Category: Интересно

Доступны сборки Firefox без обязательной проверки цифровой подписи дополнений

Июл 29, 2016 - Интересно - 0 Comments - Стандартный

29.07.2016 23:04 Доступны сборки Firefox без обязательной проверки цифровой подписи дополнений

Разработчики проекта Mozilla объявили о начале формирования обезличенных сборок Firefox, поставляемых без блокировки работы дополнений, не имеющих цифровой подписи. Сборки доступны только для локали en-US, не поддерживают автоматическое обновление (каждый новый выпуск необходимо отслеживать и устанавливать вручную) и поставляются без элементов брендинга, т.е. без использования логотипа и имени Firefox.

В релизе Firefox 48, который состоится 2 августа, из настроек about:config будет убрана опция «xpinstall.signatures.required», позволявшая отключить проверку дополнений по цифровой подписи. Таким образом, начиная с Firefox 48 все установленные дополнения должны быть подписаны их создателями и обойти данное ограничение можно только установив представленную выше отдельную обезличенную сборку или воспользовавшись режимом временной установки дополнений, позволяющим установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение будет автоматически удалено).

Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

  1. Главная ссылка к новости (https://blog.mozilla.org/addon…)
  2. OpenNews: Mozilla переходит к обязательной проверке Firefox-дополнений по цифровой подписи
  3. OpenNews: Проект Mozilla продлил возможность работы с неподписанными дополнениями в Firefox
  4. OpenNews: В Firefox 45 появится поддержка временной установки неподписанных дополнений
  5. OpenNews: Демонстрация неэффективности внедрения в Firefox проверки дополнений по цифровой подписи
  6. OpenNews: Firefox переходит на новый API разработки дополнений, совместимый с API для Chrome
Тип: К сведению
Ключевые слова: mozilla, firefox
При перепечатке указание ссылки на opennet.ru обязательно
 
 
+1 +/
Затем, что если человек ставит себе такую сборку, то он сознаёт, что делает и никаких претензий к Mozilla иметь не будет, если подцепит заразу.

А те, кто не хочет разбираться, почему у них реклама в браузере и начинает сразу гнать на браузер, продолжат пользоваться Firefox.

 
+1 +/
>большинство авторов большинство авторов вредоносных дополнений ленивы

Ага, вот кто-кто а именно авторы «вредоносных дополнений» — лентяи. Именно лень толкает их к раработке (очевидно на безвозмездной основе) кучи кода. Всё именно так, как нафантазировали мозилловцы в своих эротических снах. Тьфу!

 
+/
А слабо им было по умолчанию продолжить распространять версию с возможностью отключения проверки дополнений, а в качестве опции предложить  сборки с вырезанной настройкой? Всё равно вся их верификация вредоносных дополнений как слону дробина и обходится влёт.
 
 
+/
> Ну да, а сами при этом в каждый релиз добавляют новое неотключаемое
> дополненние, каждое из которых следит за пользователями.

За что я не люблю опеннет — за то, что тут каждый второй коммент — буллщит. Сгоняй в about:performance и отключи там любое дополнение, даже изкоробочное.

 
 
 
 
+/
> Для особо ленивых даже аддон есть которое отключает все эти аддоны.

Вся суть Win-юзеров. Ставить аддон, вместо того, чтобы сходить на about:performance и отключить там эти дополнения.

 
 
+/
> Прощай uBlock и uMatrix с оригинального гитхаба. Что-нибудь есть равноценное, и экономное
> до памяти ?

Вас чем-то не устраивают те же самые uBlock Origin и uMatrix с каталога дополнений? Они там обновлены 22 и 24 июня этого года.

