Главная | Настройки | NSFW
Тема:
Доски


[Ответить в тред] Ответить в тред

[Назад] [Обновить тред] [Вниз] [Каталог] [ Автообновление ] 56 / 23 / 30

Anonymous No.511
BinaryGolayCode[...].png (3 KB, 288x144)
Новостей по информационным технологиям.
Обсуждаем, делимся.
Anonymous No.512
Ruby-logo-R.svg[...].png (131 KB, 800x986)
Проект Ruby перешёл с Subversion на Git
Разработчики языка программирования Ruby объявили о миграции основного репозитория с централизованной системы контроля версий Subversion на распределённую систему управления исходными текстами Git. Разработка новой стабильной ветки ruby_2_7 и ветки trunk переведена на Git, но сопровождение веток ruby_2_4, ruby_2_5 и ruby_2_6 оставлено в SVN.

Для навигации по коду и изменениям в основном репозитории предложен web-интерфейс, основанный на cgit. На использование кода из Git также переведены компоненты сборочной системы и система отслеживания ошибок (на основе Redmine). Репозиторий Ruby на GitHub продолжает позиционироваться как зеркало и пока не поддерживает приём pull-запросов.
https://www.opennet.ru/opennews/art.shtml?num=50555
Anonymous No.513
Qualcomm.jpg (240 KB, 3500x1663)
Уязвимость в чипах Qualcomm, позволяющая извлечь закрытые ключи из хранилища TrustZone
Исследователи из компании NCC Group раскрыли детали уязвимости (CVE-2018-11976) в чипах Qualcomm, позволяющей определить содержимое закрытых ключей шифрования, размещённых в изолированном анклаве Qualcomm QSEE (Qualcomm Secure Execution Environment), основанном на технологии ARM TrustZone. Проблема проявляется в большинстве SoC Snapdragon, получивших распространение в смартфонах на базе платформы Android. Исправления, устраняющие проблему, уже включены в апрельское обновление Android и в новые выпуски прошивок для чипов Qualcomm. На подготовку исправления компании Qualcomm потребовалось больше года - изначально сведения об уязвимости были направлены в Qualcomm ещё 19 марта 2018 года.

Уязвимость связана с недоработкой в реализации алгоритма обработки эллиптических кривых, приводившей к утечке информации о ходе обработки данных. Исследователи разработали технику атаки по сторонним каналам, позволяющую по имеющимся косвенным утечкам восстановить содержимое закрытых ключей, размещённых в аппаратно изолированном Android Keystore. Утечки определяются на основе анализа активности блока предсказания переходов и изменения времени доступа к данным в памяти. В ходе эксперимента исследователи успешно продемонстрировали восстановление 224- и 256-разрядных ключей ECDSA из аппаратно изолированного хранилища ключей, применяемого в смартфоне Nexus 5X. Для восстановления ключа потребовалась генерация около 12 тысяч цифровых подписей, на которую ушло более 14 часов. Для проведения атаки использовался инструментарий Cachegrab.

Основной причиной возникновения проблемы является совместное использование общих аппаратных компонентов и кэша для вычислений в TrustZone и в основной системе - изоляция выполнена на уровне логического разделения, но с использованием общих вычислительных блоков и с оседанием следов вычислений и информации об адресах переходов в общем процессорном кэше. При помощи метода Prime+Probe, основанного на оценке изменения времени доступа к прокэшированной информации, можно через проверку наличия определённых шаблонов в кэше с достаточно высокой точностью отслеживать потоки данных и признаки выполнения кода, связанного с вычислениями цифровых подписей в TrustZone.

Большая часть времени формирования цифровой подписи с использованием ключей ECDSA в чипах Qualcomm тратится на выполнение операций умножения в цикле с использованием неизменного для каждой подписи вектора инициализации (nonce). Если атакующий сможет восстановить хотя бы несколько битов с информацией о данном векторе, появляется возможность совершения атаки по последовательному восстановлению всего закрытого ключа.
Anonymous No.514
>>513
https://www.opennet.ru/opennews/art.shtml?num=50572

*быстролинк
Anonymous No.521
intel-i91-e1557[...].jpg (94 KB, 1098x647)
В процессорах Intel обнаружили сразу четыре уязвимости, их исправление приведет к падению производительности ПК на 40%

На днях стало известно о четырех новых уязвимостях в процессорах Intel, которые дают возможность злоумышленникам похищать данные пользователей. Исправить проблему можно, хотя это и сложно — придется обновлять микрокод процессора и выпускать патчи для операционных систем. Но исправление может привести к падению производительности ПК вплоть до 40%.

Все четыре уязвимости связаны с методом оптимизации производительности процессоров, который называется спекулятивное выполнение инструкций. Для повышения скорости работы ПК процессор пытается «угадать» какие инструкции последуют в ближайшее время и приступают к выполнению этих инструкций. Если прогноз оправдался, инструкция выполняется до конца. Если нет, то выполненные изменения откатываются. Данные не до конца выполненной инструкции могут быть извлечены из кэша, где и хранятся.

Все это похоже на уже описанные ранее уязвимости, которые получили название Meltdown и Spectre. Выяснилось, что эти проблемы угрожают миллионам ПК по всему миру, причём не только с чипами Intel, но и с процессорами других производителей. Проблема получила соответствующее название — «чипокалипсис».

https://habr.com/ru/news/t/452014/
Anonymous No.696
IBM Power Syste[...].jpg (9 KB, 298x169)
Опубликована 53 редакция списка самых высокопроизводительных суперкомпьютеров
Представлен 53-й выпуск рейтинга 500 самых высокопроизводительных компьютеров мира.

