Тысячи анкет с фотографиями

Знакомства

Найди свою любовь

Игры

Игры

Онлайн флеш игры

временная фотография

Из Олайне...

Новости мира открытых систем

Я очень дружу с Linux, чего и вам желаю...Поэтому самые свежие новости открытых систем и публикуются, огромное спасибо автору.


Выпуск ZFSonLinux 0.7.0, реализации ZFS для ядра Linux


После почти двух лет разработки состоялся релиз ZFSonLinux 0.7.0, реализации файловой системы ZFS, оформленной в виде модуля для ядра Linux. Работа модуля проверена с ядрами Linux c 2.6.32 по 4.12. Готовые установочные пакеты подготовлены для основных дистрибутивов Linux, включая Debian, Ubuntu, Fedora, RHEL/CentOS. Кроме того, модуль ZFSonLinux уже входит в состав дистрибутивов Debian, Ubuntu, Gentoo, Sabayon Linux и ALT Linux.

В рамках ZFSonLinux подготовлена реализация компонентов ZFS, связанных как с работой файловой системы, так и с функционированием менеджера томов. В частности, реализованы компоненты: SPA (Storage Pool Allocator), DMU (Data Management Unit), ZVOL (ZFS Emulated Volume) и ZPL (ZFS POSIX Layer). Дополнительно проектом обеспечена возможность использования ZFS в качестве бэкенда для кластерной файловой системы Lustre. Наработки проекта основаны на оригинальном коде ZFS, импортированном из проекта OpenSolaris и расширенном улучшениями и исправлениями от сообщества Illumos. Реализованная в ZFSonLinux версия пула и файловой системы совместима с ZFS из состава Illumos и FreeBSD. Проект развивается при участии сотрудников Ливерморской национальной лаборатории по контракту с Министерством энергетики США.

Код распространяется под свободной лицензией CDDL, которая несовместима с GPLv2, что не позволяет добиться интеграции ZFSonLinux в состав основной ветки ядра Linux, так как смешивание кода под лицензиями GPLv2 и CDDL недопустимо. Для обхода данной лицензионной несовместимости было решено распространять продукт целиком под лицензией CDDL в виде отдельно загружаемого модуля, который поставляется отдельно от ядра. Стабильность кодовой базы ZFSonLinux оценивается как сопоставимая с другими ФС для Linux.

Основные изменения:

  • Добавлена возможность делегирования непривилегированному пользователю прав на администрирование файловых системам ZFS. Управление правами осуществляется при помощи команд "zfs allow" и "zfs unallow";
  • Непривилегированные пользователи теперь могут выполнять команды "zpool list", "zpool iostat", "zpool status", "zpool get", "zfs list", "zfs get" без необходимости добавления в /etc/sudoers;
  • Поддержка аккаунтинга и квот для объектов отдельных пользователей и групп. Для установки лимитов и просмотра состояния предлагается использовать команды "zfs userspace" и "zfs groupspace";
  • Поддержка хранения контрольных сумм с использованием более надёжных криптографических хэшей SHA-512, Skein и Edon-R;
  • Поддержка прерывания работы команд zfs send/receive (например, из-за сетевого сбоя или проблем на удалённой системе) c последующим возобновлением выполнения операции;
  • Возможность переноса сжатых данных из одного пула в другой при помощи команд zfs send/receive (данные напрямую обрабатываются в сжатом виде без промежуточной распаковки). Для включения сжатия представлена опция "-c";
  • Обеспечена защита операций импорта пула в отказоусточивых конфигурациях - совместно используемый пул теперь одновременно не может быть импортирован на разные хосты (перед началом операции импорта теперь выполняется проверка, не запущен ли уже импорт на другой хост);
  • Возможность настройки параметров, отображаемых в столбцах со статистикой, выводимой командами "zpool iostat" и "zpool status". Например, в вывод теперь можно включить данные мониторинга SMART, параметры датчиков температуры, статус индикаторов и т.п.
  • В команду "zpool iostat" добавлены опции "-l", "-w" и "-r", позволяющие наглядно оценить задержки и размер обрабатываемых в данный момент запросов в привязке к отдельным дискам;
  • В команду "zpool scrub" добавлена опция "-p", позволяющая приостановить выполнение проверки целостности без её полной отмены (для возмобновления проверки нужно ещё раз запустить "zpool scrub -p");
  • Поддержка больших dnode, позволяющих увеличит производительность работы с метаданными за счёт сохранения внутри dnode расширенных атрибутов, ACL и символических ссылок, связанных с длинными именами файлов. Выигрыш особенно ощутим в системах с SELinux и распределёнными ФС, такими как Lustre и Ceph;
  • Новые возможности режима JBOD (представление нескольких дисков как одного целого с резервированием): автоматический перевод новых дисков в режим online; автоматическая замена выведенного из пула диска на новый диск; автоматическое подключение дисков для горячей замены в случая сбоя; индикация сбоев при помощи светодиодов; мониторинг проблем и автоматический перевод диска в состояние сбоя при превышении порога несоответствия контрольных сумм; возможность ручной пометки диска сбойным (zpool offline -f); режим multipath;
  • Порция оптимизаций:
    • Новый метод выделения буферов ARC, минимизирующий фрагментацию структур в оперативной памяти;
    • По умолчанию хранение данных в кэше с использование сжатия с распаковкой налету; задействование векторных SIMD-инструкций CPU (sse2, ssse3, avx2, avx512f, avx512bw, neon, neonx2) в реализации RAIDZ и в коде расчёта контрольных сумм;
    • Возможность применения аппаратного ускорения GZIP-сжатия (QAT);
    • Ускорение работы с метаданными за счёт более активного использования многопоточности, пакетного выполнения операций и упреждающего запроса данных;
    • Ускорение процесса восстановления избыточности в RAIDZ - теперь проверяется только целостность секций, подлежащих перестроению;
    • Число фоновых обработчиков теперь выбирается динамически в зависимости от нагрузки, рабочие потоки создаются и отключаются по мере возникновения необходимости;
  • Добавлено 42 новых параметра для тонкой настройки работы модуля ядра.


