Проект Ruby перешёл с Subversion на Git
Разработчики языка программирования Ruby объявили о миграции основного репозитория с централизованной системы контроля версий Subversion на распределённую систему управления исходными текстами Git. Разработка новой стабильной ветки ruby_2_7 и ветки trunk переведена на Git, но сопровождение веток ruby_2_4, ruby_2_5 и ruby_2_6 оставлено в SVN.

Для навигации по коду и изменениям в основном репозитории предложен web-интерфейс, основанный на cgit. На использование кода из Git также переведены компоненты сборочной системы и система отслеживания ошибок (на основе Redmine). Репозиторий Ruby на GitHub продолжает позиционироваться как зеркало и пока не поддерживает приём pull-запросов.
https://www.opennet.ru/opennews/art.shtml?num=50555

Уязвимость в чипах Qualcomm, позволяющая извлечь закрытые ключи из хранилища TrustZone
Исследователи из компании NCC Group раскрыли детали уязвимости (CVE-2018-11976) в чипах Qualcomm, позволяющей определить содержимое закрытых ключей шифрования, размещённых в изолированном анклаве Qualcomm QSEE (Qualcomm Secure Execution Environment), основанном на технологии ARM TrustZone. Проблема проявляется в большинстве SoC Snapdragon, получивших распространение в смартфонах на базе платформы Android. Исправления, устраняющие проблему, уже включены в апрельское обновление Android и в новые выпуски прошивок для чипов Qualcomm. На подготовку исправления компании Qualcomm потребовалось больше года - изначально сведения об уязвимости были направлены в Qualcomm ещё 19 марта 2018 года.

Уязвимость связана с недоработкой в реализации алгоритма обработки эллиптических кривых, приводившей к утечке информации о ходе обработки данных. Исследователи разработали технику атаки по сторонним каналам, позволяющую по имеющимся косвенным утечкам восстановить содержимое закрытых ключей, размещённых в аппаратно изолированном Android Keystore. Утечки определяются на основе анализа активности блока предсказания переходов и изменения времени доступа к данным в памяти. В ходе эксперимента исследователи успешно продемонстрировали восстановление 224- и 256-разрядных ключей ECDSA из аппаратно изолированного хранилища ключей, применяемого в смартфоне Nexus 5X. Для восстановления ключа потребовалась генерация около 12 тысяч цифровых подписей, на которую ушло более 14 часов. Для проведения атаки использовался инструментарий Cachegrab.

Основной причиной возникновения проблемы является совместное использование общих аппаратных компонентов и кэша для вычислений в TrustZone и в основной системе - изоляция выполнена на уровне логического разделения, но с использованием общих вычислительных блоков и с оседанием следов вычислений и информации об адресах переходов в общем процессорном кэше. При помощи метода Prime+Probe, основанного на оценке изменения времени доступа к прокэшированной информации, можно через проверку наличия определённых шаблонов в кэше с достаточно высокой точностью отслеживать потоки данных и признаки выполнения кода, связанного с вычислениями цифровых подписей в TrustZone.

Большая часть времени формирования цифровой подписи с использованием ключей ECDSA в чипах Qualcomm тратится на выполнение операций умножения в цикле с использованием неизменного для каждой подписи вектора инициализации (nonce). Если атакующий сможет восстановить хотя бы несколько битов с информацией о данном векторе, появляется возможность совершения атаки по последовательному восстановлению всего закрытого ключа.

В процессорах Intel обнаружили сразу четыре уязвимости, их исправление приведет к падению производительности ПК на 40%

На днях стало известно о четырех новых уязвимостях в процессорах Intel, которые дают возможность злоумышленникам похищать данные пользователей. Исправить проблему можно, хотя это и сложно — придется обновлять микрокод процессора и выпускать патчи для операционных систем. Но исправление может привести к падению производительности ПК вплоть до 40%.

Все четыре уязвимости связаны с методом оптимизации производительности процессоров, который называется спекулятивное выполнение инструкций. Для повышения скорости работы ПК процессор пытается «угадать» какие инструкции последуют в ближайшее время и приступают к выполнению этих инструкций. Если прогноз оправдался, инструкция выполняется до конца. Если нет, то выполненные изменения откатываются. Данные не до конца выполненной инструкции могут быть извлечены из кэша, где и хранятся.

