Интернет браузеры

Автор vladimir1949, 29 Червень 2020, 12:35:27

Попередня тема - Наступна тема

0 Користувачі і 1 Гість дивляться цю тему.

vladimir1949

Chrome, Firefox и Safari ограничат время жизни TLS-сертификатов 13 месяцами
28.06.2020 21:17

Разработчики проекта Chromium внесли изменение, прекращающее доверие к TLS-сертификатам, время жизни которых превышает 398 дней (13 месяцев). Компании Apple и Mozilla ранее приняли решение ввести аналогичное ограничение в Safari и Firefox. Ограничение будет действовать только для сертификатов, выписанных начиная с 1 сентября 2020 года. Для полученных до 1 сентября сертификатов с длительным сроком действия доверие будет сохранено, но ограничено 825 днями (2.2 года). Попытка открытия в браузере сайта с сертификатом, не соответствующим упомянутым критериям, будет приводить к отображению ошибки "ERR_CERT_VALIDITY_TOO_LONG".

В прошлом и позапрошлом годах изменение было выставлено на голосование участниками ассоциации CA/Browser Forum, которая используется как площадка для согласования совместных решений производителями браузеров и удостоверяющими центрами. Ранее производителям браузеров удалось отстоять сокращение времени жизни сертификатов вначале до 8, затем до 5, а потом и до 3 лет. В 2018 году была предпринята попытка сокращения действия до года, но, в конечном счёте, было утверждено компромиссное решение и срок был ограничен двумя годами. В прошлом году попытка повторилась, но решение по ограничению срока действия сертификатов до одного года не было утверждено из-за несогласия большинства удостоверяющих центров. В феврале 2020 года компания Apple решила ввести ограничения без согласования в CA/Browser Forum, в марте к инициативе присоединилась компания Mozilla, а теперь и Google.

Изменение может негативно отразиться на бизнесе удостоверяющих центров, продающих дешёвые сертификаты с длительным сроком действия, доходящим до 5 лет. По мнению производителей браузеров генерация подобных сертификатов создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома.

vladimir1949

Релиз Firefox 78
30.06.2020 18:25

Состоялся релиз web-браузера Firefox 78, а также мобильной версии Firefox 68.10 для платформы Android. Выпуск Firefox 78 отнесён к категории веток с длительным сроком поддержки (ESR), обновления для которых выпускаются в течение года. Кроме того, сформировано обновление прошлой ветки с длительным сроком поддержки 68.10.0 (в дальнейшем ожидается ещё два обновления 68.11 и 68.12). В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 79, релиз которой намечен на 28 июля.

Основные новшества:

Spoiler
    Расширена сводная страница (Protections Dashboard) с отчётами об эффективности работы механизмов защиты от отслеживания перемещений, проверки компрометации учётных данных и управления паролями. В новом выпуске появилась возможность просмотреть статистику использованию скомпрометированных учётных данных, а также отследить возможные пересечения сохранённых паролей с известными утечками пользовательских баз. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 9.7 миллиардах учётных записей, похищенных в результате взломов 456 сайтов. Сводка предоставляется на странице "about:protections" или через меню, вызываемое через клик на значок щита в адресной строке (вместо Show Report теперь показывается Protections Dashboard).



    В Uninstaller добавлена кнопка "Refresh Firefox", позволяющая сбросить в исходное состояние настройки и удалить все дополнения без потери накопившихся данных. В случае проблем пользователи часто пытаются решить их переустановкой браузера. Кнопка Refresh позволит добиться подобного эффекта не потеряв закладки, историю посещений, сохранённые пароли, Cookie, подключённые словари и данные для автозаполнения форм (при нажатии кнопки создаётся новый профиль и в него переносятся указанные БД). После нажатия Refresh будут потеряны дополнения, темы оформления, сведения о правах доступа, подключённые поисковые движки, локальные DOM-хранилища, сертификаты, изменённые настройки, пользовательские стили (userChrome, userContent).



    В показываемое для вкладок контекстное меню добавлены элементы для отмены закрытия нескольких вкладок, а также для закрытия вкладок справа от текущей и закрытия всех вкладок, кроме текущей.



