Поток богатств теряется в песках расточительности.

Жена кричит из ванной, в надежде на то, что муж придёт убирать в кошачьем лотке: ...

Фонд свободного ПО сертифицировал микрофон, 2 Wi-Fi и 4 Ethernet адаптера
Fri, 22 Mar 2019 08:19:56 +0300

Из-за изменения правил в Google Play оставлена урезанная версия KDE Connect
Tue, 19 Mar 2019 23:21:37 +0300

Cloudflare представил инструменты для выявления перехвата HTTPS
Tue, 19 Mar 2019 10:20:22 +0300

Завершено преобразование SUSE в независимую компанию
Sat, 16 Mar 2019 10:45:14 +0300

GitHub меняет политику конфиденциальности и условия соблюдения санкций
Fri, 15 Mar 2019 08:47:25 +0300

Новые проекты Linux Foundation по финансированию, безопасности и совместной разработке СПО
Thu, 14 Mar 2019 21:49:39 +0300

Amazon представил редакцию Elasticsearch, решающую проблемы с открытостью кода
Thu, 14 Mar 2019 10:05:38 +0300

Debian 10 "Buster" перешёл на стадию полной заморозки перед релизом
Wed, 13 Mar 2019 08:20:14 +0300

Компания Mozilla ввела в строй сервис обмена файлами Firefox Send
Tue, 12 Mar 2019 20:11:34 +0300

Google, SiFive и WD основали альянс для продвижения открытых чипов и SoC
Tue, 12 Mar 2019 11:36:21 +0300

Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
Tue, 12 Mar 2019 10:31:02 +0300

Microsoft портировал DTrace для Windows
Tue, 12 Mar 2019 10:03:09 +0300

Компания F5 Networks поглотила NGINX за 670 млн долларов
Tue, 12 Mar 2019 06:46:18 +0300

Google представил инициативу по стимулированию написания документации для СПО
Mon, 11 Mar 2019 22:22:06 +0300

Отчёт SPI о пожертвованиях Debian, X.Org, systemd, FFmpeg, OpenWrt и другим проектам
Mon, 11 Mar 2019 19:39:18 +0300

Новости OPENNET
Новости

В популярном браузерном дополнении Stylish, которое установлено на системах около 1.9 млн пользователей Chrome и 300 тысяч пользователей Firefox, выявлен код, который осуществляет отправку сведений об истории посещений. В прошлом году дополнение было продано компании SimilarWeb, специализирующейся на web-аналитике, и новый владелец добавил в дополнение код для отправки телеметрии. Изучение этого кода показало, что кроме заявленной общей обезличенной статистики на внешний сервер передаются полные URL страниц, которые посещает пользователь.

Примечательно, что разработчик пытался скрыть данную особенность и передавал статистику на сервер "api.userstyles.org/tics/stats" в виде закодированного бинарного блоба. Один из пользователей заинтересовался подобной особенностью, декодировал и проанализировал состав передаваемых данных (для скрытия применялось два вложенных цикла кодирования методом base64). Вопреки заявлениям, что передается только анонимная статистика о числе открытых страниц, вовне отправлялись конкретные URL с привязкой к IP-адресу, уникальному идентификатору пользователя и учётной записи в каталоге шаблонов оформления userstyles.org.

В том числе передавались URL с присутствующими среди параметров токенами аутентификации и сессионными идентификататорами (например, "mysocialnetwork.com/inbox?login_token=fsdj90d..."), что потенциально может применяться для получение контроля за учётными данными пользователя. Даже если компания SimilarWeb не заинтересована в проведении атак, в случае компрометации её инфраструктуры злоумышленник, например, может отследить запросы с кодом изменения пароля ("mysocialnetwork.com/password-reset?reset_token=a5dJ3...") и завершить процесс сброса пароля раньше реального пользователя. На серверы SimilarWeb также передаются различные одноразовые уникальные URL для просмотра данных ограниченного доступа и ссылки вида "linkedin.com/in/robertjheaton/edit", по которым можно косвенно судить о статусе пользователя.

После информирования о нарушении правил размещения дополнения в каталоге компания Google удалила дополнение из Chrome Web Store. Разработчики Mozilla также

удалили Stylish из своего каталога дополнений и поместили дополнение в чёрный список, что приведёт к его блокировке на системах пользователей после очередного обновления браузера.

Stylish позволяет на свой вкус изменять оформление любых сайтов, в том числе энтузиастами подготовлено несколько скинов с вариантами тёмного оформления opennet.ru. В качестве альтернативы для изменения стиля страниц существующих сайтов предлагается использовать дополнение Stylus (Firefox, Сhrome), в рамках которого развивается независимое ответвление от Stylish. Проект Stylus был создан вскоре после перехода Stylish в руки нового владельца и его заявления о желании встроить отправку телеметрии (выполнен форк последнего выпуска, подготовленного первоначальным автором проекта).

63.7705 72.5900 0.5756 9.5099

НОВОСТИ: Релиз набора компиляторов LLVM 8.0 Wed, 20 Mar 2019 22:59:20 +0300

После шести месяцев разработки представлен релиз проекта LLVM 8.0 (Low Level Virtual Machine) - GCC-совместимого инструментария (компиляторы, оптимизаторы и генераторы кода), компилирующего программы в промежуточный биткод RISC-подобных виртуальных инструкций (низкоуровневая виртуальная машина с многоуровневой системой оптимизации). Сгенерированный псевдокод может быть преобразован при помощи JIT-компилятора в машинные инструкции непосредственно в момент выполнения программы.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome