В браузере Chrome нажатие на кнопку Backspace на клавиатуре открывает предыдущую страницу, и иногда случаются проблемы. Например, если пользователь заполнял форму и хотел удалить символ, но текстовое поле оказалось не в фокусе, все данные могут быть утеряны и придётся вводить их заново. Google хочет решить эту проблему в будущей версии браузера Chrome, убрав у кнопки Backspace эту функциональность. Это случится в выходящей в июле версии Chrome 52, но уже сейчас это произошло в версии браузера для разработчиков.
На странице Chrome Code Reviews Google пишет, что при просмотре веб-страниц в 0,04% случаев используется кнопка Backspace для возвращения назад и в 0,005% случаев это происходит на страницах с формами. В абсолютном выражении это немного, однако многолетние жалобы обратили на себя внимание разработчиков. Сторонние разработчики ещё раньше предложили собственные варианты решения, в магазине Chrome Web есть десятки расширений для отключения возврата назад кнопкой Backspace.
Google внесёт изменение в виде флага, чтобы при необходимости можно было быстро поменять настройку.
Судя по сведениям, представленным на конференции разработчиков Google I/O, в будущем платформа Android станет намного более «контекстной». Google работает над тем, чтобы Android и Android-приложения понимали, где находится пользователь и что делает. В качестве примера было показано, что заданный в пятницу вечером вопрос «Что показывают» выдаёт расписание фильмов в кино, а в другие вечера программу телепередач. Хотя ничего не мешает пользователю и в пятницу смотреть телевизор, интерфейс будет анализировать предудыщие действия пользователя, чтобы предугадать последующие.
Сайт разработчиков Google рассказал об интерфейсе прикладного программирования Awareness API, который создатели сторонних приложений могут применять для создания контекста. Есть семь контекстных категорий: время, местоположение (Location), точное место (Place), активность (бег, ходьба, велосипед), маяки (Beacons), наушники и погода. Например, с Awreness API приложение сможет автоматически запускать сервис Spotify при подключении наушников. Интерфейс будет следить за своим влиянием на расход заряда аккумулятора и трафика, за счёт этого разработчикам не придётся создавать эту функциональность для своих приложений самостоятельно.
В состав Awareness входят ещё два API. Fence API позволяет реагировать и сообщать при совпадении пары контекстных условий, вроде того, когда пользователь идёт пешком и наушники подключены. При совпадении условий приложению возвращается некоторое значение, даже если оно не запущено. Snapshot API позволяет запрашивать контекстную информацию у Awareness.
Компания Sucuri сообщила, что в 1-м квартале 2016 было зафиксировано множество атак на сайты на системе управления WordPress. Доклад Website Hacked Report представлен данные по 11485 взломанным сайтам. 78% из них работают на WordPress, Joomla с большим отставанием занимает 2-е место с 14%, 6% сайтов не используют системы управления контентом, 5% используют Magento, 2% - Drupal. Минувший квартал выдался спокойным, в отличии от 1-го квартала 2015, когда был обнаружен баг Shoplift Magento, которым хакеры не преминули воспользоваться.
Из-за этого бага Magento атакуют чаще, чем Drupal. Обычно хакеры при взломе сайтов на Magento стараются заполучить номера кредитных карт пользователей, тогда как взломанные сайты на WordPress, Joomla и Drupal чаще беспокоят спамом. Что касается взломанных сайтов на WordPress, большая часть использовала устаревшие плагины, уязвимости в самом WordPress стараются использовать редко. В четверти случаев использовались плагины RevSlider, GravityForms и TimThumb.
Считается, что RevSlider был задействован при недавней утечке панамских документов. Для всех трёх плагинов последние обновления безопасности вышли более года назад, для TimThumb четыре года назад. Усложняет дело использование разных графических тем из магазинов вроде ThemeForest, Mojo Themes и других.
