Новости про Интернет и сети

Chrome, Edge и Firefox скоро могут лишится паролей благодаря стандарту WebAuthn

В скором времени, благодаря стандарту WebAuthn, обозреватели интернета могут лишиться паролей. Сейчас его уже поддерживает Firefox, а браузеры Chrome и Edge готовятся к его реализации.

Разрабатываемый World Wide Web Consortium (W3C) и FIDO Alliance стандарт WebAuthn является API, который позволяет разработчикам лучше реализовывать новый стандарт безопасного логина FIDO2, который использует разные методы аутентификации, включая биометрику и USB брелоки. Их применение позволяет исключить использование паролей.

Ключ аппаратной защиты

Такой шаг позволит решить проблему путаницы паролей и фишинговых сайтов, позволяя осуществлять операции с онлайн сервисами намного безопаснее.

Технология WebAuthn уже давно находится в разработке, но чтобы стать популярной ей нужно заручиться поддержкой браузеров. Крупнейшие игроки рынка уже заявили об этом. Исключением является Apple, которая пока не сообщила о поддержке технологии в Safari, хотя компания и является одним из разработчиков API.

Вход в онлайн сервисы с помощью аппаратного ключа не является чем-то новым. Такой подход часто используют правительственные организации, однако для этого требуется специализированный донгл и драйвер. Технология WebAuthn унифицирует эту систему, позволяя применять общедоступные библиотеки.

Google закрывает сервис коротких ссылок goo.gl

Сокращатель URL адресов от Google всегда был удобным и полезным. Компания запустила его в 2009 году и добавила сторонние API, позволяя создавать QR коды, которые можно сканировать и открывать как устройствами на iOS, так и Android.

К сожалению, интернет гигант решил прекратить деятельность сервиса goo.gl, заменив его на Firebase Dynamic Links (FDL) уже с 13 апреля. Эти новые смарт URL позволяют отсылать людей не просто на веб страницу, а на любую локацию в приложениях iOS, Android или веб приложениях.

Google
Google

Уже через 10 дней вы не сможете создать новые сокращённые ссылки, однако существующие пользователи смогут управлять ими через консоль goo.gl ещё один год. Начиная с 30 марта 2019 года все сокращённые адреса продолжат работу, однако управлять ими будет нельзя. В Google рекомендуют использовать FDL уже сейчас, либо перейти на другие сервисы сокращения адресов, такие как Bitly и Ow.ly.

Конец Flash близок

В прошлом году Adobe сообщила о том, что Flash Player, технология, стоящая в основе большинства сайтов в интернете, подходит к концу.

И хотя фирма анонсировала закрытие плагина в 2020 году, она продолжает выпускать обновления, поскольку Adobe Flash Player — настоящая катастрофа для любого безопасника.

Flash Player

Сейчас и Google Chrome, и Mozilla Firefox отключили плагин по умолчанию, и их усилия увенчались успехом. Так, директор по инжинирингу Google Париса Табриз в ходе Network and Distributed System Security Symposium сообщила, что в 2014 году пользователи Chrome загружали как минимум одну страницу с Flash-контентом в 80% случаев. В текущем году эта величина составляет 8%.

И эта статистика как нельзя лучше демонстрирует, что дни Flash Player сочтены, и его полностью вытеснили такие технологии, как HTML 5.

Skype теперь оптимизирован для старых Android смартфонов

Пытаясь вернуть себе пользователей старых смартфонов, многие компании решили выпустить урезанные версии приложений. Среди них есть Google и Facebook, а теперь ещё и Microsoft.

В Рэдмонде заявили о готовности выпустить новую версию Skype for Android, которая имеет меньшие требования к оперативной памяти и памяти устройства. Эта версия предназначена для Android версий от 4.0.3 до 5.1, обеспечивает лучшее аудиовизуальное качество и лучшую производительность на устройствах в целом. Кроме того, новая версия более терпима к слабым интернет подключениям. Выпуск приложения на рынок состоится в «ближайшие недели».

Skype for Android
Skype for Android

Такой шаг компании может показаться странным, ведь Android Go обещает сделать новые версии ОС легкодоступными. Однако Microsoft явно нацелилась на рынок развивающихся стран, где люди не имеют возможности часто обновлять свои смартфоны, да и связь оставляет желать лучшего.