Лидирующий в рейтинге кластер Summit развёрнут компанией IBM в Национальной лаборатории Оук-Ридж (США). Кластер работает под управлением Red Hat Enterprise Linux, включает 2.4 млн процессорных ядер (используются 22-ядерные CPU IBM Power9 22C 3.07GHz и ускорители NVIDIA Tesla V100), которые обеспечивают производительность 148 петафлопс.

Второе место занимает американский кластер Sierra, установленный в Ливерморской национальной лаборатории компанией IBM на базе аналогичной с Summit платформы и демонстрирующий производительность на уровне 94 петафлопс (около 1.5 млн ядер). На третьем месте китайский кластер Sunway TaihuLight, работающий в национальном суперкомпьютерном центре Китая, включающий более 10 млн вычислительных ядер и показывающий производительность 93 петафлопс. Несмотря на близкие показатели производительности кластер Sierra потребляет в два раза меньше энергии, чем Sunway TaihuLight. На четвёртом месте закрепился китайский кластер Tianhe-2A, который включает почти 5 млн ядер и демонстрирует производительность в 61 петафлопс.

Самый мощный российский кластер Lomonosov 2 за год сместился с 72 на 93 место в рейтинге. Число отечественных кластеров в рейтинге за год сократилось с 4 до 2.

В рейтинге операционных систем, используемых в суперкомпьютерах, уже два года остаётся только Linux;

Минимальный порог производительности для вхождения в Top500 вырос за год с 715.6 до 1022 терафлопсов, т.е. теперь в рейтинге не осталось крастеров с производительностью менее петафлопса (год назад лишь 272 кластеров показывали производительность более петафлопса, два года назад - 138, три года назад - 94). Для Top100 порог вхождения вырос с 1703 до 2395 терафлопсов;

Общее распределение по количеству суперкомпьютеров в разных частях света выглядит следующим образом: 267 суперкомпьютер находится в Азии (261 год назад), 127 в Америке (131) и 98 в Европе (101), 5 в Океании и 3 в Африке;

Среди производителей кластеров на первом месте закрепилась компания Lenovo - 34.6% (год назад 23.4%), на второе место вырвался Inspur - 14.2% (13.6%), на третьем месте - Sugon 12.6% (11%), со второго на четвёртое место сместилась компания Hewlett-Packard - 8% (15.8%), пятое место занимает компания Cray 7.8% (10.6%), далее следуют Bull 4.2% (4.2%), Dell EMC 3% (2.6%), Fujitsu 2.6% (2.6%), IBM 2.4% (3.6%), Penguin Computing - 1.8%, Huawei 1.4% (2.8%). Интересно, что пять лет назад распределение среди производителей выглядело следующим образом: Hewlett-Packard 36%, IBM 35%, Cray 10.2% и SGI 3.8% (3.4%).
Рейтинг: https://www.top500.org/lists/2019/06/
https://www.opennet.ru/opennews/art.shtml?num=50902
Anonymous No.697
lomonosov2_0.jpg (472 KB, 1000x667)
>>696
Печально, наверное, Lomonosov 2 в следующем году вылетит из сотни.
Anonymous No.699
ShotCut-19.06-P[...].png (55 KB, 430x468)
Релиз видеоредактора Shotcut 19.06
Подготовлен релиз видеоредактора Shotcut 19.06, который развивается автором проекта MLT и использует данный фреймворк для организации редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Для построения интерфейса применяется Qt5. Код написан на C++ и распространяется под лицензией GPLv3.
Anonymous No.706
alpine-linux-31[...].jpg (24 KB, 695x390)
Релиз минималистичного дистрибутива Alpine Linux 3.10
Состоялся релиз Alpine Linux 3.10, минималистичного дистрибутива, построенного на базе системной библиотеки Musl и набора утилит BusyBox. Дистрибутив отличается повышенными требованиями к обеспечению безопасности и собран с патчами SSP (Stack Smashing Protection). В качестве системы инициализации используется OpenRC, для управления пакетами применяется собственный пакетный менеджер apk. Alpine применяется для формирования официальных образов контейнеров Docker. Загрузочные iso-образы (x86_64, x86, armhf, aarch64, armv7, ppc64le, s390x) подготовлены в пяти вариантах: стандартном (124 Мб), с ядром без патчей (116 Мб), расширенном (424 Мб) и для виртуальных машин (36 Мб).
Anonymous No.707
OpenSSH_1.png (281 KB, 500x492)
В OpenSSH добавлена защита от атак по сторонним каналам
Дэмиен Миллер (djm @) добавил в OpenSSH улучшение, которое должно помочь защитить от различных атак по сторонним каналам, таким как Spectre, Meltdown, RowHammer и RAMBleed. Добавленная защита призвана предотвратить восстановление приватного ключа, находящегося в оперативной памяти, пользуясь утечками данных по сторонним каналам.

Суть защиты в том, что приватные ключи, в моменты, когда они не используются, зашифровываются с помощью симметричного ключа, который получен из относительно большого «предварительного ключа» (prekey), состоящего из случайных данных (в настоящее время его размер - 16 КБ). С точки зрения реализации, приватные ключи шифруются при загрузке в память, а затем автоматически и прозрачно расшифровываются при использовании для подписей или при сохранении/сериализации.

Для успешной атаки злоумышленники должны восстановить весь prekey с высокой точностью, прежде чем они смогут попытаться расшифровать защищённый приватный ключ. Однако нынешнее поколение атак имеет такую частоту ошибок восстановления битов, что совокупность этих ошибок делают корректное восстановление предварительного ключа маловероятным.

https://www.opennet.ru/opennews/art.shtml?num=50929
Anonymous No.714
>>707
Там и так было норм
Anonymous No.719
>>714
Что было норм, наркоман?

Речь об уязвимостях железа, которые закрыты снижающими производительность костылями. Чтобы получить изначальную производительность проца, костыли можно не применять, но в этом случае через указанные уязвимости программой с ограниченными правами (в т.ч. скриптом на веб-странице) утащить не предназначенную для неё инфу, в т.ч. приватные ключи. Теперь openssh шифрует ключи так, что их такое вытаскивание становится сильно затруднено (теперь надо выудить не 256 байт, на что может уйти несколько часов, а намного больше).

Это костыль на другом уровне, с меньшими издержками. Проблема в том, что такие костыли надо делать не только в openssh, но и в любых других работающих с приватной инфой программах. Например, X11 аутентифицирует клиентов по cookie из 16 байт — получив этот кук, можно соединиться с иксами по имеющему права 777 UNIX-сокету /tmp/.X11-unix/X0 и получить полный контроль над иксами. Впрочем, тут проще ограничить доступ к этому сокету, чем развлекаться с костылями.
Anonymous No.815
xhamster.jpg (23 KB, 400x400)
1907.06520.pdf (448 KB)
Microsoft: на 74 % порносайтов внедрены трекеры Google
Специалисты из Университета Карнеги-Меллона, Пенсильванского университета и из Microsoft проанализировали 20 тысяч порносайтов. Они обнаружили, что 93 % без уведомления посетителей собирают их данные и передают третьим лицам.

Всего специалисты идентифицировали трекеры 230 компаний. На 74 % сайтов нашлись трекеры Google, на 10 % — трекеры Facebook. Они в ответ заявили, что не работают с такими сайтами, данные там не собирают и нигде не используют.

Авторы исследования (PDF) отмечают, что обнаружить эти трекеры без специальных инструментов нельзя. Браузерные режимы приватности эту самую приватность не обеспечивают, лишь дают «ложное ощущение конфиденциальности».

https://tproger.ru/news/pornosite-trackers-research/
Anonymous No.816
>>815
Это ещё хуйня если понимать, что практически вся порнография это монополия в руках одних и тех же людей (MindGeek) которые точно так же занимаются сбором данных и рекламой.
Anonymous No.817
>>816
Это теперь мы все официально куколды?
Anonymous No.835
1920px-Freebsd_[...].png (222 KB, 1920x768)
Во FreeBSD устранено 6 уязвимостей
Во FreeBSD устранено шесть уязвимостей, которые позволяют повысить свои привилегии в системе или получить доступ к данным ядра. Проблемы исправлены в обновлениях 12.0-RELEASE-p8, 11.2-RELEASE-p12 и 11.3-RELEASE-p1.

CVE-2019-5606 - ошибка в обработчике вызова close для файловых дескрипторов, созданных через системный вызов posix_openpt, может привести к записи в уже освобождённые области памяти ядра (write-after-free). Локальный злоумышленник может использовать уязвимость для получения привилегий root или выхода из jail-окружения;
CVE-2019-0053 - отсутствие должной проверки корректности значений при обработке переменных окружения в коде клиента telnet может привести к переполнению буфера при обращении к вредоносному серверу и организации атаки по выполнению кода на стороне клиента;
CVE-2019-5605 - ошибка в реализации freebsd32_ioctl может привести к утечке областей памяти ядра, которые потенциально могут содержать остаточные данные из буфера терминала или файлового кэша;
CVE-2019-5603 - возможность инициировать переполнение счётчика в псевдо-ФС mqueuefs, которая может быть использовано для получения доступа к файлам, каталогам и сокетам других процессов, принадлежащих другим пользователям. В том числе проблема может применяться для выхода из jail и, в случае наличие root-доступа в jail, для получения root-привилегий в основной системе;
CVE-2019-5604 - ошибка проверки значений параметров 'epid' и 'streamid' в коде эмуляции устройств XHCI в гипервизоре bhyve позволяет определить значения памяти за пределами выделенного буфера или инициировать крах системы;
CVE-2019-5607 - утечка счётчика ссылок на дескрипторы UNIX-сокетов, используемых для передачи привилегий между процессами, может использоваться для получения root-доступа или выхода из jail-окружения.


https://www.opennet.ru/opennews/art.shtml?num=51167
Anonymous No.855
954e88c020ac6c2[...].jpg (10 KB, 600x400)
Microsoft блокирует установку Windows 10 (1903) на некоторых устройствах с драйверами Intel

Компания Microsoft предупредила о блокировке установки новой версии Windows 10 и Windows Server (1903) на некоторых устройствах с драйверами Intel Rapid Storage Technology (Intel RST). По словам разработчиков, данное решение было принято из-за проблем с совместимостью.

Проблема касается версий Intel RST от 15.1.0.1002 до 15.5.2.1053. Устройствам на базе более новых версий (от 15.5.2.1054) блокировка майского обновления не грозит.

«Intel и Microsoft обнаружили проблемы с совместимостью некоторых версий драйверов Intel Rapid Storage Technology (Intel RST) с майским обновлением Windows 10», - объясняет Microsoft. Для решения проблемы Microsoft предлагает обновить Intel RST до новых версий.

Напомним , в начале июля 2019 года компания Microsoft заблокировала установку майского обновления Windows 10 (1903) на некоторых устаревших моделях Мас или устройствах с устаревшими версиями ПО Apple Boot Camp. Проблема касается владельцев Мас, выпущенных до 2012 года, а также тех, кто использует устаревшие версии драйверов Apple Boot Camp или Windows Support.

В конце июня 2019 года Windows 10 стала предупреждать о невозможности установки версии 1903. На устройствах, не являющихся полностью совместимыми с Windows 10, новые версии «десятки» не появляются в «Центре обновления Windows».

https://www.securitylab.ru/news/500166.php
Anonymous No.858
>>855
>Microsoft заблокировала установку ... на некоторых устаревших моделях Мас
То есть шiпdошs можно поставить на Mac что ли?
Anonymous No.860
>>858
Туда даже linux-libre можно ставить.
Anonymous No.861
>>860
Уоу. А есть ли в этом смысл? В Масе ведь операционка - одна из тех частей, за которую Apple выбивает далары. А обратно на MacOS потом возможно переметнуться или пути назад нет?
Anonymous No.863
>>861
Ты только что разморозился?
Я помню как во времена еще первого Apple Mac Book AIR туда Windows XP ставили.
Были даже официальные драйвера для XP от Apple и инструкция как правильно установить Шындовс.
Anonymous No.874
run-chrome-stor[...].png (117 KB, 728x470)
В октябре Google будет удалять из магазина Chrome расширения, собирающие лишние данные
Google объявила, что С 15 октября будет удалять из магазина расширений Chrome те, что не соответствуют новым требованиям о сборе данных.
Требования:
1) У каждого расширения должна быть опубликована политика конфиденциальности. В ней надо объяснить, какие данные собирает инструмент, где хранит и что с ними делает.
2) Сбор данных нужно минимизировать. Запрашивать доступ можно только к той информации, которая нужна для работы расширения.
3) Передавать третьим лицам платёжные и учётные данные, а также информацию об активности пользователя строго запрещено.

https://tproger.ru/news/chrome-extensions-data-rules/
Anonymous No.886
DNS-698x419.jpg (41 KB, 698x419)
В Firefox будет проведён эксперимент, связанный с DNS-over-HTTPS

Разработчики Mozilla сообщили о проведении нового исследования в рамках подготовки к внедрению функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS). В ходе проводимого эксперимента на системах части пользователей релизов Firefox из США будет собрана статистика об использовании систем родительского контроля и корпоративных резолверов. Отказаться от участия в эксперименте можно через страницу "about:studies" (исследование представлено в списке как "Detection Logic for DNS-over-HTTPS").

Для исследования будут собраны обезличенные данные, включающие только счётчики, без указания конкретных адресов и доменов. Для выявления систем родительского контроля будет отправлен запрос на определение имени exampleadultsite.com и если он не совпадёт с фактическим IP, можно считать, что активна блокировка взрослого контента на уровне DNS. Также будут оценены IP-адреса возвращаемые для Google и YouTube, для проверки их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com.

Для выявления использования внутренних корпоративных резолверов определяемые при открытии сайтов хосты будут проверены на предмет использования нетипичных доменов первого уровня (TLD) и возвращения для них интранет-адресов. Мотивом проведения эксперимента стали опасения, что включение по умолчанию DNS-over-HTTPS может нарушить работу функционирующих через DNS систем родительского контроля, а также создать проблемы для пользователей корпоративных сетей, которые используют DNS-серверы, отдающие сведения о внутренних доменах, не видимых во внешней сети.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Для включения DoH в about:config следует изменить значение переменной network.trr.mode, которая поддерживается начиная с Firefox 60. Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/experimental" или "https://9.9.9.9/dns-query".


https://www.opennet.ru/opennews/art.shtml?num=51204
Anonymous No.887
>>886
Кто попробует?
Anonymous No.889
096A12_47_P1.JPG (53 KB, 784x980)
Инициатива по сокращению размера приложений в Fedora
Разработчики Fedora Linux объявили о формировании команды Minimization Team, которая совместно с мэйнтейнерами пакетов будет вести работу по сокращению установочного размера поставляемых приложений, runtime и других компонентов дистрибутива. Размер планируется сокращать за счёт прекращения установки излишних зависимостей и исключения необязательных компонентов, таких как документация.

Сокращение размера позволит добиться уменьшения размера контейнеров приложений и специализированных сборок для устройств интернета вещей. Отмечается, что в текущем виде размер базового образа Fedora почти в три раза превышает аналогичные образы от проектов Ubuntu, Debian и openSUSE (300 Мб против 91-113 Мб). В качестве основной причины роста установочного размера отмечаются зависимости, без которых вполне можно было обойтись. Сокращение зависимостей позволит не только оптимизировать размер минимального окружения, но и повысить общую безопасность и уменьшить векторы атак за счёт исключения лишнего кода.