Среди всех взломанных сайтов 56% сайтов на WordPress пользовались его устаревшими версиями. У Joomla это значение составляет 85%, у Drupal 81%, у Magento целых 97%. Эксперты по безопасности считают, что владельцы сайтов при всём желании не могут реагировать на все возникающие угрозы, и советов вроде регулярного обновления программного обеспечения недостаточно. Поэтому они задействуют технологии вроде Website Application Firewall (WAF) и другие методы защиты.
Центр правительственной связи Великобритании (GCHQ) опубликовал пресс-релиз, в котором сообщил о том, что в первом квартале этого года британские силовики поделились данными о 20 уязвимостях в разработчиками различного программного обеспечения. Среди таких программных продуктов — Mozilla Firefox, Apple iOS, OS X и другие.
Британская спецслужба, являющаяся аналогом Агентства Национальной Безопасности США, печально известного благодаря действиям Э. Сноудена, обнародовала перечень наиболее значимых продуктов, в которых ей удалось обнаружить уязвимости. Представители GCHQ заявили, что все опубликованные уязвимости несли значительную угрозу пользователям — так, например, дефект ядра OS X 10.11.4 El Capitan позволял бы злоумышленнику выполнить произвольный код на компьютере жертвы. Похожая уязвимость была обнаружена и в iOS, а другой дефект мобильной системы Apple позволил бы злоумышленнику вызвать отказ в обслуживании при использовании сторонних приложений. Уязвимость в Mozilla Firefox позволяла некорректно использовать метод JavaScript.watch() для переполнения стека и потенциального выполнения произвольного кода. Кроме того, среди жертв оказался и кэширующий прокси-сервер Squid, две уязвимости которого позволяли удаленному злоумышленнику считать данные в памяти сервера.
Все опубликованные британскими силовиками уязвимости на момент выхода пресс-релиза были уже исправлены разработчиками уязвимого ПО. Необходимо отметить, что у GCHQ есть собственные политики публикации данных об уязвимостях, по которым спецслужба имеет право не раскрывать уязвимости поставщикам программного обеспечения, если того требуют интересы правительства. Более того, Центр правительственной связи имеет право не сообщать, использовала ли она когда-нибудь эти уязвимости для вышеуказанных интересов. Таким образом, найденные в первом квартале уязвимости вполне могли использоваться GCHQ для своих нужд, прежде чем данные об уязвимостях были переданы разработчикам. Пресс-служба Центра запрос журналистов Motherboard о прояснении данной возможности оставила без внимания.
В данной статье описываются множественные уязвимости SQUID-2016:6, Mozilla Foundation Security Advisory 2016-47, CVE-2016-1750 и CVE-2016-1752.
В 2015 году сообщалось о разновидности приложения-вымогателя CryptoLocker под названием TeslaCrypt, нацеленного на геймеров. Оно шифровало файлы ряда популярных компьютерных игр, вроде Assassin's Creed, Call of Duty и Minecraft. Более поздние варианты взялись и за мультимедийные файлы, в том числе форматов JPG и MP3.
Теперь опасность со стороны TeslaCrypt исчезла, поскольку создатели этого приложения решили прекратить проект. Компания ESET сообщает, что разработчики даже выпустили ключ дешифрования вместе с извинениями за доставленные неудобства жертвам своего приложения, которые показаны на изображении. Один из аналитиков ESET после известии о закрытии проекта связался с разработчиками через их сайт, посвящённый получению выкупа, после чего они обнародовали ключ дешифрования.
Теперь ставшие жертвами TeslaCrypt смогут вернуть контроль над своими файлами бесплатно. В сообщении говориться также, что стоит подождать появления программы, которая на основе этого ключа позволит автоматически расшифровать файл. ESET уже выпустила такую утилиту.
Несмотря на такой необычный исход, пользователям различных компьютерных устройств следует сохранять бдительность, поскольку приложения-вымогатели распространяются всё шире и считаются на данный момент главной угрозой среди различных видов вредоносного ПО.