    Обеспечено отключение срабатывания хранителя экрана во время осуществления видеозвонков и конференций на базе WebRTC.

    На платформе Windows для GPU Intel при любых разрешения экрана включена система композитинга WebRender, написанная на языке Rust и позволяющая добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU. WebRender выносит на сторону GPU операции отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. Ранее WebRender был включён на платформе Windows 10 для GPU Intel при использовании небольших экранных разрешений, а также на системах с APU AMD Raven Ridge, AMD Evergreen и на ноутбуках с видеокартами NVIDIA. В Linux WebRender пока активируется для карт Intel и AMD только в ночных сборках, и не поддерживается для карт NVIDIA. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.

    До 100% доведена доля пользователей из Великобритании, для которых на странице новой вкладки включено отображение контента, рекомендованного сервисом Pocket. Ранее подобные страницы показывалась только пользователям из США, Канады и Германии. Оплаченные спонсорами блоки показывается только в США и явно помечены как реклама. Связанная с подбором контента персонализация выполняется на стороне клиента и без передачи сведений о пользователе третьим лицам (в браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений). Для отключения рекомендованного Pocket контента предусмотрена настройка в конфигураторе (Firefox Home Content/Recommended by Pocket) и опция "browser.newtabpage.activity-stream.feeds.topsites" в about:config.

    Включены патчи, влияющие на производительность и стабильность аппаратного ускорения декодирования видео при помощи VA-API (поддерживается только в окружениях на базе Wayland).

    Повышены требования к системным компонентам Linux. Для запуска Firefox в Linux теперь требуется как минимум Glibc 2.17, libstdc++ 4.8.1 и GTK+ 3.14.

    Следуя плану по прекращению поддержки устаревших криптоалгоритмов по умолчанию отключены все наборы шифров TLS на базе DHE (TLS_DHE_*, протокол обмена ключей Диффи — Хеллмана). Для снижения возможного негативного влияния от отключения DHE добавлено два новых набора шифров AES-GCM на базе SHA2.

    Отключена поддержка протоколов TLS 1.0 и TLS 1.1. Для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. По данным Google в настоящее время около 0.5% загрузок web-страниц продолжает осуществляться с использованием устаревших версий TLS. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). Вернуть возможность работы с устаревшими версиями TLS можно через настройку security.tls.version.enable-deprecated = true или при помощи кнопки на странице с ошибкой, выводимой при заходе на сайт со старым протоколом.

    Существенно улучшено качество работы с экранными ридерами для людей с нарушением зрения (решились проблемы с позиционированием курсора, устранены подвисания, ускорена обработка очень больших таблиц и т.п.). Для пользователей с мигренью и эпилепсией сокращены анимационные эффекты, такие как подсвечивание вкладок и расширение поисковой панели.

    Для предприятий в групповые политики добавлены новые правила для настройки внешних приложений-обработчиков, отключения режима картинка-в-картинке, обязательности задания мастер-пароля.

    В JavaScript-движке SpiderMonkey обновлена подсистема обработки регулярных выражений, которая синхронизирована с реализацией из JavaScript-движка V8, применяемого в браузерах на основе проекта Сhromium. Изменение позволило реализовать поддержку следующих возможностей, связанных с регулярными выражениями:
        Именованные группы позволяют связать сопоставленные регулярным выражением части строки с определёнными именами вместо порядковых номеров совпадений (например, вместо "/(\d{4})-(\d{2})-(\d{2})/" можно указать "/(?<year>\d{4})-(?<month>\d{2})-(?<day>\d{2})/" и получить доступ к году не через result[1], а через result.groups.year).

        Экранирование классов Unicode-символов добавляет конструкции \p{...} и \P{...}, например, \p{Number} определяет все возможные знаки с изображением цифр (включая символы вида ①), \p{Alphabetic} - буквы (в том числе иероглифы), \p{Math} - математические символы и т.п.

        Флаг dotAll приводит к срабатыванию маски "." в том числе для символов перевода строки.

        Режим Lookbehind позволяет определить в регулярном выражении, что один шаблон предшествует другому (например, сопоставить сумму в долларах без захвата знака доллара).