Источник: http://www.opennet.ru/opennews/art.shtml?num=46932

Релиз дистрибутива openSUSE Leap 42.3


После восьми месяцев разработки состоялся релиз дистрибутива openSUSE Leap 42.3. Это третий выпуск на базе новой архитектуры, совмещающей вклад сообщества с разработками для корпоративных систем - основой openSUSE Leap выступают наработки промышленного дистрибутива SUSE Linux Enterprise 12 Service Pack 3 (SLE 12SP3), поверх которых поставляются более новые выпуски рабочего стола и пользовательских приложений. Для загрузки доступна универсальная DVD-сборка, размером 4.7 Гб (x86_64, Power 8 (ppc64le), ARMv8 (AArch64) и ARMv7). Репозиторий openSUSE Leap 42.3 насчитывает около 10 тысяч пакетов, из которых более 1500 импортированы из SUSE Linux Enterprise.

openSUSE Leap 42.3 подготовлен в рамках изменённой модели разработки, подразумевающей активное применение автоматизированных средств тестирования и публикации снапшотов, обновляемых раз в несколько дней, без выпуска классических альфа- и бета-версий. Кроме синхронизации изменений с SLE 12 SP3 выпуск не содержит каких-то значимых новшеств и нацелен в основном на обеспечение поддержки нового оборудования.

Как и в прошлой версии пользователям предлагаются ядро Linux 4.4 и рабочие столы GNOME 3.20 и KDE Plasma 5.8, а также пользовательские окружения MATE 1.16, Xfce 4.12 , LXQt 0.11.0, Enlightenment 0.23.3 и Cinnamon 3.0. Сохранение базовых версий компонентов рабочего стола и системы даёт возможность обеспечения предсказуемого и бесшовного обновления с выпуска openSUSE Leap 42.2. Использование стабильной основы SUSE Linux Enterprise позволяет применять openSUSE Leap 42.3 для создания надёжных серверных решений для физических серверов, виртуализации и облачных окружений.

По умолчанию предлагается файловая система Btrfs и задействована утилита snapper, отвечающая за создание снапшотов со срезами состояния файловой системы и откат изменений (например, можно вернуть случайно перезаписанный файл или восстановить состояние системы после установки пакетов). Инсталлятор, кроме графического режима, имеет полноценные интерфейсы для установки в текстовом режиме, в том числе установкой можно управлять удалённо через SSH и включить отладочный режим для тонкой диагностики проблем. Администраторам предлагается система резервного копирования Borg и Samba SSSD (System Security Services Daemon) с поддержкой интеграции с Active Directory.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46926

Проект Fedora опубликовал первый выпуск модульного серверного дистрибутива Boltron


Проект Fedora представил предварительный выпуск проекта Boltron, в рамках которого развивается новая серверная редакции дистрибутива Fedora, построенная на модульной основе. Конечные приложения в Boltron поставляются в виде отдельно обновляемых модулей, жизненный цикл которых не привязан к другим приложениям и основной начинке дистрибутива.