Все это похоже на уже описанные ранее уязвимости, которые получили название Meltdown и Spectre. Выяснилось, что эти проблемы угрожают миллионам ПК по всему миру, причём не только с чипами Intel, но и с процессорами других производителей. Проблема получила соответствующее название — «чипокалипсис».

https://habr.com/ru/news/t/452014/

Опубликована 53 редакция списка самых высокопроизводительных суперкомпьютеров
Представлен 53-й выпуск рейтинга 500 самых высокопроизводительных компьютеров мира.

Лидирующий в рейтинге кластер Summit развёрнут компанией IBM в Национальной лаборатории Оук-Ридж (США). Кластер работает под управлением Red Hat Enterprise Linux, включает 2.4 млн процессорных ядер (используются 22-ядерные CPU IBM Power9 22C 3.07GHz и ускорители NVIDIA Tesla V100), которые обеспечивают производительность 148 петафлопс.

Второе место занимает американский кластер Sierra, установленный в Ливерморской национальной лаборатории компанией IBM на базе аналогичной с Summit платформы и демонстрирующий производительность на уровне 94 петафлопс (около 1.5 млн ядер). На третьем месте китайский кластер Sunway TaihuLight, работающий в национальном суперкомпьютерном центре Китая, включающий более 10 млн вычислительных ядер и показывающий производительность 93 петафлопс. Несмотря на близкие показатели производительности кластер Sierra потребляет в два раза меньше энергии, чем Sunway TaihuLight. На четвёртом месте закрепился китайский кластер Tianhe-2A, который включает почти 5 млн ядер и демонстрирует производительность в 61 петафлопс.

Самый мощный российский кластер Lomonosov 2 за год сместился с 72 на 93 место в рейтинге. Число отечественных кластеров в рейтинге за год сократилось с 4 до 2.

В рейтинге операционных систем, используемых в суперкомпьютерах, уже два года остаётся только Linux;

Минимальный порог производительности для вхождения в Top500 вырос за год с 715.6 до 1022 терафлопсов, т.е. теперь в рейтинге не осталось крастеров с производительностью менее петафлопса (год назад лишь 272 кластеров показывали производительность более петафлопса, два года назад - 138, три года назад - 94). Для Top100 порог вхождения вырос с 1703 до 2395 терафлопсов;

Общее распределение по количеству суперкомпьютеров в разных частях света выглядит следующим образом: 267 суперкомпьютер находится в Азии (261 год назад), 127 в Америке (131) и 98 в Европе (101), 5 в Океании и 3 в Африке;

Среди производителей кластеров на первом месте закрепилась компания Lenovo - 34.6% (год назад 23.4%), на второе место вырвался Inspur - 14.2% (13.6%), на третьем месте - Sugon 12.6% (11%), со второго на четвёртое место сместилась компания Hewlett-Packard - 8% (15.8%), пятое место занимает компания Cray 7.8% (10.6%), далее следуют Bull 4.2% (4.2%), Dell EMC 3% (2.6%), Fujitsu 2.6% (2.6%), IBM 2.4% (3.6%), Penguin Computing - 1.8%, Huawei 1.4% (2.8%). Интересно, что пять лет назад распределение среди производителей выглядело следующим образом: Hewlett-Packard 36%, IBM 35%, Cray 10.2% и SGI 3.8% (3.4%).
Рейтинг: https://www.top500.org/lists/2019/06/
https://www.opennet.ru/opennews/art.shtml?num=50902

>>696
Печально, наверное, Lomonosov 2 в следующем году вылетит из сотни.

Релиз видеоредактора Shotcut 19.06
Подготовлен релиз видеоредактора Shotcut 19.06, который развивается автором проекта MLT и использует данный фреймворк для организации редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Для построения интерфейса применяется Qt5. Код написан на C++ и распространяется под лицензией GPLv3.

Релиз минималистичного дистрибутива Alpine Linux 3.10
Состоялся релиз Alpine Linux 3.10, минималистичного дистрибутива, построенного на базе системной библиотеки Musl и набора утилит BusyBox. Дистрибутив отличается повышенными требованиями к обеспечению безопасности и собран с патчами SSP (Stack Smashing Protection). В качестве системы инициализации используется OpenRC, для управления пакетами применяется собственный пакетный менеджер apk. Alpine применяется для формирования официальных образов контейнеров Docker. Загрузочные iso-образы (x86_64, x86, armhf, aarch64, armv7, ppc64le, s390x) подготовлены в пяти вариантах: стандартном (124 Мб), с ядром без патчей (116 Мб), расширенном (424 Мб) и для виртуальных машин (36 Мб).

В OpenSSH добавлена защита от атак по сторонним каналам
Дэмиен Миллер (djm @) добавил в OpenSSH улучшение, которое должно помочь защитить от различных атак по сторонним каналам, таким как Spectre, Meltdown, RowHammer и RAMBleed. Добавленная защита призвана предотвратить восстановление приватного ключа, находящегося в оперативной памяти, пользуясь утечками данных по сторонним каналам.

Суть защиты в том, что приватные ключи, в моменты, когда они не используются, зашифровываются с помощью симметричного ключа, который получен из относительно большого «предварительного ключа» (prekey), состоящего из случайных данных (в настоящее время его размер - 16 КБ). С точки зрения реализации, приватные ключи шифруются при загрузке в память, а затем автоматически и прозрачно расшифровываются при использовании для подписей или при сохранении/сериализации.

Для успешной атаки злоумышленники должны восстановить весь prekey с высокой точностью, прежде чем они смогут попытаться расшифровать защищённый приватный ключ. Однако нынешнее поколение атак имеет такую частоту ошибок восстановления битов, что совокупность этих ошибок делают корректное восстановление предварительного ключа маловероятным.

https://www.opennet.ru/opennews/art.shtml?num=50929

Microsoft: на 74 % порносайтов внедрены трекеры Google
Специалисты из Университета Карнеги-Меллона, Пенсильванского университета и из Microsoft проанализировали 20 тысяч порносайтов. Они обнаружили, что 93 % без уведомления посетителей собирают их данные и передают третьим лицам.

Всего специалисты идентифицировали трекеры 230 компаний. На 74 % сайтов нашлись трекеры Google, на 10 % — трекеры Facebook. Они в ответ заявили, что не работают с такими сайтами, данные там не собирают и нигде не используют.

Авторы исследования (PDF) отмечают, что обнаружить эти трекеры без специальных инструментов нельзя. Браузерные режимы приватности эту самую приватность не обеспечивают, лишь дают «ложное ощущение конфиденциальности».
https://tproger.ru/news/pornosite-trackers-research/

Во FreeBSD устранено 6 уязвимостей
Во FreeBSD устранено шесть уязвимостей, которые позволяют повысить свои привилегии в системе или получить доступ к данным ядра. Проблемы исправлены в обновлениях 12.0-RELEASE-p8, 11.2-RELEASE-p12 и 11.3-RELEASE-p1.

CVE-2019-5606 - ошибка в обработчике вызова close для файловых дескрипторов, созданных через системный вызов posix_openpt, может привести к записи в уже освобождённые области памяти ядра (write-after-free). Локальный злоумышленник может использовать уязвимость для получения привилегий root или выхода из jail-окружения;
CVE-2019-0053 - отсутствие должной проверки корректности значений при обработке переменных окружения в коде клиента telnet может привести к переполнению буфера при обращении к вредоносному серверу и организации атаки по выполнению кода на стороне клиента;
CVE-2019-5605 - ошибка в реализации freebsd32_ioctl может привести к утечке областей памяти ядра, которые потенциально могут содержать остаточные данные из буфера терминала или файлового кэша;
CVE-2019-5603 - возможность инициировать переполнение счётчика в псевдо-ФС mqueuefs, которая может быть использовано для получения доступа к файлам, каталогам и сокетам других процессов, принадлежащих другим пользователям. В том числе проблема может применяться для выхода из jail и, в случае наличие root-доступа в jail, для получения root-привилегий в основной системе;
CVE-2019-5604 - ошибка проверки значений параметров 'epid' и 'streamid' в коде эмуляции устройств XHCI в гипервизоре bhyve позволяет определить значения памяти за пределами выделенного буфера или инициировать крах системы;
CVE-2019-5607 - утечка счётчика ссылок на дескрипторы UNIX-сокетов, используемых для передачи привилегий между процессами, может использоваться для получения root-доступа или выхода из jail-окружения.

https://www.opennet.ru/opennews/art.shtml?num=51167

Microsoft блокирует установку Windows 10 (1903) на некоторых устройствах с драйверами Intel

Компания Microsoft предупредила о блокировке установки новой версии Windows 10 и Windows Server (1903) на некоторых устройствах с драйверами Intel Rapid Storage Technology (Intel RST). По словам разработчиков, данное решение было принято из-за проблем с совместимостью.

Проблема касается версий Intel RST от 15.1.0.1002 до 15.5.2.1053. Устройствам на базе более новых версий (от 15.5.2.1054) блокировка майского обновления не грозит.

«Intel и Microsoft обнаружили проблемы с совместимостью некоторых версий драйверов Intel Rapid Storage Technology (Intel RST) с майским обновлением Windows 10», - объясняет Microsoft. Для решения проблемы Microsoft предлагает обновить Intel RST до новых версий.

