9 февраля 2020 года Линус поставил тег rc1 на ветке с новым ядром Linux 5.6. Таким образом, окно для вливания коммитов закрыто — и можно окинуть взглядом, что из себя представляет новое ядро 5.6, релиз которого состоится в конце марта или начале апреля.

Хотя из-за праздников окно получилось чуть меньше обычного, это не помешало добавить 11 500 коммитов от более 1400 разработчиков. Некоторые патчи очень важные, а издание Phoronix даже считает, что Linux 5.6 станет «самым восхитительным ядром за много лет». Судите сами, вот неполный список нововведений:

• Поддержка USB4
  
• Встроенный VPN WireGuard на уровне ядра
  
• Опенсорсные драйверы Nvidia RTX 2000
  
• Начало поддержки процессоров на будущей архитектуре AMD Zen 3
  
• и многое-многое другое...

Разработчики GitHub выпустили бета-версию консольной утилиты GitHub CLI. Она позволяет создавать пул-реквесты и тикеты на GitHub, не выходя из консоли, где вы уже работаете с git.

Пул-реквесты и issue — самые распространённые команды, поэтому их добавили в первую очередь.

Как и прошлая программа Hub, эта полностью написана на Go. Она тоже запускается в разных ОС, включая Linux, MacOS и Windows, причём гораздо удобнее в использовании.

Проект Station был запущен 5 лет назад. Он был призван обеспечить бесплатный доступ в интернет через Wi-Fi. Google так и не придумал, как его монетизировать. Поэтому Station прекратит свою работу во всех странах присутствия до конца текущего года: Google передаст его в ведение своих партнеров.

В понедельник, 17 февраля, в возрасте 74 лет скончался Ларри Теслер — известный американский информатик. Об этом официально сообщила компания Xerox, в которой Теслер работал с 1973 по 1980 год и занимался разработкой процессоров Gypsy и Smalltalk.


Вклад Теслера в информатику и влияние его работы как на профессиональную среду, так и на повседневную жизнь каждого пользователя можно оценить как «огромное».

«Да мы же святые!» — как бы говорят интернет-провайдеры. Иллюстрация из статьи The Register

Необычный судебный процесс начинается в американском штате Мэн. Четыре отраслевые группы интернет-провайдеров (ISP) подали коллективный иск (PDF) против генерального прокурора штата Мэн Аарона Фрея. Провайдеры требуют отмены поправок в статут штата Мэн от 6 июня 2019 года, поскольку эти поправки «налагают беспрецедентные и неоправданно обременительные ограничения на свободу слова интернет-провайдеров и только интернет-провайдеров». Суть в том, что новые нормы требуют от ISP спрашивать согласия пользователей на продажу их браузерной истории, то есть истории посещённых страниц и других действий в интернете. Это был традиционный источник дохода интернет-провайдеров, который может быть перекрыт.

Самое интересное, что в обоснование своих требований отраслевые ассоциации ACA Connects, CTIA, NCTA и USTelecom ссылаются на Первую поправку к Конституции США, которая гарантирует свободу слова.

Вчера Mozilla включила DNS-шифрование по умолчанию у американских пользователей. Инфраструктура будет нагружаться постепенно, а полное развёртывание функции займёт около двух недель.

Разработанный Mozilla, Google и Cloudflare протокол DNS-over-HTTPS (DoH) сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас злоумышленник может отслеживать содержимое DNS-пакетов и даже подменять их.

До конца текущей недели Google намерен изменить алгоритм работы поиска по изображениям в интернете. Как сообщает официальный твиттер-аккаунт Google SearchLiaison, сервис Images перестанет отображать размеры изображений поверх миниатюр в окне поисковой выдачи; вместо этого появятся ярлыки категорий, к которой будут отнесены все картинки. К примеру, если на изображении показано какое-нибудь блюдо, то Google автоматически прикрепит к нему соответствующую метку, например, с иконкой ножа и вилки (о, Боже, неужели?!?)

Сейчас, согласно закону «О защите конкуренции», под действие антимонопольного законодательства не подпадают результаты интеллектуальной деятельности, к которым, в частности, относится программное обеспечение. То есть IT-разработчик может устанавливать произвольную цену на свои продукты, на него не распространяются запреты на злоупотребление доминирующим положением и на участие в антиконкурентных соглашениях.

В феврале ФАС обнародовала проект поправок в закон «О защите конкуренции», который лишает разработчиков этого иммунитета, распространяя антимонопольное законодательство на компьютерные программы и базы данных.

Согласно отчету RedMonk за январь 2020 года, Python стал вторым по популярности языком программирования после Java Script. Ранее эту позицию на протяжении длительного времени уверенно удерживал Java, однако в начале года этот ЯП сместился на третью строчку рейтинга, который формируется на базе информации репозиториев GitHub. Если быть точными, то пара Java Script и Java удерживали топ-2 популярности языков программирования с момента начала формирования указанного рейтинга, то есть с 2012 года.



Популярность JS и Java и их топовые позиции в рейтинге ожидаемы. Java Script — основной язык веб-разработки уже долгие годы, когда как Java — стандарт в разработке под Android и в сфере корпоративных приложений.

В 1967 компания Crypto AG выпустила H-460, полностью электронную шифровальную машину, начинку которой разработали в АНБ

Финансовый департамент правительства Швейцарии подал заявление о возбуждении уголовного дела «против неизвестных лиц» в связи с сообщениями СМИ о том, что ведущий мировой производитель криптографического оборудования Crypto AG тайно принадлежал Центральному разведывательному управлению США. Эта теория заговора циркулировала с 1980-х годов, а сейчас полностью подтвердилась.

Швейцарская фирма заработала миллионы долларов, продавая оборудование в более чем 120 стран. Но в феврале 2020 года стало известно, что ею тайно владела ЦРУ в рамках секретного партнёрства с западногерманской разведкой БНД. Как сообщается, операция «Рубикон» находится в числе наиболее дерзких операций в истории ЦРУ. Договор, длившийся несколько десятилетий, оказался раскрыт благодаря материалам, полученным газетой The Washington Post и немецким изданием ZDF.

Amazon объявил о начале продаж оборудования для ритейлеров, собирающихся реализовать концепцию магазинов без касс. Компания назвала эту технологию Just Walk Out. Она включает в себя потолочные камеры и датчики, устанавливаемые на полках, которые измеряют вес продуктов. Для обработки данных используется облачная инфраструктура Amazon Web Services. Правда, имена первых клиентов Amazon не раскрывает.

Любая компания, желающая использовать операционную систему Google Android TV в своих устройствах Smart TV, по условиям соглашения с корпорацией, не может выпускать собственные гаджеты под управлением так называемых форков Android, то есть альтернативных сборок ОС на базе открытой части ее кода. В противном случае производители могут лишиться доступа к собственным приложениям Google и официальному магазину приложений Android – Google Play Market. То есть если какой-то производитель установит на те или иные ассортиментные позиции форк, Google может ограничить доступ к Play Market с любых девайсов этого разработчика. Кстати, одним из таких форков является Fire OS компании Amazon.

Обеспечить бесплатный доступ к социально значимым ресурсам до 1 июня 2020 года поручил президент РФ Владимир Путин в послании Федеральному собранию. Но, возможно, заплатить за бесплатность придётся нам с вами: сотовые операторы предупредили о неизбежном росте тарифов, если государство не компенсирует им этот бесплатный доступ абонентов к социально значимым сайтам. А с учетом потерь операторов из-за снижения курса рубля связь в 2020 году может подорожать на 20%, полагают эксперты, опрошенные «Коммерсантом».

Похоже, Microsoft планирует вернуть в Windows 10 экспериментальную функцию Windows Sets («Наборы»), наделяющую любое окно ОС вкладками, как в современных браузерах. В роли вкладок выступают все открытые окна и программы, и пользователь сможет быстро переключаться между ними без использования классической комбинации Alt+Tab.

«Наборы» никогда не были частью стабильных сборок Windows 10, доступных обычным пользователям. Работать с ними могли исключительно участники программы Windows Insider, то есть бета-тестеры. Но и они лишились такой возможности весной 2019 года, когда Microsoft отказалась от этой весьма полезной функции.