Для сокращения зависимостей планируется проанализировать дерево зависимостей для типовых и часто используемых применений, что позволит понять какие зависимости можно исключить из-за их невостребованности, а какие имеет смысл разбить на части. Также рассматривается возможность предоставления специальных режимов для уменьшения размера устанавливаемых приложений, например, за счёт прекращения установки документации и примеров использования.

Дополнительно можно отметить решение комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora, отложить рассмотрение предложения по прекращению формирования основных репозиториев для архитектуры i686. К данному вопросу комитет вернётся за две недели до перевода пакетной базы на стадию заморозки перед бета-выпуском или после того как будет изучено возможное негативное влияние прекращения поставки пакетов для i686 на локальные сборки модулей.
Anonymous No.890
brick.webp (12 KB, 200x345)
Новость чуть устарела и малозначима, но, на мой взгляд, интересна.
22 июля компания Apple взяла и выпустила новую версию своей операционной системы для уже устаревших устройств — iOS 9.3.6. Обновление касается только iPad 2, iPad 3, iPad mini 1 и iPhone 4s. В обновлении решена проблема, которая может повлиять на работу GPS и привести к неправильной установке системной даты и времени. Интересно, что, вроде как, поддержка этих устройств уже давно была прекращена, к примеру, iPhone 4s был представлен аж в 2011 году, а с производства снят в 2014 году. Предыдущая версия (iOS 9.3.5) вышла в августе 2016 года, то есть почти три года назад, и считалось, что это последнее обновление для данных устройств.
В интернетах уже ходят теории, что новое обновление призвано превратить сии девайсы в тыкву, тем самым подтолкнув пользователей к апгрейду. Также уже на следующий день (23 июля) для новой системы появился jailbreak Phœnix.
Пост отредактировал Anonymous
Anonymous No.891
>>890
Вопрос: на девайс приходит обновление, как узнать замедлит оно работу процессора или нет?
Anonymous No.892
wpa3.jpg (15 KB, 474x266)
Новые уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd
Мэти Ванхофом (Mathy Vanhoef) и Эяль Ронен (Eyal Ronen) выявили новый метод атаки (CVE-2019-13377) на беспроводные сети, использующие технологию защиты WPA3, позволяющий получить сведения о характеристиках пароля, которые можно использовать для проведения его подбора в offline-режиме. Проблема проявляется в актуальной версии Hostapd.

Напомним, что в апреле теми же авторами были выявлены шесть уязвимостей в WPA3, для противодействия которым объединение Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, внесло изменения в рекомендации по обеспечению безопасных реализаций WPA3, в которых было предписано использовать защищённые эллиптические кривые Brainpool, вместо ранее допустимых эллиптических кривых P-521 и P-256.

Тем не менее, анализ показал, что использование Brainpool приводит к возникновению нового класса утечек по сторонним каналам в применяемом в WPA3 алгоритме согласования соединений Dragonfly, предоставляющем защиту от подбора паролей в offline-режиме. Выявленная проблема демонстрирует, что создание реализаций Dragonfly и WPA3, избавленных от утечек данных по сторонним каналам, является чрезвычайно сложной задачей, а также показывает несостоятельность модели развития стандартов за закрытыми дверями без проведения общедоступного обсуждения предлагаемых методов и аудита сообществом.

При использовании эллиптической кривой Brainpool при кодировании пароля алгоритмом Dragonfly выполняется несколько предварительных итераций с паролем, связанных с быстрым вычислением короткого хэша до начала применения эллиптической кривой. До нахождения короткого хэша выполняемые операции напрямую зависят от пароля и MAC-адреса клиента. Время выполнения (коррелирует с числом итераций) и задержки между операциями в ходе выполнения предварительных итераций могут быть измерены и использованы для определения характеристик пароля, которые можно использовать в offline для уточнения правильности выбора частей пароля в процессе его подбора. Для проведения атаки необходимо наличие доступа к системе пользователя, подключающегося к беспроводной сети.

Дополнительно, исследователями выявлена вторая уязвимость (CVE-2019-13456), связанная с утечкой информации в реализации протокола EAP-pwd, использующего алгоритм Dragonfly. Проблема специфична для RADIUS-сервера FreeRADIUS и на основании утечки сведений по сторонним каналам также как и первая уязвимость позволяет существенно упростить подбор пароля.

В сочетании с улучшенным методом отсеивания шумов в процессе измерения задержек для определения числа итераций достаточно провести 75 измерений для одного MAC-адреса. При использовании GPU затраты на ресурсы для подбора одного словарного пароля оцениваются в $1. Методы по повышению безопасности протоколов, позволяющие блокировать выявленные проблемы, уже внесены в черновые варианты будущих стандартов Wi-Fi (WPA 3.1) и EAP-pwd. К сожалению, без нарушения обратной совместимости в текущих версиях протоколов устранить утечки по сторонним каналам не получится.


https://www.opennet.ru/opennews/art.shtml?num=51216
Anonymous No.897
>>891
Наверное, устанавливать и испытывать. Или ждать, пока кто-нибудь установит и испытает. Для android'a есть стопиццот специально предназначенных для этих целей приложений.
Anonymous No.910
изображение.png (54 KB, 1020x923)
Google тестирует более крупный шрифт в результатах поиска

Около недели назад Google начал тестировать более крупный шрифт в результатах поиска на десктопах.

Размер шрифта увеличился примерно на 5-6%. При этом на первый взгляд кажется, что в браузере был увеличен масштаб.

Эксперимент затронул заголовки, ссылки и описания всех результатов поиска – как органических, так и платных. В связи с этим сниппеты стали занимать больше пространства, и на первом экране теперь отображается меньше результатов.

https://www.searchengines.ru/bigger-font.html

Я думал, у меня браузер сломался, а тут вон что. Это пиздец, конечно, как будто увеличение накрутили, и тут явно не 5-6 процентов, а минимум 10, я же не слепой, нахер они это говно сделали.
Anonymous No.911
>>910
Ох лол, зачем?
Anonymous No.1183
1 IXjs8KuzaL-jv[...].gif (940 KB, 640x342)
В экспериментальные сборки Chrome Canary добавлена поддержка протокола HTTP/3, реализующего надстройку для обеспечения работы HTTP поверх протокола QUIC. Непосредственно протокол QUIC был добавлен в браузер пять лет назад и с тех пор используется для оптимизации работы с сервисами Google. При этом применявшийся в Chrome вариант QUIC от Google в некоторых деталях отличался от варианта из спецификаций IETF, но теперь реализации синхронизированы.

HTTP/3 стандартизирует использование QUIC в качестве транспорта для HTTP/2. Для включения HTTP/3 и варианта QUIC из 23 черновика спецификаций IETF требуется запуск Chrome с опциями "--enable-quic --quic-version=h3-23", после чего при открытии тестового сайта quic.rocks:4433 в режиме инспектирования сети в инструментах для разработчиков активность по HTTP/3 будет отображаться как "http/2+quic/99".

Напомним, что протокол QUIC (Quick UDP Internet Connections) c 2013 года развивается компанией Google в качестве альтернативы связке TCP+TLS для Web, решающей проблемы с большим временем установки и согласования соединений в TCP и устраняющей задержки при потере пакетов в процессе передачи данных. QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL. Рассматриваемый протокол уже интегрирован в серверную инфраструктуру Google, входит в состав Chrome, запланирован для включения в Firefox и активно применяется для обслуживания запросов клиентов на серверах Google.

https://www.opennet.ru/opennews/art.shtml?num=51526
Anonymous No.1184
>>1183
>единственный браузерный движ под гуглом
>гугл аналитика на каждом сайте
>большинство телефонов официально под гуглом, неофициально все
>скоро: tcp от гугла
Человечество, тебе пизда
Anonymous No.1187
>>1184
>скоро: tcp от гугла
udp тащемта. Они это для ютаба делают, так как протокол сокращает накладные расходы для воспроизведения потокового видео.
Anonymous No.1188
>>1187
>udp
>UIC improves performance of connection-oriented web applications that are currently using TCP.
Anonymous No.1760
bonsai-768x1024[...].jpg (100 KB, 768x1024)
Представлен Bonsai, сервис синхронизации устройств для GNOME
Кристиан Хергерт (Christian Hergert), автор интегрированной среды разработки GNOME Builder, ныне работающий в Red Hat, представил экспериментальный проект Bonsai, нацеленный на решение задачи по синхронизации содержимого нескольких устройств, на которых используется GNOME. Пользователи могут использовать Bonsai для связывания нескольких Linux-устройств в домашней сети, когда необходимо получить доступ к файлам и данным приложений на всех компьютерах, но при этом не хочется передавать свои данные в сторонние облачные сервисы. Код проекта написан на языке Си и поставляется под лицензией GPLv3.

Bonsai включает фоновый процесс bonsaid и библиотеку функций libbonsai для предоставления сервисов, напоминающих облачные. Фоновый процесс может быть запущен на основной рабочей станции или постоянно работающем в домашней сети мини-компьютере Raspberry Pi, подключённом к беспроводной сети и накопителю для хранения данных. Библиотека используется для организации доступа приложений GNOME к сервисам Bonsai при помощи высокоуровневого API. Для связывания с внешними устройствами (другие ПК, ноутбуки, телефоны, устройства интернета-вещей) предложена утилита bonsai-pair, позволяющая сгенерировать токен для подключения к сервисам. После связывания организуется шифрованный канал (TLS) для обращения к севисам в котором применяются сериализированные запросы D-Bus.

Bonsai не ограничен только предоставлением совместного доступа к данным и также может использоваться для создания доступных для нескольких систем хранилищ объектов с поддержкой частичной синхронизации между устройствами, транзакциями, вторичными индексами, курсорами и возможностью наложения специфичных для каждой системы локальных изменений поверх общей совместной БД. Общее хранилище объектов построено на базе API GVariant и LMDB.

В настоящее время предложен только сервис для доступа к файловому хранилищу, но в дальнейшем планируется реализовать и другие сервисы для доступа к почте, календарю-планировщику, заметкам (ToDo), альбомам с фотографиями, коллекциям музыки и видео, системе поиска, резервному копированию, VPN и т.п. Например, при помощи Bonsai на разных компьютерах в приложениях GNOME можно будет организовать работу с синхронизированным календарём планировщиком или общей коллекцией фотографий.

https://www.opennet.ru/opennews/art.shtml?num=52123
Anonymous No.1768
Некоторое время назад наткнулся на новость, что в сеть утекла документация по следующей версии Шindoшs. Писалось, что будет новый мерзопакостный телефоноподобный дизайн интерфейса и всё сопутствующее. Есть ли инфа по этой теме, вброс это был или святая истина?
Anonymous No.1769
>>1768
Развитие винды после 7 версии свернуло куда-то не туда.
Anonymous No.1770
>>1769
Unix-терминал добавили, разве не хорошо?
А спермобанк всегда дырой был.
Anonymous No.1781
Bruce_Perens_WS[...].png (73 KB, 320x240)
Брюс Перенс покинул организацию OSI из-за разногласий, касающихся лицензии CAL
Брюс Перенс (Bruce Perens) объявил о выходе из организации Open Source Initiative (OSI), занимающейся проверкой лицензий на предмет соответствия критериям Open Source. Брюс является соучредителем OSI, одним из авторов определения Open Source, создателем пакета BusyBox и вторым лидером проекта Debian (в 1996 году сменил на посту Яна Мердока). В качестве причины ухода называется нежелание иметь отношение к готовящемуся в OSI решению по включению CAL (Cryptographic Autonomy License) в число открытых лицензий.

Лицензия CAL относится к категории копилефт-лицензий и разработана по заказу проекта Holochain специально для дополнительной защиты пользовательских данных в распределённых P2P-приложениях. Holochain развивает базирующуюся на цепочке хэшей (hashchain) платформу для создания криптографически верифицированных распределённых приложений. Лицензия CAL позволяет использовать Holochain в форме бесплатного и открытого ПО, если выполняется несколько условий. Во-первых, исходных код Holochain и всех производных работ должен поставляться под теми же условиями, включая условия, связанные с обеспечением конфиденциальности криптографических ключей. Во-вторых, право на общедоступное исполнение (public performance) Holochain, включая использование API Holochain для запуска приложений, предоставляется только при сохранении конфиденциальности и автономности закрытых криптографических ключей каждого отдельного пользователя.

CAL концептуально не походит на другие лицензии - если сервис использует ПО под данной лицензией, она охватывает не только код, но и обрабатываемые данные. В соответствии с лицензией CAL, если конфиденциальность ключа пользователя нарушена (например, ключи сохраняются на централизованном сервере), то нарушается и право владения данными и теряется контроль над собственными копиями приложения. На практике, указанная особенность лицензии допускает манипуляции с ключами только на стороне конечного пользователя, без их хранения на централизованных серверах.

Например, лицензия CAL не позволит компании создать на базе Holochain собственный корпоративный P2P-чат, в котором ключи сотрудников размещены на общем подконтрольном компании хранилище, не исключающем возможность чтения переписки. Таким образом Holochain пытается добиться того, чтобы любое приложение на базе Holochain заслуживало доверия и было автономным. Если приложение привлекает для работы с пользовательскими ключами централизованные системы, такое приложение лишается права работы с Holochain.

Брюс Перенс считает, что лицензия CAL не обеспечивает необходимой свободы и нацелена на защиту Holochain от злоупотреблений со стороны разработчиков, пытающихся в своих приложениях полностью контролировать данные пользователей. Требования к хранению ключей только на системах конечных пользователей в свете критериев Open Source могут восприниматься как ущемление прав отдельных групп и дискриминация по области применения.

Перенс пояснил, что важным свойством открытых лицензий является возможность применять их, не привлекая юристов. Пользователь может просто установить программу, поставляемую под утверждённой в OSI открытой лицензией, и если он не вносит изменения в код и не передаёт программу кому-то ещё, ему даже не нужно читать лицензию. В OSI одобрено более 100 открытых лицензий и все они соответствуют данной модели. Но лицензия CAL ломает эту модель - если кто-то работает с программой под лицензией CAL и у него есть пользователи, то на него налагается дополнительная ответственность за возвращение данных этим пользователям.

При помощи новой лицензии Holochain пытается контролировать сеть приложений и противостоять тому, что разработчики клиентов для распределённой платформы, могут привязать к себе пользователей, захватив их данные. Перенс признаёт благой цель обеспечения конфиденциальности данных пользователей, но считает недопустимым то, что для понимания лицензии и взаимодействия с пользователями потребуется консультация юриста. Перенс также обратил внимание на порочность разрастания числа лицензией, обилие которых затрудняет комбинирование приложений под разными лицензиями, и указал, что можно обойтись только тремя лицензиями - AGPLv3, LGPLv3 и Apache v2.

Лицензия CAL разработана известным юристом Ваном Линдбергом (Van Lindberg), специализирующимся на вопросах, связанных с интеллектуальной собственностью и лицензиями в открытом ПО. По сведениям, которые удалось получить изданию The Register, Линдберг в частном порядке пролоббировал согласие директоров OSI признать открытой лицензию CAL, в обход публичного процесса одобрения лицензии.

Линдберг ответил, что многие люди изначально сформировали предвзятое мнение о лицензии CAL и пытаются использовать любые поводы для противостояния. Слово лоббирование в данном контексте неуместно, так как рецензирование лицензии и её обсуждение велось на публичных форумах, а частном порядке обсуждались лишь процедурные вопросы.

