Тот, кто ищет миллионы, весьма редко их находит, но зато тот, кто их не ищет, - не находит никогда!

Вовочка спрашивает у учительницы: ...

Google, Microsoft, Twitter и Facebook основали проект по обеспечению переносимости данных
Fri, 20 Jul 2018 20:44:55 +0300

Началось формирование ASan-сборок Firefox для выявления проблем при работе с памятью
Fri, 20 Jul 2018 09:23:16 +0300

В Google ведётся обсуждение возможной замены Android на ОС Fuchsia
Thu, 19 Jul 2018 23:45:05 +0300

В ночные сборки Firefox добавлен WebRender, использующий GPU для отрисовки web-страниц
Thu, 19 Jul 2018 20:50:32 +0300

Евросоюз оштрафовал Google на 4.3 млрд евро за навязывание своих сервисов в Android
Wed, 18 Jul 2018 20:47:49 +0300

В компилятор LDC языка D добавлена поддержка WebAssembly
Wed, 18 Jul 2018 10:36:25 +0300

Slackware Linux исполнилось 25 лет
Tue, 17 Jul 2018 08:16:55 +0300

Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
Mon, 16 Jul 2018 22:05:36 +0300

Оценка безопасности новой системы контейнерной изоляции Nabla
Mon, 16 Jul 2018 10:58:41 +0300

Гвидо ван Россум решил отстраниться от руководства проектом Python
Thu, 12 Jul 2018 20:23:38 +0300

Debian вошёл в консультативный cовет проекта KDE
Thu, 12 Jul 2018 12:43:41 +0300

Для Thunderbird и SeaMonkey введён в строй отдельный каталог дополнений
Tue, 10 Jul 2018 22:22:36 +0300

Airbus и IBM подготовили интеллектуальный помощник для МКС, работающий под управлением Ubuntu
Tue, 10 Jul 2018 11:33:35 +0300

Концепт камеры для печати фотографии в виде комиксов
Mon, 09 Jul 2018 09:58:50 +0300

DirectX Shader Compiler портирован для Linux и macOS
Tue, 03 Jul 2018 20:58:59 +0300

Новости OPENNET
Новости

В популярном браузерном дополнении Stylish, которое установлено на системах около 1.9 млн пользователей Chrome и 300 тысяч пользователей Firefox, выявлен код, который осуществляет отправку сведений об истории посещений. В прошлом году дополнение было продано компании SimilarWeb, специализирующейся на web-аналитике, и новый владелец добавил в дополнение код для отправки телеметрии. Изучение этого кода показало, что кроме заявленной общей обезличенной статистики на внешний сервер передаются полные URL страниц, которые посещает пользователь.

Примечательно, что разработчик пытался скрыть данную особенность и передавал статистику на сервер "api.userstyles.org/tics/stats" в виде закодированного бинарного блоба. Один из пользователей заинтересовался подобной особенностью, декодировал и проанализировал состав передаваемых данных (для скрытия применялось два вложенных цикла кодирования методом base64). Вопреки заявлениям, что передается только анонимная статистика о числе открытых страниц, вовне отправлялись конкретные URL с привязкой к IP-адресу, уникальному идентификатору пользователя и учётной записи в каталоге шаблонов оформления userstyles.org.

В том числе передавались URL с присутствующими среди параметров токенами аутентификации и сессионными идентификататорами (например, "mysocialnetwork.com/inbox?login_token=fsdj90d..."), что потенциально может применяться для получение контроля за учётными данными пользователя. Даже если компания SimilarWeb не заинтересована в проведении атак, в случае компрометации её инфраструктуры злоумышленник, например, может отследить запросы с кодом изменения пароля ("mysocialnetwork.com/password-reset?reset_token=a5dJ3...") и завершить процесс сброса пароля раньше реального пользователя. На серверы SimilarWeb также передаются различные одноразовые уникальные URL для просмотра данных ограниченного доступа и ссылки вида "linkedin.com/in/robertjheaton/edit", по которым можно косвенно судить о статусе пользователя.

После информирования о нарушении правил размещения дополнения в каталоге компания Google удалила дополнение из Chrome Web Store. Разработчики Mozilla также

удалили Stylish из своего каталога дополнений и поместили дополнение в чёрный список, что приведёт к его блокировке на системах пользователей после очередного обновления браузера.

Stylish позволяет на свой вкус изменять оформление любых сайтов, в том числе энтузиастами подготовлено несколько скинов с вариантами тёмного оформления opennet.ru. В качестве альтернативы для изменения стиля страниц существующих сайтов предлагается использовать дополнение Stylus (Firefox, Сhrome), в рамках которого развивается независимое ответвление от Stylish. Проект Stylus был создан вскоре после перехода Stylish в руки нового владельца и его заявления о желании встроить отправку телеметрии (выполнен форк последнего выпуска, подготовленного первоначальным автором проекта).

63.4888 73.9327 0.5645 9.3656

НОВОСТИ: В компилятор LDC языка D добавлена поддержка WebAssembly Wed, 18 Jul 2018 10:36:25 +0300

В свободный компилятор LDC, развиваемый на базе наработок проекта LLVM, добавлена поддержка компиляции кода на языке D в промежуточный код WebAssembly для выполнения в web-браузерах. Представленная возможность позволяет создавать обработчики на языке D, которые можно использовать в web-приложениях. Поддержка кросс-компиляции в WebAssembly интегрирована в тестовую версию LDC 1.11.0-beta2, опубликованную несколько дней назад.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome