Выпуск дистрибутива Linux Mint 18.3

Представлен релиз дистрибутива Linux Mint 18.3, третьего обновления ветки Linux Mint 18.x, формируемой на пакетной базе Ubuntu 16.04 LTS и поддерживаемой до 2021 года. Дистрибутив полностью совместим с Ubuntu, но существенно отличается подходом к организации интерфейса пользователя и подбором используемых по умолчанию приложений. Разработчики Linux Mint предоставляют десктоп-окружение, соответствующее классическим канонам организации рабочего стола, которое является более привычным для пользователей, не принимающих новые методы построения интерфейса Unity и GNOME 3. Для загрузки доступны DVD-сборки на базе оболочек MATE 1.18 (1.8 Гб) и Cinnamon 3.6 (1.8 Гб).

Основные новшества Linux Mint 18.3 (MATECinnamon):

  • В состав включены версии десктоп-окружений MATE 1.18 и Cinnamon 3.6, оформление и организация работы в которых продолжает развитие идей GNOME 2 — пользователю предлагается рабочий стол и панель с меню, областью быстрого запуска, перечнем открытых окон и системным лотком с запущенными апплетами.Cinnamon основан на GTK3+ и технологиях GNOME 3. Проект развивает оболочку GNOME Shell и оконный менеджер Mutter в направлении предоставления окружения в стиле GNOME 2 с более современным оформлением и задействованием элементов из GNOME Shell, дополняющих средства классического десктопа. В новой версии Cinnamon включены по умолчанию средства для адаптации вывода на экранах с высокой плотностью пикселей (HiDPI), переработан модуль для управления установкой и настройкой апплетов, десклетов, расширений и тем оформления, добавлена поддержка GNOME Online Accounts (в том числе возможность доступа к содержимому Google Drive и OwnCloud из файлового менеджера), добавлена поддержка организации взаимодействия с устройствами ввода при помощи библиотеки Libinput.

    MATE продолжает развитие кодовой базы GNOME 2.32 и полностью избавлен от пересечений с GNOME 3, что позволяет использовать традиционный рабочий стол GNOME 2 параллельно с рабочим столом GNOME 3. В MATE 1.18 используется только GTK+3. В панель добавлены дополнительные опции для выполнения действий на рабочем столе, добавлена поддержка спецификации StatusNotifier, в экранных уведомлениях реализована возможность размещения пиктограмм для выполнения действий, реализована возможность использования libinput для работы с мышью и тачпадом. В меню приложений mintMenu добавлена секция со списком недавно запущенных программ (в настройках необходимо включить плагин Recent);

  • Проведена модернизация оформления менеджера установки приложений, через который легко можно установить дополнительное ПО, не входящее в репозитории, например, для установки доступны Spotify, WhatsApp, Skype, Google Earth, Steam и Minecraft. Software Manager и Software Sources переведены на GTK3 и теперь корректно работают в окружениях с экранами HiDPI. Кроме внешнего вида большая переработка коснулась и внутренней организации работы Software Manager (например, прекращено использование WebKit), что позволило сделать программу более современной, легковесной и быстрой. Например, время запуска сократилось в три раза, а категории и списки приложений теперь открываются мгновенно.Изменения в Software Manager также коснулись и безопасности — бэкенд был переведён на использование штатного AptDaemon, что дало возможность работы приложения только с правами обычного пользователя без необходимости периодического ввода пароля для получения списка приложений (ввод пароля теперь запрашивается один раз при установке или удалении приложений, а затем подтверждение полномочий запоминается для текущего пользователя).

  • Добавлена поддержка самодостаточных пакетов программ в формате Flatpak. Необходимые для использования Flatpak компоненты теперь поставляются по умолчанию, а доступные пакеты можно выбрать из менеджера установки приложений, в котором для Flatpak создана отдельная секция. По умолчанию для Flatpak задействован репозиторий Flathub, но имеется возможность добавления дополнительных источников. Метод работы с предлагаемыми в Software Manager Flatpak-пакетами ничем не отличается от обычных пакетов, их также можно рецензировать, обсуждать, просматривать скриншоты. Flatpak удобно использовать для установки в окружении Linux Mint приложений, привязанных к более новыми версиям библиотек, например, можно установить GNOME Games 3.26, несмотря на то, что в базовой системе поставляется GTK+ 3.18.
  • Полностью переписан интерфейс для создания резервных копий (Linux Mint Backup Tool), а также пересмотрены методы его работы. Программа теперь работает в непривилегированном режиме и нацелена на резервное копирование только содержимого домашнего каталога пользователя, файлы из которого сохраняются в форме tar-архива.Упрощён интерфейс выбора приложений для резервного копирования — в списке теперь предлагаются не все установленные в системе пакеты, а только программы, установленные поверх базового окружения из Software Manager.