Памела Честек (Pamela Chestek), возглавляющая комитет по рецензированию лицензий, указала, что ничего странного в приватной переписке нет, так как обычно управляющий совет OSI консультируется со сторонами до рецензирования лицензии. В том числе у неё был телефонный разговор с Линдбергом, в котором она попыталась пояснить в чём именно проблемы с предложенной лицензией. Возможно это общение было не правильно понято. Что касается лицензии CAL, то дискуссия в её отношении ещё не завершена и окончательное мнение пока не сформировано.

https://www.opennet.ru/opennews/art.shtml?num=52135
Anonymous No.1806
>>1184
>единственный браузерный движ под гуглом
Один из нескольких.
Anonymous No.1807
>>1806
@
всех под гуглом
Anonymous No.1853
Поддержка Windows 7 окончена 14 января 2020 года, после 10 лет с момента выхода.
www.microsoft.com/ru-ru/windows/windows-7-end-of-life-support-information
Anonymous No.1854
>>1853
Правильно, и так достаточно времени на разработку очка под новый зонд спермохолопам дали, неча
Anonymous No.1868
поисковик duckduckgo выпустил лайт версию без javascript https://duckduckgo.com/lite
Anonymous No.1902
>>1868
А разве у них сразу не было чистой версии на голом хтмл? Че-то помню у них такое находил.
Anonymous No.1915
>>1902
https://3g2upl4pq6kufc4m.onion/html
А это https://3g2upl4pq6kufc4m.onion/lite , возможно, ещё легче.
Точка Anonymous No.1960
3217240.jpg (12 KB, 180x135)
Государство и цифровой след, Москва — столица ИИ?, Samsung блочит телики

Время выхода в эфир: 09 февраля 2020, 21:05

ГОСТИ:
Владислав Здольников
интернет-эксперт
Григорий Бакунов
интернет-эксперт, директор по распространению технологий компании Яндекс

ВЕДУЩИЕ:
Александр Плющев, Сергей Оселедько

https://echo.msk.ru/programs/tochka/2584526-echo/
https://cdn.echo.msk.ru/snd/2020-02-09-tochka-2105.mp3
Anonymous No.2323
Выпуск приложений KDE 20.04
Глянул, вроде ничего кардинально нового нет.
https://www.opennet.ru/opennews/art.shtml?num=52806
Anonymous No.2324
Kiwi Browser только на Android перевели на BSD-3 CLAUSE. Главные фишки: поддержка расширений хромога, возможность обхода Google AMP, встроенный адблокер, темы, возможность выключить сефбраузинг, скриншоты в инкогнито в зондохроме нельзя.
https://github.com/kiwibrowser
Anonymous No.2708
Гвидо ван Россум предложил включить в Python операторы для сопоставления с образцом
https://www.opennet.ru/opennews/art.shtml?num=53248
Так ли они нужны?
Anonymous No.2720
MIT удалил коллекцию Tiny Images из-за выявления расистских и женоненавистнических терминов
Что за жесть?
Массачусетский технологический институт удалил набор данных Tiny Images, включающий аннотированную коллекцию из 80 миллионов небольших изображений с разрешением 32x32. Набор поддерживался группой, развивающей технологии компьютерного зрения, и использовался c 2008 года различными исследователями для тренировки и проверки распознавания объектов в системах машинного обучения.

Поводом к удалению стало выявление использования расистских и женоненавистнических терминов в метках, характеризующих изображённые на картинках объекты, а также наличия образов, которые воспринимались как оскорбительные. Например, присутствовали изображения половых органов с жаргонными терминами, изображения некоторых женщин характеризовались как "шлюхи", применялись недопустимые в современном обществе термины для чернокожих и азиатов.

Однако в документе, на который ссылается MIT, названы и более серьёзные проблемы с такими коллекциями: технологии компьютерного зрения можно использовать для разработки систем распознавания лиц, для поиска представителей запрещённых почему-либо групп населения; нейросеть для генерации изображений может восстановить оригинал по анонимизированным данным.

Причиной появления недопустимых слов было использование автоматизированного процесса, использующего при классификации семантические связи из лексической базы данных английского языка WordNet, созданной в 1980-е годы в Принстонском университете. Так как вручную проверить наличие оскорбительной лексики в 80 млн мелких картинок не представляется возможным, было принято решение полностью закрыть доступ к БД. MIT также призвал других исследователей прекратить использование данной коллекции и удалить её копии. Аналогичные проблемы наблюдаются и в крупнейшей аннотированной базе изображений ImageNet, в которой также используются привязки из WordNet.

https://www.opennet.ru/opennews/art.shtml?num=53277
Пост отредактировал Anonymous
Anonymous No.2724
>>2720
Ёбнулись на голову со своим расизмом, все подряд стали удалять и запрещать, скоро буквы из алфавита будут убирать, наверное.
Anonymous No.2994
Какой же дакдакго отвратительный поисковик! В нём напишешь "Как избавиться от говна", а он тебе предложит "Как поесть говна"
Anonymous No.2998
>>2994
Норм поисковик, какие вопросы, такие и ответы.
Anonymous No.3052
Господи читаю ккомы,как же "современные гики" отстали и какой фигней вы страдаете,ява скрипты,дакдак,расизм - это же архаика.
Пост отредактировал Anonymous

[Назад] [Обновить тред] [Вверх] [Каталог] [ Автообновление ]
56 / 23 / 30

[Ответить в тред] Ответить в тред

15000

Ответ в тред No.511
Настройки
Избранное
Топ тредов