    Реализованы псевдоклассы CSS :is() и :where() для привязки CSS-правил к набору селекторов. Например, вместо

       header p:hover, main p:hover, footer p:hover {...}

    можно указать

       :is(header, main, footer) p:hover {...}

    Включены псевдоклассы CSS :read-only и :read-write для привязки к элементам форм (input или textarea), которые запрещено или разрешено редактировать.

    Добавлена поддержка метода Intl.ListFormat() для создания локализованных списков (например, замены "or" на "или", "and" на "и").

       const lf = new Intl.ListFormat('en');
       lf.format(['Frank', 'Christine', 'Flora']);
       // → 'Frank, Christine, and Flora'
       // при локали "ru" будет 'Frank, Christine и Flora'

    В метод Intl.NumberFormat добавлена поддержка форматирования единиц измерения, валют, научных и компактных обозначений (например, "Intl.NumberFormat('en', {style: 'unit', unit: 'meter-per-second'}");

    В консоли для web-разработчиков обеспечено детализированное журналирование ошибок, связанных с Promise, включая сведения об именах, стеках и свойствах, что существенно упрощает разбор ошибок при использовании таких фреймворков, как Angular.



    В отладчике JavaScript реализована возможность раскрытия сокращённых имён переменных на основе source-map при использовании точек журналирования (Log points), позволяющих в момент срабатывания метки сбрасывать в web-консоль информацию о номере строки в коде и значениях переменных.

    В интерфейсе инспектирования сети добавлены сведения о расширениях и CORS-ограничениях (Cross-Origin Resource Sharing), которые могут блокировать запрос.



Кроме новшеств и исправления ошибок в Firefox 78 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

vladimir1949

В Opera появился музыкальный плеер
12 Окт, 2020



Браузер Opera получил новую функцию — встроенный музыкальный плеер. Плеер находится на боковой панели браузера, что делает прослушивание музыки более удобным для пользователей, передает Comss.ru.

Spoiler
Согласно данным, прослушивание музыки в Opera можно запустить одним кликом по иконке на боковой панели, что намного удобнее, нежели в некоторых популярных браузерах. При нажатии отображаются все доступные аудиосервисы, на данный момент поддерживаются Apple Music, Spotify и YouTube Music.

    «Обычно если вы прослушиваете музыку в браузере, то вам приходится переключаться между различными окнами или вкладками. Конечно, в некоторых браузерах, таких как Firefox и Chrome, предусмотрены глобальные параметры для управления воспроизведением. Это удобно, но вам все равно приходится к обращаться к музыкальным сервисам для выполнения определенных операций, таких как переключение плейлистов или добавление текущего треке в плейлист», — отмечает ресурс.

Примечательно, что воспроизведение продолжается, даже когда интерфейс боковой панели скрыт. Пользователь может настраивать боковую панель и скрывать сервисы, которые не использует. Также можно изменить размер вспомогательного окошка или закрепить его на экране, или же вовсе скрыть боковую панель.

vladimir1949

Релиз браузеров Vivaldi 3.4 для ПК и Android
15.10.2020 15:45

Состоялся одновременный релиз браузеров Vivaldi 3.4 для ПК и Android. Vivaldi разрабатывается на базе движка Chromium и продолжает развитие идей классического браузера Opera, предоставляя широкий спектр возможностей, включая систему группировки вкладок, боковую панель, конфигуратор с большим числом настроек, режим блокировки изображений и нежелательного контента, систему ведения заметок, режим горизонтального отображения вкладок.

Интерфейс браузера написан на языке JavaScript с использованием библиотеки React, платформы Node.js, Browserify и различных готовых NPM-модулей. Сборки Vivaldi подготовлены для Linux, Windows, Android и macOS. Для прошлых выпусков проект под открытой лицензией распространяет исходные тексты изменений к Chromium. Реализация интерфейса Vivaldi написана на JavaScript, доступна в исходных текстах, но под проприетарной лицензией.

