В браузере Chrome нажатие на кнопку Backspace на клавиатуре открывает предыдущую страницу, и иногда случаются проблемы. Например, если пользователь заполнял форму и хотел удалить символ, но текстовое поле оказалось не в фокусе, все данные могут быть утеряны и придётся вводить их заново. Google хочет решить эту проблему в будущей версии браузера Chrome, убрав у кнопки Backspace эту функциональность. Это случится в выходящей в июле версии Chrome 52, но уже сейчас это произошло в версии браузера для разработчиков.

На странице Chrome Code Reviews Google пишет, что при просмотре веб-страниц в 0,04% случаев используется кнопка Backspace для возвращения назад и в 0,005% случаев это происходит на страницах с формами. В абсолютном выражении это немного, однако многолетние жалобы обратили на себя внимание разработчиков. Сторонние разработчики ещё раньше предложили собственные варианты решения, в магазине Chrome Web есть десятки расширений для отключения возврата назад кнопкой Backspace.

Google внесёт изменение в виде флага, чтобы при необходимости можно было быстро поменять настройку.

Компания Google продолжает вести работу над модульными смартфонами в рамках проекта Ara, хотя и не столь быстро, как хотелось бы. В пятницу глава проекта Рафа Камарго сообщил о грядущем достижении важной вех: в этом году осенью планируется выпустить комплект средств разработки, а релиз потребительской версии ожидается в 2017 году. Для получения прототипа нужно заполнить форму на сайте Ara и указать, какой модуль вы собираетесь разрабатывать.

В интервью порталу Wired было сказано, что версия смартфона для разработчиков будет обладать экраном диагональю 5,3 дюймов и относится к премиальным аппаратам. На обратной стороне находятся шесть слотов для модулей, использующих открытый стандарт UniPro, каждый слот обладает пропускной способностью до 11,9 Гбит/с и расходует энергии втрое меньше по сравнению с USB 3. Нажатие кнопки на боковой стороне прототипа откроет меню со списком установленных модулей. Для выброса модуля нужно нажать на его название в меню или можно воспользоваться голосовой командой вроде «OK Google, eject the camera».

Разработчики решили извлекать модули программно, чтобы постараться избежать механических повреждений. Модули с персональными данными пользователи смогут защищать паролем. Для установки в аппарат модуль нужно просто вставить в слот, перезагрузка операционной системы не требуется. В компании Google уже около 30 человек используют модульные смартфоны в качестве основных.

В разнообразии идей относительно модулей недостатка нет. Это могут быть вспышки для камер, динамики, фитнес-трекеры, проекторы, физические кнопки для приложений, подставки и многое другое. Если концепция приживётся и привлечёт внимание сторонних разработчиков, эти и многие другие модули будут воплощены в реальности. Среди партнёров уже значатся Panasonic, TDK, iHealth, E Ink, Toshiba, Sony Pictures Home Entertainment и Samsung. Судя по всему, как минимум в первом поколении устройств нельзя будет менять экран, процессор и аккумулятор.

Судя по сведениям, представленным на конференции разработчиков Google I/O, в будущем платформа Android станет намного более «контекстной». Google работает над тем, чтобы Android и Android-приложения понимали, где находится пользователь и что делает. В качестве примера было показано, что заданный в пятницу вечером вопрос «Что показывают» выдаёт расписание фильмов в кино, а в другие вечера программу телепередач. Хотя ничего не мешает пользователю и в пятницу смотреть телевизор, интерфейс будет анализировать предудыщие действия пользователя, чтобы предугадать последующие.

Сайт разработчиков Google рассказал об интерфейсе прикладного программирования Awareness API, который создатели сторонних приложений могут применять для создания контекста. Есть семь контекстных категорий: время, местоположение (Location), точное место (Place), активность (бег, ходьба, велосипед), маяки (Beacons), наушники и погода. Например, с Awreness API приложение сможет автоматически запускать сервис Spotify при подключении наушников. Интерфейс будет следить за своим влиянием на расход заряда аккумулятора и трафика, за счёт этого разработчикам не придётся создавать эту функциональность для своих приложений самостоятельно.