  • В состав включено новое приложение Timeshift, предназначенное для создания срезов состояния системы. В отличие от Backup Tool приложение Timeshift позволяет манипулировать снапшотами системы, а не пользовательских данных. Например, в случае удаления по ошибке какого-то системного файла можно быстро откатить состояние системы к моменту до удаления.
  • Добавлено новое приложение «System Reports», разработанное для Linux Mint. Программа отвечает за генерацию отчётов о крахах и информационных сообщений. Отчёты о крахах включают core-файл и трассировки стека приложений во время сбоя и рассчитаны на отправку разработчикам для демонстрации условий, в которых проявляются ошибки. Информационные сообщения включают рекомендации по устранению потенциальных проблем и формируются с учётом особенностей окружения, активного рабочего стола и применяемого оборудования (CPU, графическая карта и т.п.). Например, в форме информационных сообщений выводятся предложения установить кодеки или дополнительные утилиты.
  • При использовании Cinnamon включена возможность отображения прогресса выполнения операции на кнопке в панели задач, что позволяет запустив длительную операцию перейти к решению других работ, периодически оценивая состояние выполнения операции. Новая возможность поддерживается в файловом менеджере Nemo, Backup Tool, Timeshift, Software Manager, Driver Manager, USB Stick Formatter, USB Image Writer и любых приложениях, использующих диалоговые окна Synaptic (настройки языка, Update Manager, Software Sources и т.п.).
  • Продолжено усовершенствование приложений, развиваемых в рамках инициативы X-Apps, нацеленной на унификацию программного окружения в редакциях Linux Mint на базе разных рабочих столов. В приложениях X-Apps применены современные технологии (GTK3 для поддержки HiDPI, gsettings и т.п.), но сохранены традиционные элементы интерфейса, такие как панель инструментов и меню. Среди таких приложений: текстовый редактор Xed, менеджер фотографий Pix, мультимедийный проигрыватель Xplayer, просмотрщик документов Xreader, просмотрщик изображений Xviewer. Функции подобных программ, универсальные для различных рабочих столов, например, управление мониторами и раскладкой клавиатуры, вынесены в отдельную библиотеку libxapp и доступны для использования в других программах;
  • В текстовом редакторе Xed (ответвление от Pluma/Gedit) добавлена боковая панель minimap, позволяющая быстро перемещаться между различными частями документа и наглядно оценивать содержимое в форме уменьшенных эскизов страниц;
  • В просмотрщике документов Xreader (ответвление от Atril/Evince) кнопки просмотра истории операций заменены на кнопки навигации по документу (историю можно просмотреть через меню). Кнопки масштабирования унифицированы с другими приложениями Xapps. При отображении документов обеспечен учёт DPI и размера монитора, что позволяет подогнать 100% уровень масштабирования к примерному размеру бумажной копии;
  • В мультимедийном проигрывателе Xplayer (ответвление от Totem) переработана компоновка управляющих элементов в полноэкранном режиме, которые теперь соответствуют элементам при открытии в окне;
  • Расширены настройки экрана входа в систему: добавлены опции для включения автоматического входа без пароля и ручного ввода логина для LDAP. Для различных элементов добавлены всплывающие подсказки;
  • Улучшена поддержка средств для проверки правописания и подбора синонимов для английского, русского и других языков;
  • В список приложений, устанавливаемых по умолчанию, добавлена утилита Redshift, позволяющая менять цветовую температуру экрана в зависимости от времени суток для снижения утомляемости и нагрузки на глаза в ночное время;
  • В менеджере установки драйверов (Driver Manager) обеспечено определение пакетов с обновлениями микрокода, доступных для применяемого CPU;
  • Из базовой поставки удалены, но сохранены в репозитории, Upload Manager (mintupload) и Domain Blocker (mintnanny);
  • PIA Manager, инструмент для установки соединений PIA VPN, теперь выполняется с привилегиями обычного пользователя и не требует ввода пароля для запуска с правами root;

