о том, что VLC 3.0 остается всё ещё недоступным, но благодаря Google Summer of Code в этом году появился интересный проект по работе с поддержкой 3D-формата.

Мохаммед Хузайфа - студент-разработчик, который провел лето, работая над поддержкой 3D для libVLC.

Мохаммед добавил поддержку основного воспроизведения для целевых 3D-файлов. Он смог добавить поддержку воспроизведения для стереоскопических 3D и 360 файлов, бок о бок как для 2D-файлов и поддержку «cardboard» для просмотра VR 3D-контента со смартфона.

Эта работа еще не объединена с основным кодом VLC, но если у вас есть 3D-контент и совместимое оборудование, вы можете попробовать код через эту ветку Git. Интересная летняя работа:
code.videolan.org/GSoC2017/Shaan/vlc/tree/Final...
Другие проекты VideoLAN/VLC GSoC 2017 можно найти здесь:
summerofcode.withgoogle.com/organizations/49239...

VLC Has Begun Working On Some 3D Video Playback Support - Phoronix



URL
20:59

Вывод экрана Android на компьютер

И это всё МОЁ

Хотя это не ежедневная задача, время от времени, может понадобиться вывести экран Android на экран своего компьютера. Это может понадобиться для просмотра фото или видео с смартфона на экране компьютера, разработки без использования устройства, или просто в качестве зеркала. Неважно какая у вас причина, это очень легко сделать. Возможен вывод экрана Android на компьютер через сеть Wifi или с помощью USB подключения. Оба способа очень просты и потребуют минимум действий и настроек. Причем оба метода кроссплатформены, вы можете использовать их одинаково успешно в Windows, Linux или даже Mac, вам только нужен браузер Google Chrome на компьютере и все. Дальше мы


Запись Вывод экрана Android на компьютер впервые появилась Losst.






@темы: Инструкции, android

URL
20:34

Запись за 10.09.2017 20:34:45 +0300

И это всё МОЁ
Google Drive для PC и Mac прекратит работу в марте 2018 года.

Корпорация Google представила десктопное приложение Google Drive много лет назад. Сначала оно стало набирать популярность, но затем, по мере появления альтернатив, пользователи стали переходить на другие программные платформы. В итоге компания решила не распылять усилия и прекратить поддержку приложения в декабре этого года. А в марте 2018 году сервис Google Drive для десктопов будет закрыт.

Ко всем своим файлам доступ можно будет получать и дальше, используя мобильные приложения и браузер. Представители Google сообщили, что вместо закрываемого Google Drive для десктопов пользователям будет предложена альтернатива — программа Backup and Sync. Она заменит одновременно и Google Drive и Google Photos Uploader. Принцип ее работы похож на Google Drive, так что проблем с новинкой у пользователей не должно быть. Читать дальше:
Google Drive для PC и Mac прекратит работу в марте 2018 года



URL
20:14

Запись за 10.09.2017 20:14:18 +0300

И это всё МОЁ
www.kernel.org/
Greg Kroah-Hartman (на фото), мэйнтэйнер стабильных версий ядра Linux представил очередные обновления с исправлениями багов и проблем с безопасностью.

Linux 4.13.1:
cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-...

Linux-lts 4.9.49:
cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-...

The Linux Kernel Archives



URL
19:36

Запись за 10.09.2017 19:36:35 +0300

И это всё МОЁ
8 сентября вступило в силу предписание, в соответствии с которым удостоверяющие центры должны обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA (RFC-6844, Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, через который можно генерировать сертификаты для указанного домена. Если удостоверяющий центр не перечислен в записях CAA, то он обязан блокировать выдачу сертификатов для данного домена и информировать владельца домена о попытках компрометации.

Пример настройки CAA можно посмотреть в данной заметке. Автоматически сформировать DNS-записи с CAA можно через специально подготовленный web-интерфейс.

www.opennet.ru/opennews/art.shtml?num=47168



URL
17:02

Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев

И это всё МОЁ
Бюро кредитных историй Equifax обнародовало информацию о взломе, в результате которого в руки атакующих попали персональные данные 143 млн жителей США (44% населения США). Информация включает в себя имена, номера социального страхования, даты рождения, адреса и номера водительский удостоверений. Примерно для 209 тысяч человек были похищены номера кредитных карт, а для 182 тысяч - документы, связанные с урегулированием кредитных споров. Данные о кредитной истории, финансовых операциях и платежах не пострадали, так как хранились в не затронутой в результате атаки БД.



URL
14:36

Binary Analysis Platform 1.3

И это всё МОЁ

Binary Analysis Platform (BAP) — это платформа для обратной разработки и анализа программ, для которых недоступны их исходные коды. Поддерживается более 30 архитектур, в первую очередь x86, x86-64 и ARM. BAP работает путём дизассемблирования и перевода инструкций в RISC-подобный язык — BAP Instruction Language (BIL). Такой подход позволяет платформе анализировать код одинаково хорошо, независимо от архитектуры. Вместе с платформой поставляется набор инструментов, библиотек и плагинов. Основная цель платформы — предоставить инструментарий для автоматического анализа программ.

BAP написана на Ocaml, и это предпочтительный язык для написания средств анализа, но также имеются биндинги к C, Python и Rust.

Релиз 1.3 является самым большим публичным релизом платформы, который содержит много нового:

  • новый загрузчик, который работает со всеми видами бинарных файлов, в том числе модулями ядер Linux и Darwin, разделяемыми библиотеками и другими представлениями программ;
  • сокращено потребление памяти;
  • Primus — фреймворк эмуляции ЦП;
  • лучшее представление программ благодаря удалению «мёртвого кода»;
  • поддержка LLVM 4.0.

>>> Исходный код на Github








 , ,








URL
07:28

В Chrome 63 появятся средства информирования о попытках перехвата HTTPS

И это всё МОЁ
В кодовую базу Chromium 63 принято изменение с реализацией техники выявления попыток перехвата трафика HTTPS, в результате активности вредоносного ПО или MITM-прокси. В качестве признака для вывода предупреждения используется аномально большое число ошибок SSL-соединений за короткий промежуток времени, т.е. метод выявляет факты грубой подмены, в результате которой возникают ошибки SSL и соединение помечается как небезопасное.



URL