Поддержка приложений, выделенных в модули, осуществляется независимо от релизов дистрибутива, что позволяет обеспечить сосуществование пакетов с разными версиями одного и того же приложения. Модульная организация позволяет пользователю переходить на новые значительные выпуски приложения не дожидаясь нового релиза дистрибутива и оставаться на старых, но ещё поддерживаемых, версиях после обновления дистрибутива. Каждый модуль включает базовое приложение и необходимые для его работы библиотеки или может использовать в качестве зависимостей другие модули.

В настоящее время для установки доступно 25 модулей на базе пакетов из Fedora 26, среди которых наборы компонентов для базовой системы и контейнеров, а также модули с приложениями для развёртывания dhcp, haproxy, apache httpd, mariadb, memcached, mongodb, nginx, node.js, perl, php, postfix, postgresql, sssd и varnish. Модули оформлены в виде сгруппированных rpm-пакетов, что позволяет формировать на их базе образы готовых для установки контейнеров Docker. В рамках одной базовой версии модуля обеспечивается обратная совместимость и неизменность ABI. Для каждой базовой версии модуля предусмотрен отдельный канал для доставки корректирующих обновлений.

Для установки базовой системы подготовлен образ контейнера для системы Docker (запустить можно командой "docker run --rm -it registry.fedoraproject.org/f26-modular/boltron"). После запуска контейнера предлагается использовать пакетный менеджер dnf для установки дополнительных модулей, список которых можно посмотреть командой "dnf module list", а для установки следует использовать обычную команду "dnf install имя_модуля" (дополнительно можно уточнить ветку и версию, например, доступны два варианта node.js - nodejs-8 c Node.js 8.2 и nodejs-f26 c Node.js 6.11). Для обновления применяется привычная команда "dnf update".

Источник: http://www.opennet.ru/opennews/art.shtml?num=46921

Релиз FreeBSD 11.1


Спустя год после прошлого значительно выпуска официально представлен релиз FreeBSD 11.1, который доступен для архитектур amd64, i386, powerpc, powerpc64, sparc64, armv6 (BANANAPI, BEAGLEBONE, CUBIEBOARD, CUBIEBOARD2, CUBOX-HUMMINGBOARD, GUMSTIX, Raspberry Pi B, Raspberry Pi 2, PANDABOARD, WANDBOARD) и aarch64 (arm64). Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2.

Ключевые новшества:

  • Компоненты Clang, libc++, compiler-rt, LLDB, LLD и LLVM обновлены до версии 4.0, из новых возможностей которой можно отметить использование статистики выполнения в оптимизаторе ThinLTO, более агрессивное устранение бесполезного кода, экспериментальную поддержку сопрограмм, улучшение совместимости с GNU ld и значительное увеличение производительности компоновщика LLD;
  • В стандартной Си-библиотеке и системных библиотеках задействован вызов reallocarray для проверки соблюдения границ буферов. Функция reallocarray отличается тем, что производит очистку содержимого выделяемых блоков памяти, по аналогии с calloc(), а также обнуляет или отдаёт системе (unmap) не распределённые блоки памяти;
  • В OpenSSH добавлена поддержка динамического межсетевого экрана blacklistd;
  • В ZFS обеспечена возможность сохранения сжатых данных в кэше, что увеличило эффективность кэширования положительно отразилось на производительности;
  • Добавлена утилита zfsbootcfg для настройки загрузочных опций zfsboot;
  • Добавлена утилита efivar, предоставляющая средства для управления переменными UEFI;
  • В пакетный фильтр ipfw добавлена поддержка именованных динамических состояний. Добавлены новые модули: ipfw_pmod для изменения пакетов любых протоколов, ipfw_nptv6 с реализацией Network Prefix Translation для IPv6 и ipfw_nat64 с реализацией NAT64;
  • В набор FreeBSD Integration Services (BIS), предоставляющий средства для работы в гостевых системах под управлением гипервизора Hyper-V и облачной платформы Azure, добавлена поддержка виртуальных машин с интерфейсом UEFI (Hyper-V Generation-2 VM);
  • Добавлен драйвер ena с поддержкой сетевых адаптеров ENA (Elastic Network Adapter), используемых компанией Amazon в инфраструктуре Elastic Compute Cloud (EC2) для организации связи между узлами EC2;
  • В NFS-клиент добавлена поддержка файловой системы EFS (Amazon Elastic File System);
  • В загрузчике EFI реализована поддержка доступа к удалённым файлам через TFTP, в дополнение к ранее имеющейся поддержке NFS;
  • Реализована сборочная опция WITH_REPRODUCIBLE_BUILD, при которой при сборке не используются специфичные метаданные ядра, что позволяет добиться повторяемых сборок, идентичных при сборке одного кода в разных системах;
  • По умолчанию в ядре включена поддержка NAT-T;