Анализ 433 000 сайтов показал, что 77% из них используют уязвимые JS-библиотеки

https://tproger.ru/news/web-with-js-vulnerable-libraries/

Согласно исследованию, проведенному командой Snyk на выборке из 433 000 сайтов, 77% рассмотренных интернет-ресурсов содержат в себе хотя бы одну небезопасную фронтенд-библиотеку JavaScript. При этом 51% из них позволили себе две известных уязвимости, а 9,2% — более четырех.

Опасные связи

По результатам анализа экспертам удалось составить топ-лист JS-библиотек с уязвимостями:

Топ-лист библиотек с уязвимостями

Возглавляет список известнейшая jQuery. 92,5% из числа веб-ресурсов с внедрённой jQuery используют старые версии библиотеки с большим числом уязвимостей. Второе место принадлежит jQuery UI, применяющейся в 19,9% исследованных сайтов с 89,7% небезопасных версий. Процентное соотношение уязвимых версий самых популярных библиотек представлено в таблице ниже:

Обнаруженный процент небезопасных версийПо словам экспертов, уязвимости в перечисленных библиотеках в большинстве своем связаны с межсайтовым скриптингом и подстановкой контента. Они могут быть использованы злоумышленниками для определения содержимого cookies при открытии пользователем специально оформленной ссылки.

Известно, что информация о состоянии исследованных сайтов в HTTP Archive была обновлена 15 октября, что говорит об актуальности приведенных данных.

Актуальные проблемы и риски

Продолжая тему уязвимостей, следует отметить также выпуск нового масштабного отчета от Open Web Application Security Project. В нем исследователи в области информационной безопасности попытались классифицировать соответствующие риски, а также предложили рейтинг самых актуальных и популярных проблем, с которыми приходится сталкиваться веб-сообществу.

Как и в далеком 2013, лидирующие позиции в этом списке уверенно удерживают уязвимости, связанные с появлением непроверенных данных в составе исполняемых команд или запросов (SQL, NoSQL, OS, LDAP Injection). За ними все так же следуют уязвимости от некорректной работы механизмов идентификации и аутентификации, разрешающие доступ без авторизации. А вот рассматриваемые выше «узкие места» с межсайтовым скриптингом, потеряли целых 4 позиции, сместившись с третьего места на седьмое.

Топ-10 уязвимостей за 2013 и 2017 год

По данным исследования, все более актуальными становятся уязвимости, приводящие к утечке пользовательских персональных данных. Эта проблема поднялась на три позиции по сравнению с анализом четырехлетней давности. На четвертом месте расположилась новая категория уязвимостей, связанных с некорректной обработкой внешних ссылок в XML-документах (атака класса XXE). Пятое место в новом рейтинге отведено проблемам, появляющимся в обработчиках списков доступа. Они позволяют выполнять операции, не предусмотренные действующими полномочиями. На шестом месте расположились ошибки в конфигурации и вывод сведений о настройках в теле сообщений об ошибках.

Восьмое место в новом списке рисков исследователи отвели набирающим популярность ошибкам в коде десериализации данных. Девятое место занимают проблемы, связанные с использованием в проектах старых версий сторонних решений, не лишенных множества уязвимостей. Замыкают десятку «лидеров» неудовлетворительные ведение логов и организация мониторинга, следствием которых является игнорирование компрометации системы из-за недостатка или отсутствия данных.

По словам экспертов, большинство решений в настоящее время уже сумели избавиться от самых очевидных и не очень «узких мест». Проблема остается в нежелании разработчиков переходить на новые, более безопасные версии или в банальной неосведомленности об их наличии (равно как и о наличии уязвимостей в старых).

23.11.2017 10:19 77% из 433 тысяч изученных сайтов используют уязвимые версии JavaScript-библиотек

http://www.opennet.ru/opennews/art.shtml?num=47614

Изучив 433 тысячи сайтов, информация о которых собрана в рамках проекта HTTP Archive и доступа для анализа при помощи интерфейса BigQuery, исследователи обнаружили, что 77% из изученных сайтов используют как минимум одну JavaScript-библиотеку, содержащую известные уязвимости. 51.8% из этих сайтов содержат более одной уязвимости в библиотеках, а 9.2% более трёх уязвимостей.