 
+/
> большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

а будут просто их загугливать и копипастить

 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)

Релиз полностью свободного дистрибутива Parabola GNU/Linux 2016.07.27

Июл 29, 2016 - Интересно - 0 Comments - Стандартный

Представлен релиз дистрибутива Parabola GNU/Linux 2016.07.27, включённого Фондом свободного ПО в список полностью свободных дистрибутивов. Parabola основан на наработках проекта Arch Linux и отличается использованием libre-версии ядра Linux и проведением чистки всех несвободных компонентов, таких как бинарные драйверы, firmware и элементы графического оформления, распространяемые под несвободной лицензией или использующие зарегистрированные торговые марки с несвободными условиями. Для загрузки подготовлены три варианта iso-образов — консольная сборка (580 Мб), версия с рабочим столом MATE (2 Гб) и сборка с голосовым интерфейсом для людей с ослабленным зрением (690 Мб).

Из новшеств отмечается включение в состав приложений для обмена сообщениями и видеовызовов, таких как mate-extra, linphone и qtox. Добавлены дополнения к Pacman octopi-cachecleaner, octopi-notifier и octopi-repoeditor. В качестве дисплейного менеджера по умолчанию задействован lightdm. Добавлены утилиты для сжатия данных p7zip, unar, unzip и zip. Из черного списка удалены пакеты cargo и rust, так как их не затрагивают ограничения по использованию торговой марки Firefox. В черный список занесён пакет foomatic-db-nonfree-ppds.

Let’s block ads! (Why?)

Выпуск эмулятора терминала xfce4-terminal 0.6.90

Июл 29, 2016 - Интересно - 0 Comments - Стандартный

29.07.2016 15:45 Выпуск эмулятора терминала xfce4-terminal 0.6.90

Спустя 3.5 года после предыдущего релиза 0.6.3 доступен экспериментальный выпуск эмулятора терминала xfce4-terminal 0.6.90. В новой версии проведена миграция приложения на GTK3+/VTE3, решившая множество проблем, порождённых устаревшей и неподдерживаемой библиотекой VTE, в том числе проблему с Midnight Сommander. Также добавлено несколько нововведений, исправлено множество ошибок и обновлены переводы. Xfce4-terminal требует для работы gtk+-3 3.14.0+ и vte-2.91 0.38+. Наилучшая поддержка обеспечивается с gtk+-3 3.20.0+ и vte-2.91 0.44+.

Полный список изменений:

  • Миграция на GTK+3/VTE3;
  • Исправлена ошибка закрытия не тех вкладок по Ctrl+Shift+W;
  • Горячая клавиша закрытия работает для единственной вкладки;
  • Добавлены горячие клавиши Ctrl+Shift+PgUp/PgDn для перемещения вкладок влево/вправо;
  • Поддержка бесконечного буфера прокрутки;
  • Исправлена ошибка применения действий к неправильной вкладке после закрытия другой вкладки;
  • Обновление версии intltool;
  • Добавлена горячая клавиша Ctrl+Shift+S для задания заголовка вкладки;
  • Опция MiscTabCloseMiddleClick доступна в диалоге настроек;
  • Исправлена ошибка не выведения окна терминала на передний план при использовании опции —tab;
  • Настройка границ окна не работала в выпадающем режиме терминала
  • Новый способ изменения прозрачности окна
  • Исправлена ширина окна в выпадающем режиме, которая не была 100%
  • Добавлена и доступна через диалог настроек опция ShortcutsNoHelpkey, отключающая шорткат F1 (вывод справки)
  • Поддержка magnet ссылок
  • Опция MiscMouseAutohide доступна в диалоге настроек
  • Исправлено падение при указании опции —geometry
  • Возможность увеличивать/уменьшать размер шрифта по нажатию Ctrl +/-; добавлены опции —font и —zoom
  • Больше возможностей увеличения/уменьшения размера шрифта
  • Добавлена скрытая MiscMiddleClickOpensUri, управляющая открытием ссылок по нажатию средней кнопки мыши: если FALSE, то для открытия используется Ctrl + левая кнопка мыши; по умолчанию FALSE
  • Исправлена сборка с vte < 0.44
  • Удалены настройки эмуляции как неподдерживаемые библиотекой vte
  • Не открывать много диалогов задания заголовка
  • Удалена кнопка помощи и добавлена иконка на кнопку закрытия в диалоге задания заголовка
  • Добавлена иконка на кнопку закрытия в диалоге поиска
  • Настройка переименована из Прозрачности в Непрозрачность
  • Обновлена ссылка на веб-сайт в диалоге «О программе»
  • Исправлено падение при перетаскивании вкладки из одного окна терминала в другое
  • Добавлена всплывающая подсказка для кнопки Искать на Панели инструментов
  • В диалог настроек добавлено управление миганием курсора
  • В диалог настроек добавлено управление формой курсора
  • Из gnome-terminal добавлены новые кодировки символов
  • Исправлено падение при задании кодировки
  • Исправлено отделение вкладки с GTK>=3.16
  • Исправлено падение при нажатии правой/средней кнопки мыши на панели вкладок
  • Обновлены переводы.
  1. Главная ссылка к новости (https://github.com/xfce-mirror…)
Автор новости: f2404
Тип: Программы
Ключевые слова: xfce4-terminal
При перепечатке указание ссылки на opennet.ru обязательно
 