В новых версиях добавлены следующие изменения:

 
Spoiler
  Настраиваемые контекстные меню;



Поддержка вставки собственных ссылок в контекстное меню;



Автообновление вкладок с указанной периодичностью;



Новые опции размещения вкладок;
Создание папок на Экспресс-панели перетаскиванием ячеек;
Установка локальной картинки для профиля;
В версии для Android предложены расширенные опции отображения Экспресс-панели, под новый дизайн адаптировано главное меню;

 

Появилась встроенная аркадная игра в стиле 80-х, работающая в онлайн и офлайн режиме.


vladimir1949

Microsoft опубликовал тестовую сборку браузера Edge для Linux
21.10.2020 08:55

Компания Microsoft опубликовала первую тестовую сборку браузера Edge для платформы Linux. Версия для Linux распространяется через сайт Microsoft Edge Insiders и репозиторий Linux Software Repository в форме rpm- и deb-пакетов для Ubuntu, Debian, Fedora и openSUSE. Сборку планируют обновлять еженедельно.

Spoiler
Возможности для конечных пользователей в Edge для Linux пока отстают от вариантов для Windows и macOS, но браузер вполне пригоден для разработчиков, которые желают использовать платформу Linux для проверки своих сайтов и приложений на совместимость с Edge. Web-платформа, инструменты для разработчиков, API для дополнений и средства для автоматизированного тестирования доведены до паритета со сборками для других платформ.

Из ограничений отмечается возможность привязки только к локальной учётной записи (подключение к учётным записям в Microsoft Account и AAD не поддерживается), а также отсутствие возможности синхронизации настроек, закладок и истории навигации. Сборка основана на тестовой кодовой базе Chromium 88. В браузере включена отправка диагностических данных и телеметрии, при этом отключить можно лишь часть телеметрии, связанной с анализом работы пользователя с браузером, отправкой отчётов о крахах и передачей сведений о посещаемых сайтах.

Напомним, что в позапрошлом году компания Microsoft начала развитие новой редакции браузера Edge, переведённой на движок Chromium. В процессе работы над новым браузером компания Microsoft присоединилась к сообществу, разрабатывающему Chromium, и начала возвращать в проект создаваемые для Edge улучшения и исправления. Например, в Chromium были переданы улучшения, связанные с технологиями для людей с ограниченными возможностями, управлением с сенсорных экранов, поддержкой архитектуры ARM64, повышением удобства прокрутки, обработкой мультимедийных данных. Проведена оптимизация и доработка бэкенда D3D11 для ANGLE, прослойки для трансляции вызовов OpenGL ES в OpenGL, Direct3D 9/11, Desktop GL и Vulkan. Открыт код развиваемого в Microsoft движка WebGL.

сергей 999s

Релиз Opera 72: Улучшения функции поиска по вкладкам

21 октября 2020 года компания Opera Software выпустила новую версию Opera 72 для систем Windows, macOS и Linux
Spoiler
Новая версия Opera 72 доступна для Windows, MacOS и Linux.

Улучшения функции поиска по вкладкам

В новой версии улучшена функция поиска по вкладкам. Теперь пользователям стало легче находить нужную вкладку благодаря сортировке результатов по релевантности. Результаты поиска сортируются по количеству совпадений ключевых слов в контенте, начиная с наибольшего числа совпадений.

В результатах поиска вкладки отсортированы в следующем порядке:

    Совпадения в заголовке
    Совпадения в URL-адресе
    Совпадения в содержимом веб-страницы (только открытые вкладки)

Opera 72 построена кодовой базе старой версии Chromium (86.0.4240.80), но включает важное исправление уязвимости CVE-2020-15999.
AX 4K-BOX HD51

vladimir1949

Microsoft Edge научился создавать ссылки на текст без помощи расширений

До этого можно было генерировать ссылки на выделенный текст веб-страницы, используя соответствующие расширения

Новый Microsoft Edge поддерживает функцию Chrome Scroll to Text Fragment, которая позволяет формировать ссылки на отдельные слова, фразы или выделенный текст. Однако создание ссылок таким образом является довольно обременительным процессом, поэтому компания Google выпустила специальное расширение, чтобы упростить эту задачу. Для этих целей также подходят и закладки. Теперь браузер Microsoft может создавать такие ссылки без необходимости использовать сторонние решения.