Другие улучшения:

  • Добавлена сборочная опция WITH_LLD_AS_LD для установки компоновщика LLD от проекта LLVM в качестве /usr/bin/ld. На системах FreeBSD/arm64 компоновщик LLD теперь используется по умолчанию;
  • Добавлена сборочная опция WITH_RPCBIND_WARMSTART_SUPPORT для сборки rpcbind с поддержкой режима warmstart, при котором регистрации RPC сохраняются перед завершением работы и загружаются после запуска, что позволят избежать нарушения работы RPC-сервиса при перезапуске;
  • Добавлены средства защиты утилиты bspatch при помощи capsicum;
  • В утилите syslogd появилась поддержка ключевого слова "include", через которое можно определить директорию с файлами конфигурации, помимо базового syslog.conf (по умолчанию теперь дополнительно подключаются /etc/syslog.d и /usr/local/etc/syslog.d);
  • Из NetBSD портирована утилила getaddrinfo, представляющая собой обвязку над одноимённой функцией резолвера;
  • В утилите jail появилась возможность явного назначения IPv4 и IPv6 адресов для использования внутри jail-окружения;
  • В утилиту daemon добавлена поддержка перенаправления вывода stdout и stderr в syslog или в файл;
  • Добавлена утилита cxgbetool, предоставляющая интерфейс для отладки и изменения параметров устройств cxgbe;
  • В установщик bsdinstall добавлена поддержка включения скрытых беспроводных сетей при настройке интерфейса wlan. В bsdinstall также обеспечено сохранение настроек ZFS min_auto_ashift и добавлен режим автоматической конфигурации ZFS для систем ARM64. Проведена работа по целостному использованию конфигурации разделов EFI на всех поддерживаемых платформах;
  • Добавлен новый системный вызов clock_nanosleep();
  • В cloudabi добавлена возможность запуска 32-разрядных исполняемых файлов в 64-разрядном пользовательском окружении, при наличии в настройках ядра включенной опции COMPAT_CLOUDABI32;
  • Добавлен драйвер cfumass, предоставляющий фронтэнд для устройств хранения, подключаемых через USB OTG;
  • В гипервизоре bhyve расширены средства для проброса PCI-устройств;
  • В сетевой стек добавлена поддержка повторной передачи GARP (Gratuitous ARP). Для задания максимального числа повторных передач предложена переменная net.link.ether.inet.garp_rexmit_count;
  • Обеспечена возможность использования системных вызовов cpuset_getaffinity(2) и cpuset_setaffinity(2) в режиме capabilities;
  • Обновлены версии сторонних компонентов, в том числе tcsh 6.20.00, unbound 1.5.10, Subversion 1.9.5, xz 5.2.3, tcpdump 4.9.0, ntpd 4.2.8p10, bmake 20170510.


Источник: http://www.opennet.ru/opennews/art.shtml?num=46920

Третий выпуск операционной системы Redox OS, написанной на языке Rust


Доступен выпуск операционной системы Redox 0.3, разработанной с использованием языка Rust и концепции микроядра. Наработки проекта распространяются под свободной лицензией MIT. После сборки систему можно опробовать при помощи VirtualBox или QEMU.

Пользовательское окружение в Redox построено на базе графической оболочки Orbital. Операционная система использует концепцию микроядра, при котором на уровне ядра обеспечивается только взаимодействие между процессами и управление ресурсами, а вся остальная функциональность вынесена в библиотеки, которые могут использоваться как ядром, так и пользовательскими приложениями. Все драйверы выполняются в пространстве пользователя в изолированных sandbox-окружениях. Для совместимости с существующими приложениями предоставляется специальная POSIX-прослойка, позволяющая запускать многие программы без портирования.

Redox развивается в соответствии с философией Unix c заимствованием некоторых идей из SeL4, Minix и Plan 9. В системе применяется принцип "все есть URL". Например, для записи в лог может использоваться URL "log://", для взаимодействия между процессами "bus://", для сетевого взаимодействия "tcp://" и т.п. Модули, которые могут быть реализованы в форме драйверов, расширений ядра и пользовательских приложений, могут регистрировать свои обработчики URL, например, можно написать модуль обращения к портам ввода/вывода и привязать его к URL "port_io://", после чего можно использовать его для доступа к 60 порту через открытие URL "port_io://60".

Проектом также развивается собственный пакетный менеджер, набор стандартных утилит (binutils, coreutils, netutils, extrautils), командная оболочка ion, vim-подобный текстовый редактор sodium и файловая система TFS, развиваемая на основе идей ZFS (модульный вариант ZFS на языке Rust). Конфигурация задаётся на языке Toml. Система поддерживает запуск на процессорах с архитектурой x86_64 c VBE-совместимой графической картой (nvidia, intel, amd), AHCI-дисками и сетевыми картами на базе чипов E1000 или RTL8168.