Напомним , в начале июля 2019 года компания Microsoft заблокировала установку майского обновления Windows 10 (1903) на некоторых устаревших моделях Мас или устройствах с устаревшими версиями ПО Apple Boot Camp. Проблема касается владельцев Мас, выпущенных до 2012 года, а также тех, кто использует устаревшие версии драйверов Apple Boot Camp или Windows Support.

В конце июня 2019 года Windows 10 стала предупреждать о невозможности установки версии 1903. На устройствах, не являющихся полностью совместимыми с Windows 10, новые версии «десятки» не появляются в «Центре обновления Windows».

https://www.securitylab.ru/news/500166.php

В октябре Google будет удалять из магазина Chrome расширения, собирающие лишние данные
Google объявила, что С 15 октября будет удалять из магазина расширений Chrome те, что не соответствуют новым требованиям о сборе данных.
Требования:
1) У каждого расширения должна быть опубликована политика конфиденциальности. В ней надо объяснить, какие данные собирает инструмент, где хранит и что с ними делает.
2) Сбор данных нужно минимизировать. Запрашивать доступ можно только к той информации, которая нужна для работы расширения.
3) Передавать третьим лицам платёжные и учётные данные, а также информацию об активности пользователя строго запрещено.
https://tproger.ru/news/chrome-extensions-data-rules/

В Firefox будет проведён эксперимент, связанный с DNS-over-HTTPS

Разработчики Mozilla сообщили о проведении нового исследования в рамках подготовки к внедрению функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS). В ходе проводимого эксперимента на системах части пользователей релизов Firefox из США будет собрана статистика об использовании систем родительского контроля и корпоративных резолверов. Отказаться от участия в эксперименте можно через страницу "about:studies" (исследование представлено в списке как "Detection Logic for DNS-over-HTTPS").

Для исследования будут собраны обезличенные данные, включающие только счётчики, без указания конкретных адресов и доменов. Для выявления систем родительского контроля будет отправлен запрос на определение имени exampleadultsite.com и если он не совпадёт с фактическим IP, можно считать, что активна блокировка взрослого контента на уровне DNS. Также будут оценены IP-адреса возвращаемые для Google и YouTube, для проверки их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com.

Для выявления использования внутренних корпоративных резолверов определяемые при открытии сайтов хосты будут проверены на предмет использования нетипичных доменов первого уровня (TLD) и возвращения для них интранет-адресов. Мотивом проведения эксперимента стали опасения, что включение по умолчанию DNS-over-HTTPS может нарушить работу функционирующих через DNS систем родительского контроля, а также создать проблемы для пользователей корпоративных сетей, которые используют DNS-серверы, отдающие сведения о внутренних доменах, не видимых во внешней сети.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Для включения DoH в about:config следует изменить значение переменной network.trr.mode, которая поддерживается начиная с Firefox 60. Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/experimental" или "https://9.9.9.9/dns-query".

https://www.opennet.ru/opennews/art.shtml?num=51204

Инициатива по сокращению размера приложений в Fedora
Разработчики Fedora Linux объявили о формировании команды Minimization Team, которая совместно с мэйнтейнерами пакетов будет вести работу по сокращению установочного размера поставляемых приложений, runtime и других компонентов дистрибутива. Размер планируется сокращать за счёт прекращения установки излишних зависимостей и исключения необязательных компонентов, таких как документация.

Сокращение размера позволит добиться уменьшения размера контейнеров приложений и специализированных сборок для устройств интернета вещей. Отмечается, что в текущем виде размер базового образа Fedora почти в три раза превышает аналогичные образы от проектов Ubuntu, Debian и openSUSE (300 Мб против 91-113 Мб). В качестве основной причины роста установочного размера отмечаются зависимости, без которых вполне можно было обойтись. Сокращение зависимостей позволит не только оптимизировать размер минимального окружения, но и повысить общую безопасность и уменьшить векторы атак за счёт исключения лишнего кода.

Для сокращения зависимостей планируется проанализировать дерево зависимостей для типовых и часто используемых применений, что позволит понять какие зависимости можно исключить из-за их невостребованности, а какие имеет смысл разбить на части. Также рассматривается возможность предоставления специальных режимов для уменьшения размера устанавливаемых приложений, например, за счёт прекращения установки документации и примеров использования.