Spoiler
Не так давно Google интегрировал в Chrome функцию ссылки на фрагмент текста. Чтобы воспользоваться ею, нужно активировать соответствующий флаг на странице экспериментальных настроек браузера. После этого пользователи могут просматривать веб-страницы, выделять отдельные слова или целые абзацы и генерировать на них ссылки, выбрав соответствующую опцию в контекстном меню. Аналогичное решение появилось в Edge Canary, и активировать его можно следующим образом:

    Откройте страницу edge://flags.
    Найдите флаг «Copy link to text».
    В раскрывающемся списке напротив выберите «Включено».
    Перезагрузите браузер.



После этого достаточно выделить текст, щёлкнуть правой кнопкой мыши и выбрать «Copy link to text» («Скопировать ссылку на текст»). Браузер скопирует блок текста в кавычках, за которым следует URL страницы. После вставки в адресную строку новой вкладки необходимо удалить цитируемый текст и нажать Enter. Edge откроет ту самую страницу, прокрутит до нужного места и выделит фрагмент.

Функция поддерживается только на Chromium, поэтому пользователям Firefox можно посоветовать расширение.

vladimir1949

В браузере Microsoft Edge появились функции, облегчающие онлайн-шопинг
20.11.2020 [18:31]

Разработчики из Microsoft продолжают активно развивать свой новый браузер Edge на базе Chromium. На этот раз в обозреватель были добавлены функции для более удобного и комфортного онлайн-шопинга, такие как встроенный инструмент сравнения цен и средство автоматического поиска купонов со скидками.

Spoiler


Прежде всего стоит отметить появившуюся возможность сравнения цен на какой-либо товар без необходимости устанавливать дополнительный плагин. Для этого даже не требуется добавлять товар в коллекцию. Достаточно просто нажать на синюю иконку справа от адресной строки, после чего перед пользователям появится всплывающее окно с информацией о том, сколько стоит просматриваемый товар на других площадках. Здесь же размещаются прямые ссылки на товар, позволяющие быстро перейти к его просмотру, если нашлось что-то привлекательное. Если же пользователь уже находится на сайте, где товар продаётся по самой привлекательной цене, браузер уведомит об этом.

Этот же синий значок, расположенный справа от адресной строки, предназначен для поиска купонов со скидками. При посещении какой-либо торговой площадки браузер подскажет, имеются ли какие-то действующие скидки или купоны, которые могут использоваться в текущий момент для того, чтобы помочь вам сэкономить. Перед самой покупкой также можно использовать Edge для применения к выбранному товару всех действующих скидок, чтобы понять, какой вариант будет самым выгодным.

Конечно, представленные функции можно получить с помощью сторонних расширений. Однако в случае, когда они изначально поставляются вместе с браузером, такая необходимость отсутствует.

vladimir1949

Mozilla работает над новым оформлением браузера Firefox
03.01.2021 [13:20]

Стало известно о том, что разработчики из компании Mozilla планируют обновить интерфейс собственного веб-обозревателя Firefox. Изменения затронут многие элементы браузера, в том числе адресную строку, панель вкладок, основное и контекстное меню. Если планы разработчиков не будут нарушены, то новый интерфейс появится вместе с Firefox 89, запуск которого намечен на 18 мая.

Согласно имеющимся данным, разработчики изменят стиль оформления вкладок и всплывающих подсказок, в которых будут выводиться эскизы веб-страниц и отформатированный текст. Наборы вкладок будут группироваться и выводиться на соответствующую панель в виде отдельного виджета.

Также сообщается о разработке компактного режима, в котором список вкладок будет размещаться сбоку, благодаря чему удастся сэкономить вертикальное пространство. Разработчики намерены упростить контекстные меню области контента, панели и вкладок, которые по умолчанию будут скрывать используемые редко элементы.

vladimir1949

Прощай, молодость: Google Chrome стал терять пользовательскую аудиторию
03.01.2021 [22:52]

Популярный браузер Chrome начал медленно, но верно сдавать позиции на мировом рынке веб-обозревателей для десктопов: согласно статистическим сведениям StatCounter, за последние несколько месяцев доля детища Google впервые сократилась более чем на 6 процентных пунктов.