По статистике Google в феврале 42% смартфонов работали под управлением Android 4 и 5, и конечно, Рэдмонд не может их игнорировать.

GitHub подвергся самой мощной DDoS атаке за всю историю Интернета

Известный репозиторий GitHub подвергся крупнейшей в истории DDoS атаке, при этом сайт был недоступен лишь 10 минут.

В инженерном блоге ресурса сообщается, что 28 февраля GitHub.com был в офлайне с 17:21 до 17:26 (по Всемирному координируемому времени), и сразу же снова «упал» с 17:26 до 17:30.

По данным ресурса, первая атака достигала максимальной плотности в 1,35 Тб/с, в то время как вторя достигла плотности 400 Гб/с. Это делает её крупнейшей атакой за всё время. До этого самой мощной была DDoS атака на скорости 1,1 Тб/с.

DDoS

Отмечено, что атака была произведена десятками тысяч распределённых уникальных точек. При достижении пика в 1,35 Тб/с скорость передачи пакетов составила 126,9 миллиона за секунду.

В GitHub отметили, что атака подобного рода может генерировать огромные объёмы траффика со спуфированием IP адресов, что позволяет откликам нацеливаться на другие адреса, как те, что обслуживают GitHub.com, и направлять больше данных на цель, чем необходимо было бы источнику без спуфа. В данной атаке коэффициент усиления составил 51000. Это значит, что каждый байт, отправленный атакующим, превращался в 51 КБ трафика на сервере GitHub.

При этом сайт отметил, что никакого риска для пользователей она не несёт, а конфиденциальность и целостность пользовательских данных не пострадала.

Кодек AV1 показывает на 30% лучшую эффективность, чем H.265

Множество интернет гигантов совместно разрабатывают новый большой видеостандарт, который называется AV1.

Этот открытый видеокодек уже почти завершён, и основным его преимуществом является его невероятная эффективность, по отношению к нынешним форматам. Лучшее сжатие означает снижение затрат на каналы связи, либо же возможность вещания в лучшем качестве при той же пропускной способности.

Сравнение битрейтов при одинаковом качестве

Проведенные тесты показывают, что AV1 требует на 27% меньше пропускной способности, чем H.265 и на 45% меньше, чем H.264, при сохранении того же качества картинки. Он также на 24% лучше, чем Google VP9. На фоне такого результата Google прекратила разработку его наследника — VP10, решив развивать AV1.

Среди основных разработчиков нового видеокодека можно отметить Apple, Google, Mozilla, Microsoft, Amazon, Facebook, Hulu, Netflix, AMD, Intel и NVIDIA. Учитывая столь широкую поддержку со стороны промышленности, нет сомнений, что стандарт будет быстро внедрён. В частности, свежая сборка Firefox Nightly уже имеет экспериментальную поддержку AV1, а плеер VLC включил этот кодек в версию 3.0 своего плеера.

Правительственные сайты заражены криптомайнерами

Вредоносное ПО на сайтах, которое добывает криптовалюту на компьютерах пользователей, это не новость. Обычно таким занимаются владельцы торрент трекеров, порносайтов и разнообразных пиратских ресурсов. Но оказалось, что есть ещё одна категория ресурсов, которые занимаются майнингом.

Сайт Eteknix сообщает, что сайты правительственных организаций США и Великобритании заражены майнерами. Речь идёт о сотнях веб сайтов, связанных с министерствами, департаментами и госагентствами. Многие из этих сайтов имеют проблемы с пропускной способностью и производительностью. Другие имеют проблемы с несоответствием веб стандартам и устаревшими программными аксессуарами, что делает их лёгкой мишенью для хакеров.

Взлом

Проблема кроется во встроенном в сайты онлайн сервисе синтеза речи, которой реализован на базе ПО Browsealoud. Некоторые устаревшие версии Browsealoud могут исполнять скрипты майнинга криптовалют, что вызвано уязвимостью в сервере синтеза речи.

Британский разработчик этого ПО, компания Texthelp, сейчас убеждает пользователей провести обновление. По всей видимости, уязвимы не только правительственные сайт двух стран, но и многие другие сайты, использующие ту же технологию озвучки текста. Ну а пока обновление не проведено вам стоит внимательно следить за загрузкой процессора, а ещё лучше — пользоваться расширениями для браузера, блокирующими скрипты майнинга.