Дополнительно можно отметить решение комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora, отложить рассмотрение предложения по прекращению формирования основных репозиториев для архитектуры i686. К данному вопросу комитет вернётся за две недели до перевода пакетной базы на стадию заморозки перед бета-выпуском или после того как будет изучено возможное негативное влияние прекращения поставки пакетов для i686 на локальные сборки модулей.

Новость чуть устарела и малозначима, но, на мой взгляд, интересна.
22 июля компания Apple взяла и выпустила новую версию своей операционной системы для уже устаревших устройств — iOS 9.3.6. Обновление касается только iPad 2, iPad 3, iPad mini 1 и iPhone 4s. В обновлении решена проблема, которая может повлиять на работу GPS и привести к неправильной установке системной даты и времени. Интересно, что, вроде как, поддержка этих устройств уже давно была прекращена, к примеру, iPhone 4s был представлен аж в 2011 году, а с производства снят в 2014 году. Предыдущая версия (iOS 9.3.5) вышла в августе 2016 года, то есть почти три года назад, и считалось, что это последнее обновление для данных устройств.
В интернетах уже ходят теории, что новое обновление призвано превратить сии девайсы в тыкву, тем самым подтолкнув пользователей к апгрейду. Также уже на следующий день (23 июля) для новой системы появился jailbreak Phœnix.

Новые уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd
Мэти Ванхофом (Mathy Vanhoef) и Эяль Ронен (Eyal Ronen) выявили новый метод атаки (CVE-2019-13377) на беспроводные сети, использующие технологию защиты WPA3, позволяющий получить сведения о характеристиках пароля, которые можно использовать для проведения его подбора в offline-режиме. Проблема проявляется в актуальной версии Hostapd.

Напомним, что в апреле теми же авторами были выявлены шесть уязвимостей в WPA3, для противодействия которым объединение Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, внесло изменения в рекомендации по обеспечению безопасных реализаций WPA3, в которых было предписано использовать защищённые эллиптические кривые Brainpool, вместо ранее допустимых эллиптических кривых P-521 и P-256.

Тем не менее, анализ показал, что использование Brainpool приводит к возникновению нового класса утечек по сторонним каналам в применяемом в WPA3 алгоритме согласования соединений Dragonfly, предоставляющем защиту от подбора паролей в offline-режиме. Выявленная проблема демонстрирует, что создание реализаций Dragonfly и WPA3, избавленных от утечек данных по сторонним каналам, является чрезвычайно сложной задачей, а также показывает несостоятельность модели развития стандартов за закрытыми дверями без проведения общедоступного обсуждения предлагаемых методов и аудита сообществом.

При использовании эллиптической кривой Brainpool при кодировании пароля алгоритмом Dragonfly выполняется несколько предварительных итераций с паролем, связанных с быстрым вычислением короткого хэша до начала применения эллиптической кривой. До нахождения короткого хэша выполняемые операции напрямую зависят от пароля и MAC-адреса клиента. Время выполнения (коррелирует с числом итераций) и задержки между операциями в ходе выполнения предварительных итераций могут быть измерены и использованы для определения характеристик пароля, которые можно использовать в offline для уточнения правильности выбора частей пароля в процессе его подбора. Для проведения атаки необходимо наличие доступа к системе пользователя, подключающегося к беспроводной сети.

Дополнительно, исследователями выявлена вторая уязвимость (CVE-2019-13456), связанная с утечкой информации в реализации протокола EAP-pwd, использующего алгоритм Dragonfly. Проблема специфична для RADIUS-сервера FreeRADIUS и на основании утечки сведений по сторонним каналам также как и первая уязвимость позволяет существенно упростить подбор пароля.

В сочетании с улучшенным методом отсеивания шумов в процессе измерения задержек для определения числа итераций достаточно провести 75 измерений для одного MAC-адреса. При использовании GPU затраты на ресурсы для подбора одного словарного пароля оцениваются в $1. Методы по повышению безопасности протоколов, позволяющие блокировать выявленные проблемы, уже внесены в черновые варианты будущих стандартов Wi-Fi (WPA 3.1) и EAP-pwd. К сожалению, без нарушения обратной совместимости в текущих версиях протоколов устранить утечки по сторонним каналам не получится.

https://www.opennet.ru/opennews/art.shtml?num=51216

Google тестирует более крупный шрифт в результатах поиска

Около недели назад Google начал тестировать более крупный шрифт в результатах поиска на десктопах.

Размер шрифта увеличился примерно на 5-6%. При этом на первый взгляд кажется, что в браузере был увеличен масштаб.