Spoiler
По данным аналитической компании StatCounter, в настоящий момент Google Chrome задействован на 64,1 % персональных компьютерах с подключением к глобальной сети (для сравнения: в октябре 2020 года этот показатель составлял внушительные 70,3 процента). Вторую строчку в рейтинге по количеству аудитории удерживает Safari (доля рынка 11,7 %, рост по сравнению с октябрём прошлого года 2,8 п. п.). На третьей позиции с 8,5 процентами фигурирует Firefox (+0,8 п. п.). Неплохую динамику в течение года продемонстрировал новый Microsoft Edge на основе исходных кодов проекта Chromium, сумевший за год с нуля привлечь 8,1 % пользователей ПК. Естественно, не без стараний и привлечения усилий со стороны софтверного гиганта.

Налицо смещение вектора интересов интернет-аудитории в сторону софтверной продукции Microsoft и Apple. Компании Google определённо есть, над чем призадуматься.

В мобильной сфере, затрагивающей пользователей смартфонов и планшетов, лидирующую позицию также удерживает Chrome с 61 % аудитории. Вторым по популярности является Safari (25,9 % рынка), третьим — Samsung Internet Browser (6,2 %). Примерно 2,4 процента владельцев гаджетов отдают предпочтение китайскому UC Browser.

С полной версией отчёта StatCounter можно ознакомиться на сайте gs.statcounter.com.

vladimir1949

Самый популярный в мире браузер Google Chrome для ПК позаимствовал у Android ускоряющую функцию

Страницы повторно открываются быстрее

Компания Google готовится запустить для десктопных версий браузера Google Chrome новую функцию, которая позволит ему работать быстрее.

В прошлом году Google запустила поддержку технологии кэширования страниц back-forward cache на Android, которая обеспечивает мгновенную загрузку страницы, когда пользователи перемещаются с помощью кнопок «назад» или «вперед».

Spoiler
Согласно обнаруженному энтузиастами новому документу, обновление Google Chrome 92 также включит поддержку по умолчанию для такого кеширования на платформах Windows, Linux и macOS.

Сейчас, если вы открываете и закрываете страницу в Google Chrome, она немедленно выгружается из памяти. Почти два года Google тестировала кэш back-forward, чтобы быстрее открывать страницы, когда пользователи нажимают кнопку «назад» или «вперед».

Когда технологию окончательно реализуют в браузере, пользователи смогут быстро повторно открывать посещённые ранее страницы, не загружая их заново. Эта функция позволит кнопкам Google Chrome «Назад» и «Вперед» работать почти мгновенно.

В настоящее время Google планирует начать «экспериментальное внедрение» Chrome 92 и расширить охват в ближайшие месяцы. Пока не ясно, когда эту функцию активируют для всех пользователей, но заинтересованные пользователи могут вручную включить её на странице экспериментальных функций в Chrome.

По статистике StatCounter по состоянию на апрель 2021 года, Google Chrome продолжает доминировать на рынке браузеров с долей заметно превышающей 60%.


vladimir1949

В четвертом квартале стабильные выпуски обновлений Google Chrome OS будут переведены на 4-недельный цикл


Ранее в этом году Google объявила о переходе на 4-недельный цикл выпуска стабильных обновлений для браузера Chrome, начиная с третьего квартала. Теперь, несколько месяцев спустя, компания объявляет об аналогичном изменении для Chrome OS.

Прямо сейчас Google выпускает новое стабильное обновление Chome OS каждые 6 недель. Согласно новому сообщению (через 9to5Google ) руководителя TPM по выпуску Chrome OS Марины Казаткер, продолжительность будет сокращена до 4 недель, начиная с M96 в четвертом квартале.

Этим шагом компания стремится быстро предоставлять клиентам новые функции. Кроме того, поисковый гигант продолжит уделять приоритетное внимание ключевым принципам Chrome OS - безопасности, стабильности, скорости и простоте.