Из новшеств, добавленных в выпуске Redox 0.3, можно отметить:

  • Сборочная система переведена на cookbook, коллекцию shell-скриптов с инструкциями по сборке различных компонентов Redox и патчами для обеспечения совместимости. Основным преимуществом новой системы является использования одного набора типовых рецептов (скриптов) для сборки как отдельных пакетов, так и установочных образов. Каждый файл в предлагаемом по умолчанию установочном наборе теперь устанавливается как пакет и управляется пакетным менеджером. В настоящее время пользователям предлагается около 40 пакетов;
  • Вместо скрипта-обвязки вокруг GCC теперь применяется полноценный кросс-компилятор, что позволяет значительно поднять уровень поддержки программ на языке Си и обеспечить возможность самосборки системы (Self-hosting, сборка redox из кружения redox). В настоящее время для Redox уже портированы binutils, newlib, gcc, nasm, llvm и rustc, ведётся портирование git. По мере портирования стороннего ПО параллельно всплывают и исправляются многочисленные проблемы с совместимостью с POSIX и добавляется неодостающая функциональность;
  • Продолжено усовершенствование ядра системы: добавлен новый стек ACPI, включающий парсер AML. Поддержка ACPI позволила наладить обработку сигнала завершения работы, спящий режим и поддержку HPET (High Precision Event Timer);
  • В командную оболочку ion внесено 139 изменений, добавлена поддержка новых возможностей и элементов синтаксиса, например, появилась возможность использования арифметических выражений в блоках let/export, переработана реализация циклов while, добавлены операторы "&&" и "||", реализованы псевдонимы (alias);
  • Добавлена поддержка драйверов для гостевых систем VirtualBox;
  • Добавлен драйвер для ethernet-адаптеров Atheros ALX;
  • Продолжена работа над файловой системой TFS, в которую перенесена очередная порция возможностей ZFS;
  • Внесены многочисленные улучшения в реализации утилит на языке Rust, в том числе добавлены недостающие опции в утилиты mv, dd, ls, ln, tail, wc, sort. Добавлены команды shutdown и unique.


Источник: http://www.opennet.ru/opennews/art.shtml?num=46919

Выпуск web-браузера Chrome 60


Компания Google представила релиз web-браузера Chrome 60. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров.

Основные изменения в Chrome 60:

  • Реализована возможность использования формата кодирования видео VP9 в медиаконтейнерах MP4 (ISO BMFF). Поддержка MP4 потребовала реализации нового строкового формата для определения параметров кодека VP9, который теперь доступен и в различных мультимедийных Web API;
  • Добавлен Paint Timing API, позволяющий отследить время различных стадий отрисовки страницы. При помощи данного API можно выявить узкие места загрузки страницы и проблемные моменты, например, ситуации когда посетителю уже видна ссылка или форма ввода, но из-за того, что JavaScript ещё не загрузился, их обработчики недоступны;
  • Добавлено CSS-свойство font-display и правило @font-face, которые дают возможность определить как и когда отображать текстовое содержимое, если шрифт ещё не загрузился. Ранее при использовании внешних шрифтов отрисовка текста не производилась до окончания загрузки шрифта. Теперь текст можно отобразить сразу, временно используя шрифт по умолчанию;
  • В API Credential Management API, предоставляющий сайтам возможность сохранять и запрашивать учётные данные пользователя, добавлена возможность получения пользовательского пароля непосредственно в составе структуры PasswordCredential, без необходимости подключения обработчика при помощи метода fetch(). Для точного следования спецификациям, развиваемым рабочей группой W3C Web Authentication Working Group, свойство requireUserMediation переименовано в preventSilentAccess;
  • В Chrome для настольных систем обеспечена возможность использования API Payment Request, позволяющего организовать быстрое совершение платежей при помощи кредитной карты, без необходимости повторного ручного ввода типовой информации, такой как данные о плательщике, номер карты (для подтверждения вводится CVC-код) и адрес доставки;
  • Сайтам предоставлена возможность собирать платежи через собственные Android-приложения, используя Payment Request API;
  • Добавлена поддержка нового синтаксиса клонирования и объединения объектов. Например, для клонирования вместо "Object.assign({}, data)" теперь можно указать "{ ...data }", а для объединения "{ ...defaultSettings, ...userSettings }";
  • Представлен новый API Web Budget, который позволяет сайтам запросить права на отправку ограниченного числа push-сообщений, приводящих в выполнению фоновых работ, таких как синхронизация данных, без вывода видимого для пользователя уведомеления. API разработано в рамках инициативы по подавлению активности в фоновых вкладках;
  • Добавлена поддержка формата Web Push Encryption (шифрованные push-сообщения), для определения использования которого можно применять свойство PushManager.supportedContentEncodings;
  • Добавлен атрибут PushSubscription.expirationTime, который предоставляет информацию об истечении времени подписки на push-уведомления;
  • Для увеличения производительности и предсказуемости поведения, события pointermove и mousemove, теперь доставляются один раз на каждый AnimationFrame, что соответствует поведению событий scroll и TouchEvents;
  • Добавлен псевдо-класс CSS ":focus-within", влияющий на работу любых элементов, на которые действует псевдо-класс ":focus", а также на все их потомки;
  • Реализована функция frames(), формирующая на основе заданного значения набор из равных интервалов;
  • Для обеспечения перехвата операций редактирования в InputEvent добавлена возможность обработки пользовательского ввода при помощи скрипта;
  • Для увеличения безопасности диалог BeforeUnload, который вызывается когда пользователь покидает сайт, теперь показывается только если на странице с которой осуществлён вызов производились какие-либо действия пользователя (если закрыть страницу сразу диалог не будет показан). На обработчики событий BeforeUnloadEvent данное изменение пока не распространяется;
  • Переведена в разряд устаревших большая порция API, в том числе WebKitAnimationEvent, WebKitTransitionEvent, RTCPeerConnection.getStreamById(), SVGPathElement.getPathSegAtLength(), indexedDB.webkitGetDatabaseNames(), Headers.prototype.getAll().