+4 +/
Мой любимый эмулятор терминала. Не навороченный, но с нужным функционалом. И не таким большим набором зависимостей.
 
 
+/
Мой — тоже.

Но теперь — буду глюки. Инфа сотка. После этих портирований ничего хорошего не жди.

Одно дело — тратить ресурсы на улучшение ахитекторы и рефакторинг, другое — зубрить очередную несовместимую версию UI-фреймворка.

Починив редкую единственную багу, связанную с МС, внесли десяток новых, да покорежили интерфейс.

Давайте, минусуйте. А потом тихо удивляйтесь и смиряйтесь с появившимися проблемами с прокруткой, фокусом на табах, поиском crtl-shift-f, кривыми цветами раскраски, которых не было до портирования.

 
 
+1 +/
Полюбуйтесь на список закрытых с переходом на GTK3/VTE3 багов, там далеко не только баг с mc. И это ещё не все, только те, до которых у меня дошли руки.
Поверьте, портирование GTK2->GTK3 — не самое весёлое занятие на свете. Но, к сожалению, VTE была заброшена разработчиками GNOME в полурабочем состоянии, баги в ней никто чинить не собирался и не собирается, поэтому другого выхода, кроме портирования, для развивающегося приложения нет.
Если вы видите новые баги, связанные с портированием, — милости просим на [[https://bugzilla.xfce.org/ багзиллу]]. Если просто погулять вышли — милости просим гулять мимо.
 
 
+1 +/
А баг, когда иногда при вводе длинной команды курсор переходил не на следующую строку, а в начало текущей, это баг VTE? И если да, исправлен ли он в VTE3?
 
+/
Это уже зависит от добросовестности разработчика. Говнокодер и при «улучшении архитектуры» багов наплодит. Хоть я и против политики разработчиков GTK+ по ломанию совместимости и предпочитаю Qt, иногда переходить на новый API все же необходимо, мир на месте не стоит.
И, как уже говорили — репорть баги, когда находишь таковые.
 
 
–1 +/
>>И, как уже говорили — репорть баги, когда находишь таковые.

сотню раз убеждался, что смысла в этом нет, ърен кто срегагирует раньше полугода, легче самому патч накладывать

пс: блевать тянет от опен соурса

 
 
 
+/
Вы разработчик Xfce? Во-первых, огромное спасибо!

А можете привести скриншот вашей рабочей системы, особенно интересуют родные для XFce приложения со множеством контролов (окна настроек чего-нибудь, например)? Парочку, не больше. Буду благодарен.

Раскрою причину любопытства: интересно, какой темой и шрифтами пользуются сами разработчики.

 
 
+/
Я разработчик xfce4-terminal. Пожалуйста!
По секрету, я сам пользуюсь Cinnamon на работе и LxQt дома 🙂 Скриншоты постить не буду. Вы можете зайти на IRC канал (http://xfce.org/community) и спросить там, вам наверняка ответят.
 
+/
> Нет, на всё это нам понадобилось около двух месяцев. Долгое время терминал
> был просто заброшен.