Эксперимент затронул заголовки, ссылки и описания всех результатов поиска – как органических, так и платных. В связи с этим сниппеты стали занимать больше пространства, и на первом экране теперь отображается меньше результатов.

https://www.searchengines.ru/bigger-font.html

Я думал, у меня браузер сломался, а тут вон что. Это пиздец, конечно, как будто увеличение накрутили, и тут явно не 5-6 процентов, а минимум 10, я же не слепой, нахер они это говно сделали.

В экспериментальные сборки Chrome Canary добавлена поддержка протокола HTTP/3, реализующего надстройку для обеспечения работы HTTP поверх протокола QUIC. Непосредственно протокол QUIC был добавлен в браузер пять лет назад и с тех пор используется для оптимизации работы с сервисами Google. При этом применявшийся в Chrome вариант QUIC от Google в некоторых деталях отличался от варианта из спецификаций IETF, но теперь реализации синхронизированы.

HTTP/3 стандартизирует использование QUIC в качестве транспорта для HTTP/2. Для включения HTTP/3 и варианта QUIC из 23 черновика спецификаций IETF требуется запуск Chrome с опциями "--enable-quic --quic-version=h3-23", после чего при открытии тестового сайта quic.rocks:4433 в режиме инспектирования сети в инструментах для разработчиков активность по HTTP/3 будет отображаться как "http/2+quic/99".

Напомним, что протокол QUIC (Quick UDP Internet Connections) c 2013 года развивается компанией Google в качестве альтернативы связке TCP+TLS для Web, решающей проблемы с большим временем установки и согласования соединений в TCP и устраняющей задержки при потере пакетов в процессе передачи данных. QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL. Рассматриваемый протокол уже интегрирован в серверную инфраструктуру Google, входит в состав Chrome, запланирован для включения в Firefox и активно применяется для обслуживания запросов клиентов на серверах Google.

https://www.opennet.ru/opennews/art.shtml?num=51526

Представлен Bonsai, сервис синхронизации устройств для GNOME
Кристиан Хергерт (Christian Hergert), автор интегрированной среды разработки GNOME Builder, ныне работающий в Red Hat, представил экспериментальный проект Bonsai, нацеленный на решение задачи по синхронизации содержимого нескольких устройств, на которых используется GNOME. Пользователи могут использовать Bonsai для связывания нескольких Linux-устройств в домашней сети, когда необходимо получить доступ к файлам и данным приложений на всех компьютерах, но при этом не хочется передавать свои данные в сторонние облачные сервисы. Код проекта написан на языке Си и поставляется под лицензией GPLv3.

Bonsai включает фоновый процесс bonsaid и библиотеку функций libbonsai для предоставления сервисов, напоминающих облачные. Фоновый процесс может быть запущен на основной рабочей станции или постоянно работающем в домашней сети мини-компьютере Raspberry Pi, подключённом к беспроводной сети и накопителю для хранения данных. Библиотека используется для организации доступа приложений GNOME к сервисам Bonsai при помощи высокоуровневого API. Для связывания с внешними устройствами (другие ПК, ноутбуки, телефоны, устройства интернета-вещей) предложена утилита bonsai-pair, позволяющая сгенерировать токен для подключения к сервисам. После связывания организуется шифрованный канал (TLS) для обращения к севисам в котором применяются сериализированные запросы D-Bus.

Bonsai не ограничен только предоставлением совместного доступа к данным и также может использоваться для создания доступных для нескольких систем хранилищ объектов с поддержкой частичной синхронизации между устройствами, транзакциями, вторичными индексами, курсорами и возможностью наложения специфичных для каждой системы локальных изменений поверх общей совместной БД. Общее хранилище объектов построено на базе API GVariant и LMDB.

В настоящее время предложен только сервис для доступа к файловому хранилищу, но в дальнейшем планируется реализовать и другие сервисы для доступа к почте, календарю-планировщику, заметкам (ToDo), альбомам с фотографиями, коллекциям музыки и видео, системе поиска, резервному копированию, VPN и т.п. Например, при помощи Bonsai на разных компьютерах в приложениях GNOME можно будет организовать работу с синхронизированным календарём планировщиком или общей коллекцией фотографий.
https://www.opennet.ru/opennews/art.shtml?num=52123

Брюс Перенс покинул организацию OSI из-за разногласий, касающихся лицензии CAL
Брюс Перенс (Bruce Perens) объявил о выходе из организации Open Source Initiative (OSI), занимающейся проверкой лицензий на предмет соответствия критериям Open Source. Брюс является соучредителем OSI, одним из авторов определения Open Source, создателем пакета BusyBox и вторым лидером проекта Debian (в 1996 году сменил на посту Яна Мердока). В качестве причины ухода называется нежелание иметь отношение к готовящемуся в OSI решению по включению CAL (Cryptographic Autonomy License) в число открытых лицензий.