Наиболее часто встречаются уязвимые копии библиотеки jQuery, которая используется на 82.4% из всех проверенных сайтов. 92.5% из сайтов, использующих jQuery, содержат необновлённые уязвимые версии. На втором месте библиотекаjQuery UI, которая применяется на 19.9% сайтов и 89.7% из используемых копий уязвимы. Далее следуют Moment.js — 73.0% уязвимых версий из всех установок данной библиотеки, AngularJS — 84.8%, Handlebars — 60.7%, Mustache — 51.0%, YUI 3 — 40.3%, Knockout — 19.6%, React — 10.2%.

Обновление информации о состоянии сайтов в HTTP Archive произведено 15 октября, т.е. использованы не архивные, а актуальные данные. Данные в целом совпадают с результатами похожей проверки 323 тысяч сайтов, проведённой в марте, которая показала, что уязвимые библиотеки используются на 77.3% сайтов. При этом уязвимости в JavaScript-библиотеках в основном связаны с межсайтовым скриптингом (XSS, Cross-site Scripting) и подстановкой контента, например, могут быть использованы для определения содержимого Cookie при открытии пользователем специально оформленной ссылки.

Также можно отметить публикацию проектом OWASP (Open Web Application Security Project) очередного отчёта, в котором предпринята попытка классифицировать связанные с безопасностью риски в web-приложениях и предложить рейтинг актуальных и наиболее распространённых проблем.

Как и в прошлом выпуске рейтинга, который был сформирован в 2013 году, первое место занимают уязвимости, при которых непроверенные данные оказываются в составе исполняемых команд или запросов (SQL, NoSQL, OS, LDAP Injection). Второе место как и прежде занимают уязвимости, связанные с некорректной работой механизмов аутентификации и проверки идентификаторов сеансов, что позволяет получить неавторизированный доступ. Занимавшие третье место в прошлом рейтинге проблемы межсайтового скриптинга (XSS) переместились на 7 место.

C шестого на третье место поднялись проблемы, приводящие к утечкам конфиденциальных данных, таких как сведения о финансовых операциях и персональные данные пользователей. Четвёртое место заняла новая категория уязвимостей, связанных с некорректной обработкой внешних ссылок в XML-документах (атака XXE). На пятом месте закрепились проблемы в обработчиках списков доступа, позволяющие выполнить операции не предусмотренные текущими полномочиями. На шестом месте проблемы, вызванные ошибками в конфигурации и выводом сведений о настройках в тексте сообщений об ошибках.

Восьмое место заняли уязвимости, вызванные ошибками в коде десериализации данных, которых в последние годы было особенно много в проектах на PHP и Java. Девятое место в рейтинге рисков безопасности для web-приложений занимают проблемы, связанные с использованием в проекте сторонних библиотек, фреймворков и прочих компонентов, в которых имеются неисправленные уязвимости (в качестве примеров упоминается продолжение использования уязвимой версии Apache Struts после выхода обновления, что привело к утечке персональных данных 44% населения США). На десятом месте находятся проблемы с ведением логов и организацией мониторинга, из-за которых факты или попытки компрометации системы могут длительное время оставаться незамеченными.

В отчёте также отмечены новые риски, возникающие в связи с изменениями в архитектуре web-приложений. Например, распространением Node.js и серверного кода на JavaScript повышает риск появления проблем, связанных с десериализацией данных. Организация работы приложений в форме микросервисов часто приводит к появлению скрытых проблем из-за создания API и RESTful-обработчиков на основе переноса старого кода, не рассчитанного на прямую обработку внешних запросов (например, могут быть пропущены проверки корректности поступающих данных). Источником новых векторов атак также могут стать одностраничные приложения, создаваемые при помощи фреймворков Angular и React, в которых функциональность по формированию интерфейса вынесена на сторону клиента.

«Языки программирования ждет то же, что и древнегреческий»

https://hightech.fm/2017/11/23/learning-to-code

Профессор инноваций в Школе менеджмента Kellogg Роберт Волькотт считает, что языки программирования ждет та же судьба, что и древнегреческий — забвение. По его мнению, искусственный интеллект сделает работу программистов ненужной, пишет Quartz.