ну и нафига делать то, что забросишь потом ? из-за таких «был просто заброшен» +1 хейтерам опен соурса

пс: совесть имейте, сделайте минимум функционал, но стабильный

 
 
+/
> Использовал раньше, а потом как-то привык к xterm, он и по умолчанию
> везде присутствует.

Пересел с konsole на roxterm. В oldstable wheezy-lts Debian — после того, как они объявили какие-то из kdelibs не поддерживаемыми.

vte3, roxterm-gtk3 — в старом Debian-e. Выделения мышкой какие-то непривычные, mc[viewer?] и aptitude в чёрную дырочку вместо синего «фона» (хотя, может, это мои эксперименты с xterm256 dsktpkb—) и т.п.

А, да! Как писал аноним в соседней «заменять всё, что работало самописными скриптами-костылями»  —  кипад наполовину отвалился [после сноса за компанию [под библиотеки] kconrol-а и ksession-а(?)). Острая нехватка LFS-а в огранизме?

А вы говорите «новая версия, gtk3″…

 
 
+/
Схожая ситуация. Несколько лет назад в процессе перехода с KDE4 на LXDE перепробовал кучу эмуляторов терминала и тоже остановиля на lilyterm. Отсутствие хоть какого-то развития на протяжении трех лет конечно удручает, но с другой стороны он и так близок к моему идеалу. Отдельно замечу, что он тоже основан на древнем VTE, только ему это почему-то не мешает.
 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)

В OpenBSD из соображений безопасности удалены systrace и прослойка совместимости с Linux

Июл 28, 2016 - Интересно - 0 Comments - Стандартный

28.07.2016 11:53 В OpenBSD из соображений безопасности удалены systrace и прослойка совместимости с Linux

 
 
+/
фишка в том, что в некоторых подсистемах версия i386 тупит, как комментаторы на опеннете в день релиза OpenBSD. и официальная позиция отвечающих за эти подсистемы: «и фиг с ним». чтобы сравнить, достаточно запустить в kvm openbsd/i386 и openbsd/amd64 — если, конечно, дождётесь запуска версии i386. поэтому версия amd64 применяется всегда, когда это возможно: а эмуляции linux нигде, кроме i386, никогда не было. если после этих изменений версия для i386 будет работать в kvm и на реальном железе, я тоже скажу «ура, наконец-то я этого дождался»
 
 
 
+/
> Я даже в виртуалках со сравнительно небольшим объёмом памяти использую amd64, чисто
> из-за параноидальности. Дело в том, что у amd64 чисто по определению
> куда более эффективный ASLR.

случаи всякие бывают. иногда и i386 нужно.

 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)

В ночные сборки Firefox встроено дополнение FlyWeb

Июл 28, 2016 - Интересно - 0 Comments - Стандартный

28.07.2016 11:26 В ночные сборки Firefox встроено дополнение FlyWeb

В ночных сборках Firefox обновлён состав встроенных системных дополнений, предлагаемых по умолчанию в Firefox и не отображаемых в менеджере дополнений (для просмотра таких дополнений следует использовать about:support). Кроме ранее поставляемых приложений Pocket и Hello, в форме встроенного дополнения теперь поставляется компонент FlyWeb, который позволяет организовать обнаружение и прямое соединение с различными электронными устройствами, предоставляющими Web API, такими как телевизоры, проекторы, элементы умного дома и игровые консоли, без обращения к промежуточным облачным сервисам.

Из заслуживающих внимание особенностей FlyWeb можно отметить экспериментальный прототип протокола «flyweb://», который реализован путём встраивания в движок Gecko функций простейшего HTTP-сервера. В будущем в рамках проекта планируется подготовить реализацию mDNS на JavaScript и добавить поддержку технологии Wi-Fi Direct для устройств на платформе Android.