Кроме нововведений и исправления ошибок в новой версии устранено 40 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity и LibFuzzer. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 21 премию на сумму 26 тысяч долларов США (по одной премии в $10000, $5000, $3000 и $2000, пять премии $1000 и две премии $500). Размер десяти вознаграждений пока не определён.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46918

В Firefox добавлен CSS-движок Stylo, написанный на языке Rust


В ночные сборки Firefox добавлен новый CSS-движок Stylo, развиваемый в рамках проекта Quantum, в котором производится работа по переносу в браузер возможностей, изначально развиваемых для движка Servo. Stylo написан на языке Rust и примечателен распараллеливанием обработки стилей CSS. Для включения нового CSS-движка в about:config следует установить опцию layout.css.servo.enabled=true.

Наиболее заметным эффектом после включения Stylo отмечается увеличение скорости обработки страниц, так как разные CSS-стили обрабатываются параллельно, не блокируя друг друга. В настоящее время работа сосредоточена на оттачивании кодовой базы и стабилизации Stylo - открытыми остаётся 68 известных проблем, 18 из которых имеют характер блокирующих выпуск. Разработчики намерены оперативно устранить данные проблемы и задействовать Stylo в Firefox 57, запланированном на ноябрь и примечательным модернизацией оформления браузера и полным переходом на WebExtensions.

Тем временем, в ближайшем выпуске Firefox 55, который выйдет 8 августа, будут включены наработки другой инициативы Quantum - Flow, в рамках которой развиваются дополнительные оптимизации для увеличения производительности интерфейса пользователя. Тестирование бета-версии Firefox 55 показало существенное ускорение работы со вкладками и сокращение времени запуска. Тестирование проводилось с профилем, содержащим 1691 (!) вкладку. Если в прошлые выпуски запуск браузера со столь огромным числом вкладок занимал 5-8 минут, то в Firefox 55 ситуация изменилась и на запуск ушло всего 15 cекунд, а потребление памяти снизилось в 4 раза (с 2 до 0.5 Гб, без фактической загрузки содержимого всех страниц).

Из ожидающих внедрения инициатив проекта Quantum также можно отметить Quantum DOM, который обеспечит распараллеливание операций с DOM (Document Object Model). JavaScript-код для разных вкладок и iframe будет выполняться параллельно в отдельных нитях, что позволит увеличить отзывчивость браузера при использовании большого числа открытых вкладок. Для переключения между нитями будет задействован встроенный планировщик совместной многозадачности, переключающий контекст в "безопасные" моменты, например, при вызове функций и в вершине каждой итерации циклов, что позволит минимизировать использование блокировок. Дополнительно планируется реализовать эвристические методы для остановки выполнения кода во второстепенных фоновых вкладках, а также предоставить интерфейс для блокирования бесконечного зацикливания и снижения приоритета ресурсоёмких скриптов.