Техника атаки HTTP Request Smuggling (контрабанда вредоносных HTTP-запросов на бэкенд в результате рассинхронизации фронтенд- и бэкенд-серверов) известна 15 лет, хотя в прошлом году Джеймс Кеттл рассказал о новых методах, c помощью которых заработал на bugbounty около $70 000. Судя по всему, атака эффективна и сейчас, причём уязвимы многие.

12 марта 2020 года на портале HackerOne рассекретили описание уязвимости Slack, которую закрыли 13 февраля. Оказывается, до этого времени сессионные куки пользователей Slack были доступны для массового перехвата. Описание взлома Slack довольно подробное, поэтому заслуживает внимания. Похоже, что эту технику можно использовать для взлома других сервисов, которые работают за прокси (AWS ALB, nginx, haproxy до 2.0.6 и прочие).

Обработка шрифтов OpenType (OTF) происходит на уровне ядра Windows

Во всех версиях Windows (7, 8.1, 10, Server 2008-2019) обнаружена критическая уязвимость, допускающая удалённое исполнение кода в полностью пропатченной системе. Microsoft вчера опубликовала предупреждение о безопасности ADV200006. Об уязвимости приходится сообщать до выпуска патча, потому что она уже активно эксплуатируется злоумышленниками. Пока её заметили только в «ограниченных целевых атаках», пишет Microsoft.

Кроме зашифрованного канала с сервером ProtonVPN (185.159.157.8), устройство iOS (10.0.2.109) поддерживает незашифрованное соединение с сервером Apple (17.57.146.68)

В iOS 13.3.1 и более поздних версий обнаружена неприятная уязвимость (базовый рейтинг 5,3 из 10 по шкале CVSS v3.1). Она связана с некорректным шифрованием данных под VPN.

О баге рассказали своим пользователям разработчики ProtonVPN. Суть в том, что после подключения к VPN весь трафик должен идти по зашифрованному каналу между устройством и VPN-сервером. Однако iOS оставляет открытыми соединения за пределами VPN-туннеля.

Обманное сообщение в приложении Zoom

Компания SpaceX запретила своим сотрудникам использовать приложение для видеоконференцсвязи Zoom из-за «значительных проблем конфиденциальности и безопасности». Уведомление разослано по внутренней почте через несколько дней после того, как американские правоохранительные органы предупредили пользователей о безопасности популярного приложения.

За последние три месяца количество пользователей Zoom выросло в двадцать раз: с 10 млн до 200 млн человек. Одновременно в программе обнаружен десяток новых уязвимостей и сомнительных функций. Среди них — автоматическая установка на компьютер без участия пользователя, автоматическое добавление в контакты посторонних лиц, удалённое получение рута под macOS, автоматическое преобразования путей к файлам в кликабельные ссылки (для получения хэшей NetNTLM от жертвы под Windows) и др.

Новый участник присоединился к конференции, но ещё не получил ключ шифрования

Свободное приложение для видеоконференций Jitsi Meet реализовало сквозное шифрование (end-to-end), где обмен ключами происходит между участниками видеоконференции без участия сервера, как сейчас.

Публичное тестирование здесь.

Замечания и предложения принимаются в репозитории E2EEContext.js.

Минэкономразвития выступило с резкой критикой и высказалось против текущего текста закона о предустановке российского ПО на новые продаваемые гаджеты и смартфоны. Закон был оценен специалистами министерства как сырой и потенциально вредный как для ритейла, так и для конечных потребителей, сообщают ТАСС и Cnews, оригинал отчета, по информации Cnews, размещен на Федеральном портале проектов нормативных правовых актов.

По оценкам экспертов министерства, разработанный ФАС законопроект не только ограничивает свободу торговли и влияет на потребителя, но также является сырым и требует доработки. Так, например, Минэкономразвития указало на формулировку, которую использует ФАС для определения устройств, подпадающих под закон о предустановке программного обеспечения:

оборудование беспроводной связи для бытового использования, имеющего сенсорный экран и обладающего двумя и более функциями

По мнению специалистов, подобное определение является слишком размытым, так как под него можно подвести любое современное бытовое устройство, вплоть до стиральных машин и холодильников. Предустановка же программного обеспечения на эти типы техники выглядит, как минимум, сомнительно.