• Свободные библиотеки для создания и редактирования файлов PDF

      Неделю назад состоялся релиз свободной библиотеки для генерации pdf-файлов версии OpenPDF 1.1.0, самый значительной апгрейд этой библиотеки за последнее время.

      OpenPDF — это Java-библиотека для создания и редактирования файлов PDF, которая распространяется под двойной лицензией LGPL/MPL. Библиотека основана на форке iText. В реальности у неё такая история:

      LibrePDF/OpenPDF

      forked from rtfarte/OpenPDF

      forked from kulatamicuda/iText-4.2.0

      forked from daviddurand/iText-4.2.0

      forked from ymasory/iText-4.2.0


      Все форки ведут историю от одной версии iText 4.2.0, которая вышла восемь лет назад и стала последней версией под свободной лицензией. Сами разработчики iText перешли на AGPL и сконцентрировались над созданием пятой версии, чтобы более успешно продавать коммерческий софт. К настоящему времени они доросли до версии iText 7. Но свободный проект тоже не погиб, а продолжил развитие силами всего сообщества.
      Читать дальше →
      • +22
      • 5,2k
      • 4
    • В Office 365 Outlook нашли недокументированные API c подробными логами активности пользователя



        Детальные логи Office 365 Outlook, извлечённые программой Magic-Unicorn-Tool: злоумышленник ищет счёт на оплату (payment invoice). Первая буква поискового запроса введена в 10:42:44.548, последняя в 10:43:07.214. Информация об активности хранится в логах шесть месяцев

        Долгое время ходили слухи, что в Office 365 есть встроенный секретный инструмент для записи активности пользователей. В июне 2018 года эти слухи подтвердились в полной мере. Всё началось с видеоролика, опубликованного Anonymous, а потом уже специалисты CrowdSrtike выложили подробный отчёт.

        Microsoft внедрила в почтовый клиент Activities API не для каких-то злонамеренных целей, а для задач цифровой криминалистики, то есть расследования инцидентов со взломом корпоративной почты и другими утечками данных. Для этого ведётся подробнейший лог активности за шесть месяцев даже если пользователь отключил журналирование.
        Читать дальше →
        • +25
        • 14,4k
        • 5
      • Началась сертификация устройств WPA3: слабые пароли стали более безопасными

          25 июня 2018 года Wi-Fi Alliance официально представил программу сертификации Wi-Fi CERTIFIED WPA3. Это первое за последние 14 лет обновление протоколов безопасности Wi-Fi.

          По заявлению альянса, WPA3 (Wi-Fi Protected Access 3) «добавляет новые функции для упрощения безопасности Wi-Fi, обеспечения более надёжной аутентификации, повышения криптографической стойкости для высокочувствительных рынков данных и обеспечения отказоустойчивости критически важных сетей». Во всех сетях WPA3:

          • Используются последние методы безопасности
          • Запрещены устаревшие протоколы
          • Обязательна функция защиты управляющих фреймов от компрометации PMF (Protected Management Frames)
          Читать дальше →
          • +20
          • 6,9k
          • 6
        • Третья версия reCAPTCHA срабатывает в фоне незаметно для пользователей

            В мае этого года на конференции конференции Google I/O 2018 представили третью версия технологии reCAPTCHA — reCAPTCHA v3 (бета). Как известно, это самая популярная система типа CAPTCHA, которая создана для блокировки ботов, то есть автоматизированных действий на разных сервисах.

            Систему критиковали за эксплуатацию бесплатного человеческого труда (в случае первой версии, которую Google использовала для оцифровки книг), за осложнение жизни людям с нарушениями зрения и другими болезнями вроде дислексии. Ещё reCAPTCHA критикуют за излишнюю сложность: людям трудно или невозможно правильно ответить на вопрос: тест становится просто абсурдным. На иллюстрации слева показы несколько примеров с первой версии reCAPTCHA. Ситуация не слишком улучшилась с выпуском второй версии (где нужно выбрать картинки, содержащие указанный объект).

            Но третья версия — совершенно другое дело. Она точно никому не помешает, потому что работает незаметно для пользователей, используя методы поведенческого анализа.
            Читать дальше →
          • Установка сертификата на HTTP сервер Apache

            • Tutorial
            image

            Данная статья предлагает пошаговую инструкцию по установке сертификата на HTTP сервер Apache. Обратите внимание, что с версии 2.4.8 Apache параметры конфигурации сервера были изменены.
            Читать дальше →
            • –4
            • 2,3k
            • 3
          • Я могу стать Apple, и ты тоже

            • Перевод

            Публичное раскрытие уязвимости в сторонней проверке подписи кода Apple


            В отличие от некоторых предыдущих работ, данная уязвимость не требует прав администратора, не требует JIT-кода или повреждения памяти для обхода проверки подписи кода. Всё что нужно — правильно отформатированный файл Fat/Universal, и проверка подписи кода покажет валидный результат.