Лицензия CAL относится к категории копилефт-лицензий и разработана по заказу проекта Holochain специально для дополнительной защиты пользовательских данных в распределённых P2P-приложениях. Holochain развивает базирующуюся на цепочке хэшей (hashchain) платформу для создания криптографически верифицированных распределённых приложений. Лицензия CAL позволяет использовать Holochain в форме бесплатного и открытого ПО, если выполняется несколько условий. Во-первых, исходных код Holochain и всех производных работ должен поставляться под теми же условиями, включая условия, связанные с обеспечением конфиденциальности криптографических ключей. Во-вторых, право на общедоступное исполнение (public performance) Holochain, включая использование API Holochain для запуска приложений, предоставляется только при сохранении конфиденциальности и автономности закрытых криптографических ключей каждого отдельного пользователя.

CAL концептуально не походит на другие лицензии - если сервис использует ПО под данной лицензией, она охватывает не только код, но и обрабатываемые данные. В соответствии с лицензией CAL, если конфиденциальность ключа пользователя нарушена (например, ключи сохраняются на централизованном сервере), то нарушается и право владения данными и теряется контроль над собственными копиями приложения. На практике, указанная особенность лицензии допускает манипуляции с ключами только на стороне конечного пользователя, без их хранения на централизованных серверах.

Например, лицензия CAL не позволит компании создать на базе Holochain собственный корпоративный P2P-чат, в котором ключи сотрудников размещены на общем подконтрольном компании хранилище, не исключающем возможность чтения переписки. Таким образом Holochain пытается добиться того, чтобы любое приложение на базе Holochain заслуживало доверия и было автономным. Если приложение привлекает для работы с пользовательскими ключами централизованные системы, такое приложение лишается права работы с Holochain.

Брюс Перенс считает, что лицензия CAL не обеспечивает необходимой свободы и нацелена на защиту Holochain от злоупотреблений со стороны разработчиков, пытающихся в своих приложениях полностью контролировать данные пользователей. Требования к хранению ключей только на системах конечных пользователей в свете критериев Open Source могут восприниматься как ущемление прав отдельных групп и дискриминация по области применения.

Перенс пояснил, что важным свойством открытых лицензий является возможность применять их, не привлекая юристов. Пользователь может просто установить программу, поставляемую под утверждённой в OSI открытой лицензией, и если он не вносит изменения в код и не передаёт программу кому-то ещё, ему даже не нужно читать лицензию. В OSI одобрено более 100 открытых лицензий и все они соответствуют данной модели. Но лицензия CAL ломает эту модель - если кто-то работает с программой под лицензией CAL и у него есть пользователи, то на него налагается дополнительная ответственность за возвращение данных этим пользователям.

При помощи новой лицензии Holochain пытается контролировать сеть приложений и противостоять тому, что разработчики клиентов для распределённой платформы, могут привязать к себе пользователей, захватив их данные. Перенс признаёт благой цель обеспечения конфиденциальности данных пользователей, но считает недопустимым то, что для понимания лицензии и взаимодействия с пользователями потребуется консультация юриста. Перенс также обратил внимание на порочность разрастания числа лицензией, обилие которых затрудняет комбинирование приложений под разными лицензиями, и указал, что можно обойтись только тремя лицензиями - AGPLv3, LGPLv3 и Apache v2.

Лицензия CAL разработана известным юристом Ваном Линдбергом (Van Lindberg), специализирующимся на вопросах, связанных с интеллектуальной собственностью и лицензиями в открытом ПО. По сведениям, которые удалось получить изданию The Register, Линдберг в частном порядке пролоббировал согласие директоров OSI признать открытой лицензию CAL, в обход публичного процесса одобрения лицензии.

Линдберг ответил, что многие люди изначально сформировали предвзятое мнение о лицензии CAL и пытаются использовать любые поводы для противостояния. Слово лоббирование в данном контексте неуместно, так как рецензирование лицензии и её обсуждение велось на публичных форумах, а частном порядке обсуждались лишь процедурные вопросы.