Qualcomm: 5G обеспечит 10-битное потоковое видео 8K при 120 к/с

В ходе Mobile World Congress, прошедшего в Барселоне, компания Qualcomm сообщила о результатах тестирования своей технологии сотовой связи 5-го поколения, прошедших во Франкфурте и Лос-Анжелесе.

Так, в ходе симуляции медианная скорость загрузки составила 490 Мб/с, в 9 раз больше, чем медианная 4G скорость.

В тестировании использовалась полоса шириной 100 МГц в спектре 3,5 ГГц с подлежащей гигабитной LTE сетью в 5 диапазонах. При этом скорость браузинга выросла с типичных для 4G 56 Мб/с до поразительных 490 Мб/с, с откликом в 7 раз быстрее. Скорость загрузки также резко возросла. Так, 90% пользователей увидели как минимум 100 Мб/с, в то время как в LTE сетях она составляет 8 Мб/с.

Qualcomm 5G

Результаты американского теста оказались ещё лучше. Скорость сёрфинга возросла с 71 Мб/с до 1,4 Гб/с (в миллиметровом диапазоне), а время отклика выросло в 23 раза. Скорость загрузки поднялась с 10 Мб/с для 4G до 186 Мб/с в 5G, а медианная скорость достигла 442 Мб/с.

По сути, технология 5G обеспечивает скорость связи выше, чем предлагают проводные провайдеры. По словам Qualcomm, скорости будет достаточно для передачи потокового видео в 8K разрешении при 120 к/с и с 10-битным цветом.

uTorrent имеет серьёзные уязвимости

Тавис Орманди, эксперт в области безопасности из Google Project Zero, выявил уязвимость в торрент клиентах uTorrent Web и uTorrent Classic. Выяснилось, что клиенты открывают порты перед RPC сервером. Для uTorrent Classic это порт 10000, а для uTorrent Web — 19575.

Злоумышленники могут спрятать команды внутри веб страниц, взаимодействующих с этим RPC сервером, и чтобы всё сработало им нужно лишь заманить пользователя на эту вредоносную страницу. Торрент клиенты также подвержены обходу DNS, что позволяет атакующему легитимизировать запросы к RPC серверу.

Худшая ситуация сложилась с uTorrent Web. Орманди заявляет, что атакующие могут получить «секреты аутентификации», чтобы «получить полный контроль над RPC сервисом» и воздействовать на клиент uTorrent Web. Они могут загрузить вредоносный код на компьютер пользователя, изменить папку загрузки по умолчанию, так что любой злоумышленник может загрузить и исполнить код при следующей загрузке.

uTorrent

Клиент uTorrent Classic находится не в таком большом риске. Из него можно получить лишь список прошлых загрузок и заполучить ранее загруженные файлы, если таковые ещё доступны.

Примечательно, что разработчики торрент клиента уже отреагировали на информацию Орманди. Традиционная версия uTorrent Classic уже получила исправление в бета релизе 3.5.3, а в uTorrent Web внесены необходимые изменения.

Firefox 58 ускорится за счёт потоковой компиляции

Чуть более месяца назад Mozilla выпустила Firefox Quantum (версия 57), которая демонстрирует нешуточный прирост в скорости работы. В версии 58 разработчики продолжат курс на ускорение, которое будет достигнуто за счёт потоковой компиляции и нового двухпоточного компилятора WebAssembly.

«Если вы начинаете компилировать код раньше, то вы и закончите компилировать его раньше», — в блоге Mozilla сообщили об очевидной вещи. Разработчики пояснили, что загружаемый код страницы не попадает браузеру целиком, а приходит пакетами, размещаемыми в буфере. После загрузки в ArrayBuffer создаётся .wasm файл, который и компилируется.

Mozilla Firefox

Однако в Mozilla решили, что можно приступить к компиляции раньше, не дожидаясь полной загрузки .wasm и передавая код страницы в WebAssembly по строкам.

Но ведь нас интересует производительность. По словам разработчиков, она заметно возрастёт. На настольных ПК Firefox будет компилировать 30—60 МБ кода WebAssembly в секунду, а на мобильных устройствах — 8 МБ/с. Это означает прирост в 10—15 раз.

Браузер Firefox 58 будет выпущен во вторник 23 января.