Над входом в Институт Санта-Фе (SFI) выбита цитата Платона на древнегреческом: «Человек, не знающий геометрию, да не войдет сюда». Увы, сегодня лишь горстка людей способна прочитать ее. В конце 21 века языки программирования ждет примерно такая же судьба. Все призывают учить код и идти в STEM-профессии. Мол, это позволит «трудоустроить работников в новой экономике» или что кодинг — это «новый английский».

Однако технологии развиваются так, что код все чаще будет внедряться ИИ. Что-то подобное произошло с пользованием компьютером. Графический интерфейс был разработан XEROX PARC в 1970-х годах, и выпущенный в 1980-х Apple Macintosh быстро обогнал конкурентов, которые требовали от пользователей технических знаний.

То же самое происходит с программированием. В 1960-х было несколько сотен человек, способных кодить на COBOL, но в 1990-х появился Ruby, на котором могут писать программы тысячи. Экстраполируйте эту тенденцию дальше, и увидите, что компьютер однажды сможет понимать человеческий язык («грязная» форма инструкций).

Ученые, разрабатывающие алгоритмы, однажды смогут создать ИИ, который будет писать код лучше, чем люди. В этом плане практические STEM-профессии — это «троянский конь», и через какое-то время люди снова окажутся без работы.

Мои дочери обязательно научатся программировать, потому что это — часть современного мира. Но они также изучат геометрию, чтобы они могли войти в то самое научное здание.

Королевское общество (Royal Society) опубликовало доклад о состоянии образования в области программирования в британских школах. Выводы довольно печальные: в 54% учебных заведений этой дисциплины нет вообще, а там, где есть, среди учеников, в основном, мальчики.

Проверить SSL/TLS-сертификаты теперь стало проще с сервисом ACM

Источник: https://www.anti-malware.ru/news/2017-11-23-1447/24878

Олег Иванов 23 ноября 2017 — 09:46 Домашние пользователиОбщееAmazon Web ServicesSSL/TLS Теперь владельцы сайтов могут использовать сервис AWS Certificate Manager (ACM) для проверки прав на управление доменным именем, запрашивая SSL/TLS-сертификаты. Ранее ACM поддерживал только проверку подлинности с помощью электронной почты, что требовало от владельца домена получать электронное письмо для каждого запроса сертификата. После того, как вы настроили запись CNAME, ACM может автоматически обновлять проверенные сертификаты до истечения срока их действия, если запись DNS не изменилась. А если вы будете управлять своими записями DNS с помощью Amazon Route 53, то ACM сможет обновлять вашу DNS-конфигурацию, чтобы упростить проверку вашего домена. Всего потребуется выполнить четыре простых шага, необходимых для получения сертификата SSL/TLS через ACM. Подробно они прописаны в соответствующей инструкции. Мы можем вкратце рассмотреть некоторые шаги: Запрос сертификата Здесь потребуется войти в Консоль управления AWS (AWS Management Console) и выбрать «Get started», чтобы запросить сертификат. Выбор метода проверки При проверке DNS вы указываете запись CNAME в своей конфигурации DNS. Затем нужно выбрать метод проверки DNS, а затем выберите «Review». Проверка своего запроса Просмотрите свой запрос и выберите «Confirm and request» для запроса сертификата. Отправка запроса После короткой задержки, во время которой ACM заполняет информацию о проверке вашего домена, нажмите выделенный на рисунке ниже значок, чтобы отобразить всю информацию о проверке. Подписывайтесь на канал «Anti-Malware» в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: https://www.anti-malware.ru/news/2017-11-23-1447/24878

Intel объявила о скором завершении эпохи BIOS

https://tproger.ru/news/end-of-bios/

К 2020 году компания Intel откажется от Legacy BIOS.
BIOS

BIOS, базовая система всех компьютеров, доживает свои последние годы. Созданная для обеспечения ввода и вывода данных, а также для изменения настроек «железа» компьютера, она уже не способна конкурировать с современным и более безопасным интерфейсом UEFI.