  1. Главная ссылка к новости (http://www.ghacks.net/2016/07/…)
  2. OpenNews: Представлена программа предварительного тестирования экспериментальных улучшений Firefox
  3. OpenNews: Некоторые новшества в Firefox будут вноситься не дожидаясь релиза
  4. OpenNews: Релиз Firefox 47
Тип: Тема для размышления
Ключевые слова: firefox, flyweb
При перепечатке указание ссылки на opennet.ru обязательно
 
 
 
+/
давно бы перешел но у меня на хромиуме и хроме постоянно начинают мигать страницы и все исчезает и отматывается в начало страницы, а так бы перешел — все плавно работает и сервисы гугл под рукой
 
+/
> В будущем в рамках проекта планируется подготовить реализацию mDNS

зачем? это ведь уже есть в операционной системе?

или забота об бедненьких windows-инвалидах?

 
+/
> реализован путём встраивания в движок Gecko функций простейшего HTTP-сервера

то есть — теперь взламывать компьютеры (эксплуатировать zero-days-дыры) будут не путём заманивания на сайты, а прямо напрямую подключаясь через этот порт?

например для тех людей у кого компьютер прямо так и торчит в интернет (ну или IPv6)

 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)

Релиз Tcl/Tk 8.6.6

Июл 28, 2016 - Интересно - 0 Comments - Стандартный

28.07.2016 11:15 Релиз Tcl/Tk 8.6.6

Состоялся релиз Tcl/Tk 8.6.6, динамического языка программирования, распространяемого совместно с кроссплатформенной библиотекой базовых элементов графического интерфейса. Несмотря на то, что основное распространение Tcl получил для создания интерфейсов пользователя и как встраиваемый язык, Tcl также подходит для других задач, таких как web-разработка, создание сетевых приложений, администрирование систем и тестирование.

В новом выпуске добавлены дополнительные конфигурационные опции для текстовых тегов, добавлена операция «[$text edit (canundo|canredo)]», набор Unicode обновлён до версии 9.0, учтены ограничения в наименовании файлов в файловых системах Windows, увеличена производительность операций «[namespace delete]», ускорена отрисовка цветных шрифтов Xft, возобновлена поддержка TclBlend, обновлены пакеты tcltest 2.4.0, registry 1.3.2, Itcl 4.0.5, Thread 2.8.0 и sqlite 3.13.0.

  1. Главная ссылка к новости (https://sourceforge.net/p/tcl/…)
Тип: Программы
Ключевые слова: tcl
При перепечатке указание ссылки на opennet.ru обязательно
 
 
 
+1 +/
я имею ввиду в компаниях, в российских компаниях. Он же вроде позволяет супербыстро разрабатывать довольно лёгкие многоплатформенные приложения. Вид у них может и не очень, но главное работоспообность
 
 
+2 +/
У нас был опыт разработки приложения на Tcl/Tk, которое работает фул-скрин на информационных мониторах и отображает инфу, которую собирает с одного хитрожопого проприетарного сервера по TCP/IP.

Приложение писалось под виндой, а работает как на коробочках с дебианом и иксами (включая  малинку), так и на моноблоках с Windows 7.  Короче, везде.

Правда, у этого приложения собственно гуи без контролов, и оно неинтерактивное.

 
+/
>я имею ввиду в компаниях, в российских компаниях.

Про российские компании не скажу, у буржуев часто видел в пром-автоматике — в основном гуй.

 
 
–2 +/
Perl, ruby, python после TCL кажется чем-то жутким, из-за безумного обилия знаков пунктуации и прочих мусорных. Писать на нем — все равно что паркером по бумаге, нежели гусином пером по пергаменту.
 
 
+3 +/
Ты хоть один из этих четырех языков вообще видел? Сравни количество «знаков пунктуации и прочих мусорных» в этих трех примерах кода

for { set i 0 } { $i < 5 } { incr i } {

}

for $i (0..4) {
  …
}

for num in range(0,4):
  …

 
+/
Например библиотека Тк встроена в язык Python и поставляется с ним (как батарейки в комплекте). Поэтому на нём можно писать ГУИ-приложения безо всяких сторонних библиотек, что весьма удобно (кстати и места она занимает мало)
 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)