Памела Честек (Pamela Chestek), возглавляющая комитет по рецензированию лицензий, указала, что ничего странного в приватной переписке нет, так как обычно управляющий совет OSI консультируется со сторонами до рецензирования лицензии. В том числе у неё был телефонный разговор с Линдбергом, в котором она попыталась пояснить в чём именно проблемы с предложенной лицензией. Возможно это общение было не правильно понято. Что касается лицензии CAL, то дискуссия в её отношении ещё не завершена и окончательное мнение пока не сформировано.
https://www.opennet.ru/opennews/art.shtml?num=52135

Государство и цифровой след, Москва — столица ИИ?, Samsung блочит телики

Время выхода в эфир: 09 февраля 2020, 21:05

ГОСТИ:
Владислав Здольников
интернет-эксперт
Григорий Бакунов
интернет-эксперт, директор по распространению технологий компании Яндекс

ВЕДУЩИЕ:
Александр Плющев, Сергей Оселедько

https://echo.msk.ru/programs/tochka/2584526-echo/
https://cdn.echo.msk.ru/snd/2020-02-09-tochka-2105.mp3

Википедия празднует свой 20-ый День рождения.
https://wikimediafoundation.org/ru/wikipedia20/

19 апреля Microsoft раскрыла планы относительно развития Visual Studio. А именно следующая версия Visual Studio будет называться Visual Studio 2022. И, как предполагается, ее первая превью-версия выйдет летом 2021 года. Напомню, что текущей версией VS является Visual Studio 2019. И вот спустя три года ожадется выпуск новой версии.

Что нового ожидается в Visual Studio 2022? Преждае всего это переход на 64-битную архитектуру. То есть Visual Studio 2022 будет 64-битной. И, таким образом, она больше не будет ограничена 4 ГБ памяти. Соответственно, как ожидается, увеличится производительность, студия станет работать производительнее, быстрее. Но при этом будет более легковесной.

Проще станет открывать и выполнять разработку и отладку больших и комплексных решений с большим количеством проектов. Ниже на гиф-анимации приведен пример открытого в VS 2022 решения с 1600 проектов, которые в сумме содержат порядка 300000 файлов. При этом никаких исключений, связанных с исчерпанием памяти, не происходит.

При этом подчеркивается, что на Visual Studio 2022 по прежнему можно будет создавать 32-битные приложения.

В новой Visual Studio также ождаются изменения в интерфейсе. В частности, будут изменены темы, иконки, в качестве основного шрифта будет применяться "Cascadia Code". Больше станет возможностей для персонализации.

Visual Studio 2022 будет иметь полноценную поддержку .NET 6 и всех сопутствующих технологий и фреймворков, как .NET Multi-platform App UI (.NET MAUI) или ASP.NET Blazor. А для большинства типов проектов будет доступна функция .NET Hot Reload, которая позволит применить к запущенному приложению изменения в коде без перезапуска проекта.

Также новая Visual Studio будет включать инструменты и IntelliSense для поддержки возможностей C++20. И также будет иметь поддержку для CMake, Linux и WSL, чтобы было проще создавать кроссплатформенные приложения.

Также изменится Visual Studio for Mac. Ожидается, что Visual Studio 2022 for Mac перейдет на найтивный UI-интерфейс macOS, что должно привнести в студию больше производительности и надежности. Кроме того, это позволит Visual Studio for Mac более полно задействовать имеющиеся в MacOS возможности.

https://devblogs.microsoft.com/visualstudio/visual-studio-2022/

FSF представил браузерное дополнение JShelter
Фонд свободного ПО представил проект JShelter, развивающий браузерное дополнение для защиты от угроз, возникающих при использовании JavaScript на сайтах, включая скрытую идентификацию, отслеживание перемещений и накопление данных о пользователе. Дополнение подготовлено для Firefox и браузеров на основе движка Chromium.
Проект развивается как совместная инициатива, финансируемая фондом NLnet Foundation. К разработке JShelter в том числе присоединился Джоржио Маоне (Giorgio Maone), создатель дополнения NoScript, а также основатели проекта J++ и авторы дополнений JS-Shield и JavaScript Restrictor. В качестве основы нового проекта использовано дополнение JavaScript Restrictor.

https://www.opennet.ru/opennews/art.shtml?num=55894
https://www.fsf.org/news/fsf-announces-jshelter-browser-add-on-to-combat-threats-from-nonfree-javascript

Выпуск мультимедиа-пакета FFmpeg 5.0
После десяти месяцев разработки доступен мультимедиа-пакет FFmpeg 5.0. Значительная смена номера версии объясняется существенными изменениями в API и переходом на новую схему формирования релизов.

https://opennet.ru/56526-ffmpeg
https://ffmpeg.org/index.html#news