            Резюме


            • Найденный обход применяемого сторонними разработчиками API для подписи кода позволяет представить любой код как подписанный Apple.
            • Все известные вендоры и проекты с открытым исходным кодом уведомлены (см. список ниже). Для них доступны патчи.
            • Есть вероятность, что проблема затрагивает другие сторонние программы, где используются официальные API подписи кода от Apple.
            • Разработчики несут ответственность за правильное использование API подписи кода. Есть инструменты демо-взлома (PoC) для тестов.
            • Относится только к macOS и более старым версиям OSX.
            Читать дальше →
            • +23
            • 8,9k
            • 1
          • Запущен проект Fusion по слиянию Tor Browser и Firefox

              Активисты Tor объявили о начале проекта FUSION (переводится как «слияние», но одновременно представляет собой аббревиатуру Firefox USIng Onions). Это проект по интеграции функций Tor Browser непосредственно в Firefox.

              Как известно, Tor Browser строится на основе Firefox ESR с кучей патчей, специфических для Tor. Разработчикам анонимного браузера не очень удобно тратить время на перебазирование этих патчей из одного репозитория в другой. Поэтому несколько лет назад совместно с Mozilla был организован проект Uplift, который предусматривал автоматическое включение патчей Tor Browser в кодовую базу Firefox. На протяжении последних полутора лет новые функции информационной безопасности одновременно внедрялись в Tor Browser и Firefox. Это изоляция элементов (First-Party Isolation, настройка privacy.firstparty.isolate в Firefox 52+, она же часть ключевой системы Cross-Origin Identifier Unlinkable, которая обеспечивает анонимность в Tor Browser), система противодействия фингерпринтингу, в том числе фингерпринтингу по установленным шрифтам, противодействие фингерпринтингу по HTML5 canvas, новая настройка privacy.resistFingerprinting в Firefox 59+ и т. д.

              Теперь наступило время для следующего этапа: более плотной интеграции и в конечном итоге полного слияния Firefox и Tor Browser.
              Читать дальше →
            • АНБ предложило стандарт шифрования для устройств Интернета вещей, но ISO его отвергло



                Шифровальная машина Enigma. Ходят слухи, что это первое из устройств, куда внедрило бэкдор АНБ. Это произошло после WWII в сотрудничестве с фирмой-производителем Crypto AG. С тех пор внедрение таких бэкдоров стало чуть ли не стандартной практикой для американских разведчиков

                Многие говорят о всемогуществе американских спецслужб: мол, они делают аппаратные закладки в CPU (чипы Clipper) и оставляют бэкдоры в стандартах шифрования на этапе создания этих стандартов, как было с алгоритмом Dual_EC_DRBG, принятым NIST в качестве стандарта ГСЧ. Документы Сноудена показали, что АНБ заплатило RSA за включение этого ГСЧ в своё программное обеспечение.

                Но в реальности даже их влияние не безгранично. Если верить источнику WikiTribune из Международной организации по стандартизации (ISO), в апреле этого года развернулась целая дискуссия между специалистами из международной группы экспертов по безопасности ISO и сотрудниками Агентства национальной безопасности США (АНБ), которые представили новые блочные шифры для Интернета вещей.
                Читать дальше →
              • Беспроводная HD-видеокамера без батарейки


                  ASIC беспроводной HD-видеокамеры. Фото: Вашингтонский университет

                  Обратное рассеяние (backscattering) — физическое явление, при котором происходит отражение волн, частиц или сигналов в обратном направлении, то есть в сторону источника. Оно традиционно используется в астрономии, фотографии и УЗИ. Но оказывается, что это явление можно использовать для электроники, сенсоров и радиопередатчиков.

                  В лаборатории сенсорных систем Вашингтонского университета разработали HD-видеомодуль, который передаёт видеопоток 720p и 1080p на 60 FPS с энергопотреблением 321 и 806 мкВт, соответственно. Это в 1000−10000 раз меньше, чем у существующих беспроводных камер. Другими словами, модулю вполне хватит энергии, извлекаемой из окружающей среды (WiFi, свет, вибрация, разница температур, излучение СВЧ и проч.).

                  Этого удалось добиться за счёт устранения из устройства «лишней» электроники, в том числе АЦП и видеокодера. Сигнал с сенсора передаётся в аналоговом виде через широтно-импульсный модулятор с обратным рассеянием.
                  Подробнее
                • Из Chrome исчезнет значок «Защищено» для сайтов HTTPS, и это правильно



                    Несколько месяцев назад разработчики Chrome объявили, что в июле 2018 года начнут помечать как небезопасные все страницы HTTP. Значок «Не защищено» (“Not secure”) появится в адресной строке рядом с URL.

                    Это важное нововведение, потому что людей приучают избегать сайтов, которые не установили сертификат TLS для шифрования трафика. Ведь такие сайты действительно подвергают опасности пользователей. Например, провайдеры и другие злоумышленники могут внедрять в незашифрованный трафик рекламу, криптомайнеры и другой вредоносный контент. В опросе на Хабре 55% пользователей согласились, что все сайты должны шифровать трафик по HTTPS.

                    Сейчас стало известно об ещё одном изменении, смысл которого сразу не так очевиден. Оказывается, с версии Chrome 69 (сентябрь 2018 года) у защищённых сайтов HTTPS исчезнет индикатор «Защищено». Спрашивается, почему?
                    Читать дальше →
                  Самое читаемое