Официальное прощание с BIOS

По словам разработчика Intel Брайана Ричардсона, с 2020 года компания полностью перейдёт на поддержку UEFI Class 3. За годы своей популярности BIOS вобрал в себя огромное количество проблем с совместимостью, в следствие чего появились аппаратные ограничения (16-битный режим процессора, максимум 1 Мб адресованной памяти, максимум загрузочных дисков в 2 Тб), проблемы с производительностью и безопасностью, которые не исправлялись всё это время, а лишь исправлялись костылями.

А что сейчас?

Отметим, что в настоящее время большинство производителей материнских плат используют UEFI Class 2. Он позволяет пользователям выбирать между интерфейсами UEFI и BIOS, используя модуль CSM (Compatibility Support Module). Именно отмена поддержки CSM в ближайшее время и подпишет приговор BIOS. Этим решением компании-производители смогут устранить вышеописанные проблемы, но вызовут и ряд новых, хотя и меньшей важности.

BIOS

Что потеряем?

Без CSM станет невозможна установка 16-битных ОС, софта и драйверов в нативном режиме, а также устаревшего оборудования, не имеющего UEFI-совместимого BIOS. Плюс к этому, обязательное использование Secure Boot вычеркнет из списка совместимости все ОС, не умеющие через него запускаться.

Кратко o Secure Boot

Функция была создана в целях борьбы с модифицирующими загрузчик ОС руткитами и разрешает запускать только подтверждённые криптографическими ключами образы ОС. В своё время Secure Boot вызвала массу критики, так как затрудняла установку на защищённые ею устройства альтернативные операционные системы. В частности, проблема возникли у владельцев ноутбуков с предустановленной на них Windows 8.

Источник:

Вячеслав Шарунов

HeadHunter внедрила умный поиск вакансий, использующий ИИ

https://tproger.ru/news/headhunter-ai-search/

ИИ от HeadHunter анализирует резюме соискателя, его активность на сайте и выдаёт наиболее подходящую вакансию.
HeadHunter

HeadHunter внедрила технологию умного поиска. По словам представителей компании, технология, основанная на использовании ИИ позволит соискателям сократить время на поиск подходящей вакансии, а работодателям — быстрее находить подходящего кандидата.

Как используется ИИ?

ИИ анализирует резюме и доступные на платформе вакансии, способен прогнозировать вероятность отклика, а также просчитывать вероятность соискателя быть приглашённым для собеседования. Работы по обучению и внедрению новой системы велись специалистами Big Data и машинного обучения в течение года. Проведённые тесты показали положительные результаты — каждая отобранная ИИ вакансия оказывалась на 25% интереснее для соискателей, чем раньше.

Как работает система?

Теперь каждый пользователь, зарегистрированный на платформе hh.ru и загрузивший полное резюме, может без указания каких-либо предпочтений по вакансии в разделе «Мои резюме» просмотреть подходящие вакансии. Под каждым резюме есть кнопка «Подходящие вакансии», которая ведёт на соответствующий фильтр в строке поиска.

ИИ проанализирует резюме, предыдущие отклики на предложенные вакансии, ожидания по зарплате, опыт работы и навыки — в общей сложности более ста параметров. В качестве результата работы система вернёт список вакансий, максимально подходящих, по её мнению, соискателю и имеющих наибольшую вероятность отклика. Этот список будет ранжирован по релевантности. Все рекомендованные вакансии отсортированы, начиная с самых подходящих.

Директор по развитию HeadHunter, Борис Вольфсон, отметил:

Мы первые на рынке запустили умный поиск с использованием ИИ, сейчас аналогов в нашей стране просто не существует. Мы делаем выдачу релевантной и персонализированной под каждого соискателя. Раньше поиск напрямую использовал текст запроса, он учитывал фильтры среди которых могли быть регион, профобласти, зарплата и многое другое. Как следствие, процесс поиска отнимал у пользователей ощутимое количество времени и сил.

Он также добавил, что машинное обучение помогло их системе понимать, что действительно нужно соискателю. Система фактически начала думать, как человек, понимать смысл написанного в резюме.

Верим, что это поможет людям находить действительно подходящую для них работу, а работодателям — ценные кадры. Я надеюсь, что через некоторое время мы увидим массовый эффект, когда люди будут более счастливы на своей работе, будут дольше задерживаться в одной компании.

Источник: CRN/RE

Вячеслав Шарунов