В состав Awareness входят ещё два API. Fence API позволяет реагировать и сообщать при совпадении пары контекстных условий, вроде того, когда пользователь идёт пешком и наушники подключены. При совпадении условий приложению возвращается некоторое значение, даже если оно не запущено. Snapshot API позволяет запрашивать контекстную информацию у Awareness.

Компания Sucuri сообщила, что в 1-м квартале 2016 было зафиксировано множество атак на сайты на системе управления WordPress. Доклад Website Hacked Report представлен данные по 11485 взломанным сайтам. 78% из них работают на WordPress, Joomla с большим отставанием занимает 2-е место с 14%, 6% сайтов не используют системы управления контентом, 5% используют Magento, 2% - Drupal. Минувший квартал выдался спокойным, в отличии от 1-го квартала 2015, когда был обнаружен баг Shoplift Magento, которым хакеры не преминули воспользоваться.

Из-за этого бага Magento атакуют чаще, чем Drupal. Обычно хакеры при взломе сайтов на Magento стараются заполучить номера кредитных карт пользователей, тогда как взломанные сайты на WordPress, Joomla и Drupal чаще беспокоят спамом. Что касается взломанных сайтов на WordPress, большая часть использовала устаревшие плагины, уязвимости в самом WordPress стараются использовать редко. В четверти случаев использовались плагины RevSlider, GravityForms и TimThumb.

Считается, что RevSlider был задействован при недавней утечке панамских документов. Для всех трёх плагинов последние обновления безопасности вышли более года назад, для TimThumb четыре года назад. Усложняет дело использование разных графических тем из магазинов вроде ThemeForest, Mojo Themes и других.

Среди всех взломанных сайтов 56% сайтов на WordPress пользовались его устаревшими версиями. У Joomla это значение составляет 85%, у Drupal 81%, у Magento целых 97%. Эксперты по безопасности считают, что владельцы сайтов при всём желании не могут реагировать на все возникающие угрозы, и советов вроде регулярного обновления программного обеспечения недостаточно. Поэтому они задействуют технологии вроде Website Application Firewall (WAF) и другие методы защиты.

Центр правительственной связи Великобритании (GCHQ) опубликовал пресс-релиз, в котором сообщил о том, что в первом квартале этого года британские силовики поделились данными о 20 уязвимостях в разработчиками различного программного обеспечения. Среди таких программных продуктов — Mozilla Firefox, Apple iOS, OS X и другие.

Один из центров связи GCHQ (Tom Reading/Flickr)

Британская спецслужба, являющаяся аналогом Агентства Национальной Безопасности США, печально известного благодаря действиям Э. Сноудена, обнародовала перечень наиболее значимых продуктов, в которых ей удалось обнаружить уязвимости. Представители GCHQ заявили, что все опубликованные уязвимости несли значительную угрозу пользователям — так, например, дефект ядра OS X 10.11.4 El Capitan позволял бы злоумышленнику выполнить произвольный код на компьютере жертвы. Похожая уязвимость была обнаружена и в iOS, а другой дефект мобильной системы Apple позволил бы злоумышленнику вызвать отказ в обслуживании при использовании сторонних приложений. Уязвимость в Mozilla Firefox позволяла некорректно использовать метод JavaScript.watch() для переполнения стека и потенциального выполнения произвольного кода. Кроме того, среди жертв оказался и кэширующий прокси-сервер Squid, две уязвимости которого позволяли удаленному злоумышленнику считать данные в памяти сервера.

Все опубликованные британскими силовиками уязвимости на момент выхода пресс-релиза были уже исправлены разработчиками уязвимого ПО. Необходимо отметить, что у GCHQ есть собственные политики публикации данных об уязвимостях, по которым спецслужба имеет право не раскрывать уязвимости поставщикам программного обеспечения, если того требуют интересы правительства. Более того, Центр правительственной связи имеет право не сообщать, использовала ли она когда-нибудь эти уязвимости для вышеуказанных интересов. Таким образом, найденные в первом квартале уязвимости вполне могли использоваться GCHQ для своих нужд, прежде чем данные об уязвимостях были переданы разработчикам. Пресс-служба Центра запрос журналистов Motherboard о прояснении данной возможности оставила без внимания.

В данной статье описываются множественные уязвимости SQUID-2016:6, Mozilla Foundation Security Advisory 2016-47, CVE-2016-1750 и CVE-2016-1752.