Текущий браузерный движок Firefox не может в полной мере задействовать потенциал современных многоядерных систем из-за изначального использования однопоточных схем обработки контента. В частности, при обработке одной страницы однопоточным остается связанный с DOM (Document Object Model) внутренний API, функции формирования содержимого окна, парсинга HTML и выполнения JavaScript. Использование Rust позволяет разбить код DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. Кроме эффективного распараллеливания операций, используемые в Rust технологии безопасного программирования позволят кардинально поднять уровень безопасности.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46917

Adobe прекращает поддержку Flash


Компания Adobe объявила о переводе Flash в разряд устаревших технологий, окончательно признав первенство штатных технологий HTML5, WebGL и WebAssembly в области разработки интерактивного и мультимедийного web-контента. Сопровождение Flash будет осуществляться до конца 2020 года, после чего обновление и распространение плагина будет прекращено. Компании Mozilla, Google, Apple и Microsoft также заявили о согласованном с Adobe прекращении поддержки Flash в своих браузерах.

Штатные web-технологии, способные заменить Flash, достигли статуса web-стандарта, поддерживаются во всех современных браузерах, обеспечивают хорошую производительность, низкую нагрузку на CPU и более высокую безопасность. Adobe осознаёт полную победу HTML5 и не видит смысла и дальше искусственно продолжать развитие заведомо неперспективной технологии, отныне делая ставку на открытый Web и решения, не требующие установки специальных плагинов. По данным компании Google, если три года назад около 80% пользователей Chrome ежедневно просматривали сайты с Flash, то в настоящее время данный показатель составляет лишь 17% и продолжает снижаться.

Так как многие проекты и компании остаются завязанными на Flash, создателям Flash-контента решено предоставить три года на перевод своих продуктов на другие форматы. Наиболее активно Flash остаётся востребован в области игр, проигрывания видео и систем обучения. Например, доля разрабатываемых Flash-игр примерно соответствует доле игр на базе web-технологий.

До 2020 года выпуск обновлений для Flash-плагина для основных ОС и браузеров будет продолжен. В обновлениях будут исправляться ошибки и устраняться уязвимости, а также будет вестись работа по обеспечению совместимости с браузерами и добавление новых возможностей при возникновении такой необходимости. Adobe продолжит разработку продуктов для создания мультимедийного контента Animate CC и Premiere Pro CC, переориентировав их на использование только web-технологий.

Для организации работы с видео предлагается перейти на API HTML Video и Media Source Extensions, для создания динамической графики и интерактивных систем рекомендуется использовать HTML Canvas и WebGL, для анимации доступны CSS Transitions и CSS Animations, для P2P-коммуникаций имеется WebRTC, а для достижения высокой производительности и интенсивных вычислений можно использовать WebAssembly.

План прекращения поддержки Flash согласован с компаниями Apple, Facebook, Google, Microsoft и Mozilla, которые также сохранят возможность использования Flash в своих продуктах до конца 2020 года. Например, начиная со следующего выпуска Firefox пользователь должен будет явно определить сайты на которых будет активироваться Flash-плагин, а в 2019 году Flash будет полностью отключен по умолчанию в обычных выпусках Firefox, но опционально доступен в ESR-ветке. Не дожидаясь 2020 года Adobe также планирует предпринять более агрессивную политику ухода от Flash в некоторых регионах, в которых наблюдается распространение нелицензионных и устаревших выпусков Flash Player.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46916

Уязвимости в реализации аппаратно изолированных окружений TrustZone


Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, опубликовали результаты поиска уязвимостей в технологии ARM TrustZone, позволяющей создавать аппаратно изолированные защищённые окружения, в которых выполняется отдельная специализированная операционная система. Основным предназначением TrustZone является обеспечение изолированного выполнения обработчиков ключей шифрования, биометрической аутентификации, платёжных данных и другой конфиденциальной информации.

В исследовании рассмотрены реализации двух TEE-окружений (Trusted Execution Environment) - Qualcomm QSEE и Trustonic Kinibi, применяемых в Android-смартфонах и базирующихся на расширениях ARM TrustZone. Обе системы предоставляют урезанные проприетарные операционные системы, работающие на отдельном виртуальном процессоре и позволяющие выполнять специализированные защищённые обработчики (TA, Trusted Applications"). Защищённые обработчики не могут напрямую взаимодействовать с основной операционной системой Android, их вызов и передача данных осуществляется косвенно, через интерфейс диспетчеризации, работу которого обеспечивает устанавливаемые в основной системе библиотеки, процессы-демоны и модули ядра.