Кроме того, Google также представит новый шестимесячный стабильный канал обновлений для корпоративных пользователей и пользователей образовательных учреждений после выпуска M96 в четвертом квартале. Это будет действительно полезно для администраторов, которые управляют огромным количеством устройств.

Как упоминалось в начале, браузер Chrome перейдет на 4-недельный выпуск в третьем квартале с M94. В результате, чтобы преодолеть разрыв между этим и 4-недельным выпуском Chrome OS из четвертого квартала с M96, Google пропустит M95 для Chrome OS.

vladimir1949

Выпуск новой стабильной ветки Tor 0.4.6
15.06.2021 07:17

Представлен выпуск инструментария Tor 0.4.6.5, используемого для организации работы анонимной сети Tor. Версия Tor 0.4.6.5 признана первым стабильным выпуском ветки 0.4.6, которая развивалась последние пять месяцев. Ветка 0.4.6 будет сопровождаться в рамках штатного цикла сопровождения - выпуск обновлений будет прекращён через 9 месяцев или через 3 месяца после релиза ветки 0.4.7.x. Длительный цикл поддержки (LTS) обеспечен для ветки 0.3.5, обновления для которой будут выпускаться до 1 февраля 2022 года. Одновременно сформированы выпуски Tor 0.3.5.15, 0.4.4.9 и 0.4.5.9 в которых устранены DoS-уязвимости, позволяющие вызвать отказ в обслуживании клиентов onion-сервисов и релеев.

Основные изменения:

Spoiler
Добавлена возможность создания onion-сервисов на базе третьей версии протокола с аутентификацией доступа клиентов через файлы в каталоге 'authorized_clients'.

Для релеев добавлен признак, позволяющий оператору узла понять, что релей не включён в консенсус в процессе выбора серверами директорий (например, когда слишком много релеев на одном IP-адресе).

Обеспечена возможность передавать сведения о перегрузке в данных extrainfo, которые могут использоваться при балансировке нагрузки в сети. Передача метрики контролируется при помощи опции OverloadStatistics в torrc.

В подсистему защиты от DoS-атак добавлена возможность ограничения интенсивности соединений клиентов к релеям.

В релеях реализована публикация статистики о числе onion-сервисов на базе третьей версии протокола и объёме их трафика.

Из кода для релеев удалена поддержка опции DirPorts, которая не используется для данного типа узлов.

Проведён рефакторинг кода. Подсистема защиты от DoS-атак перемещена в менеджер subsys.
Прекращена поддержка старых onion-сервисов на базе второй версии протокола, который был объявлен устаревшим год назад. Полностью удаление кода, связанного со второй версией протокола ожидается осенью. Вторая версия протокола была разработана около 16 лет назад и из-за применения устаревших алгоритмов в современных условиях не может считаться безопасной. Два с половиной года назад в выпуске 0.3.2.9 пользователям была предложена третья версия протокола для onion-сервисов, примечательная переходом на 56-символьные адреса, более надёжной защитой от утечек данных через серверы директорий, расширяемой модульной структурой и использованием алгоритмов SHA3, ed25519 и curve25519 вместо SHA1, DH и RSA-1024.

Устранены уязвимости:

CVE-2021-34550 - обращение к области памяти вне выделенного буфера в коде для парсинга дескрипторов onion-сервисов на базе третьей версии протокола. Атакующий может через размещение специально оформленного дескриптора onion-сервиса инициировать крах любого клиента, попытавшегося обратиться к этому onion-сервису.

CVE-2021-34549 - возможность проведения атаки для вызова отказа в обслуживании релеев. Атакующий может сформировать цепочки с идентификаторами, вызывающими коллизии в хэш-функции, обработка которых приводит к большой нагрузке на CPU.

CVE-2021-34548 - релей мог выполнить спуфинг ячеек RELAY_END и RELAY_RESOLVED в наполовину закрытых потоках, что позволяло завершить поток, который был создан без участия данного релея.

TROVE-2021-004 - добавлены дополнительные проверки сбоев при обращении генератору случайных чисел OpenSSL (с вызываемой по умолчанию реализацией RNG в OpenSSL подобные сбои не проявляются).