Исследование показало недостаточный уровень безопасности рассмотренных решений, в которых было выявлено несколько уязвимостей, а также одна кардинальная архитектурная недоработка (возможность отката на старую уязвимую версию обработчиков в защищённом окружении), которую невозможно устранить без изменений на аппаратном уровне или снижения стабильности работы устройства. Выполняемые внутри защищённых окружений операционные системы в полной мере не реализуют современные методы блокирования атак (например, защиту от переполнения стека), что позволяет использовать выявленные уязвимости для совершения реальных атак. Проблемы проявляются во всех устройствах на чипах Qualcomm и устройствах на чипах Trustonic Kinibi версии до 400 (т.е. все устройства на базе Samsung Exynos, кроме Galaxy S8 и S8 Plus).

Для получения контроля над компонентами защищённого окружения достаточно найти уязвимость в выполняемых в данном окружении обработчиках, которые написаны без использования языков, обеспечивающих безопасные методы работы с памятью, и содержат типовые ошибки, свойственные коду на языке Си. Например, продемонстрированы методы эксплуатации, которые манипулируют переполнением стека в запускаемом внутри защищённого окружения обработчике одноразовых паролей (OTP). Эксплуатация производится через передачу слишком больших значений токенов, не вмещающихся в буфер, созданный на основании передаваемого в составе команды аргумента с размером токена.

Таким образом атака на компоненты защищённой ОС напоминает эксплуатацию уязвимостей в ядре ОС, осуществляемую через манипуляцию с системными вызовами. Но в случае защищённого окружения проблема усложняется тем, что многими производителями смартфонов не предусмотрено средств для отзыва защищённых обработчиков и выявленную уязвимость становится не так просто исправить - появляется возможность применять старые уязвимые обработчики для получения контроля за защищённым окружением, т.е. выявленную уязвимость можно использовать неопределённое время. Во многих случаях обработчики связаны с выполнением привилегированных операций в системе, что при успешной атаке позволяет не только получить доступ к данным, связанным с обработчиком, но и получить контроль над всем устройством.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46911

Выпуск децентрализованного коммуникационного клиента Ring 1.0


Представлен стабильный выпуск децентрализованной коммуникационной платформы Ring 1.0, развиваемой в рамках проекта GNU. В отличие от традиционных коммуникационных клиентов Ring способен передавать сообщения без обращения к внешним серверам через организацию прямого соединения между пользователями с применением оконечного шифрования (End-to-end, ключи присутствуют только на стороне клиента) и аутентификации на основе сертификатов X.509. Код распространяется под лицензией GPLv3. Бинарные сборки подготовлены для GNU/Linux (Debian, Ubuntu, Fedora), Windows, macOS и Android.

Кроме защищённого обмена сообщениями, программа позволяет совершать голосовые и видео-звонки, создавать телеконференции, обмениваться файлами, организовывать совместный доступ к файлам и содержимому экрана. Программа поддерживает различные кодеки (G711u, G711a, GSM, Speex, Opus, G.722) и протоколы (ICE, SIP, TLS), обеспечивает надёжное шифрование видео, голоса и сообщений. Имеется режим совместимости с программными телефонами на базе SIP, который может использоваться для совершения звонков при помощи SIP-аккаунта. Из сервисных функций можно отметить переадресацию и удержание вызовов, запись звонков, история вызовов с поиском, автоматический контроль громкости, интеграция с адресными книгами GNOME и KDE.

Для идентификации пользователя в Ring применяется децентрализованный глобальный механизм аутентификации учётных записей, основанный на реализации адресной книги в форме блокчейна (применяются наработки проекта Ethereum). Один идентификатор пользовтеля (RingID) может использоваться одновременно на нескольких устройствах и позволяет связываться с пользователем независимо от того, какое из устройств активно, без необходимости поддержания разных идентификаторов на смартфоне и ПК. Адресная книга, отвечающая за трансляцию имён в RingID, хранится на группе узлов, поддерживаемых разными участниками, в том числе можно запустить свой узел для поддержания локальной копии глобальной адресной книги (Ring также реализует отдельную внутреннюю адресную книгу, поддерживаемую клиентом).

Для адресации пользователей в Ring применяется протокол OpenDHT (распределённая хэш таблица), без применения централизованных реестров c информацией о пользователях. Основу Ring составляет фоновый процесс LibRing, который отвечает за обработку соединений, организацию связи, работу с видео и звуком. Взаимодействие с LibRing построено при помощи библиотеки LibRingClient, которая служит основой для построения клиентского ПО и предоставляет всю типовую функциональность, не привязанную к интерфейсу пользователя и платформам. Поверх LibRingClient создаются непосредственно клиентские приложения, что позволяет достаточно просто создавать и поддерживать различные интерфейсы.



Источник: http://www.opennet.ru/opennews/art.shtml?num=46908


Новинки


страницы: