W minionym tygodniu nie pisaliśmy o…
Znalezienie równowagi między odpowiedziami na pytania "co jest istotne" i "co wzbudzi zainteresowanie" jest niezmiennie trudnym zadaniem i dopiero czas weryfikuje, czy udało się mu sprostać. Z tego powodu, niektóre wiadomości spadają "pod kreskę" - do redakcyjnego niebytu. Oto niektóre z nich, zebrane w ubiegłym tygodniu.
07.06.2021 07:11
Nowa wersja SeaMonkey
Rozwijany prawdopodobnie w zaświatach projekt SeaMonkey dorobił się nowego wydania, aczkolwiek tylko w wersji beta. Jest to informacja o tyle ciekawa, że obecny codebase tej przeglądarki jest oparty o Firefoksa 60 ESR, który "wypadł" ze wsparcia już dawno temu. Decoupling oraz usunięcie starych API, które miały miejsce wewnątrz Firefoksa, sprawiają że zbudowanie SeaMonkey od podstaw na najnowszej wersji jest już niemożliwe.
Dlatego programiści projektu toczą nierówną walkę z kodem, backportując wiele zmian z gałęzi 78 ESR, co jest trudne. SeaMonkey jest funkcjonalnie do tyłu względem Firefoksa i Thunderbirda i choć jest lżejszy, ma niewiele innych zalet. Chciałoby się powiedzieć, że wkrótce zostanie zamknięty, ale wiemy przecież, że istnieje wiele "nieumarłych" projektów o podważalnej zasadności, chociażby OpenOffice.
GitHub zmienia zasady
Host repozytoriów GitHub ogłosił zaktalizowane i sprecyzowane zasady przechowywania kodu exploitów, próbek złośliwego oprogramowania i innych materiałów związanych z badaniem podatności systemów. Jest to efekt marcowej afery z dziurami w Exchange: opisany na GitHubie exploit na serwer pocztowy Microsoftu został wkrótce po publikacji zdjęty z repozytorium przez właściciela serwisu, czyli... Microsoft.
Wywołało to kryzys zaufania i podejrzenia wśród fachowców, zastanawiających się, czy przypadkiem nie jest to precedens, otwierający feerię kolejnych przypadków usuwania niewygodnych plików. Skoro Microsoft zaczyna usuwać kod badawczy, może kiedyś zacznie usuwać coś więcej, na przykład kod konkurencji?
Dlatego firma, gasząc pożar wizerunkowy, rozpoczęła zbieranie feedbacku od społeczności fachowców celem wypracowania nowych zasad. Ich założenia są następujące: kod exploitów może być publikowany i przechowywany na GitHubie, jeżeli jego forma i licencja pozwalają na tzw. dwojaki użytek. Gdy kod ma postać pozwalającą zapoznać się ze specyfiką podatności i jednocześnie nie jest "gotowcem" służącym do przeprowadzania konkretnego, ukierunkowanego ataku, jest dozwolony na GitHubie.
Microsoft jednocześnie zastrzega sobie prawo do usuwania kodu z pominięciem ww. wyjątku, jeżeli ruch sieciowy wskaże, że jakiś fragment jest masowo "zaciągany" przez przeprowadzany na masową skalę, aktywny atak. A jest to całkiem wygodna metoda "przemytu" złośliwego ładunku. Przestępcy wykorzystują do tego obecnie m.in. OneDrive i BlogSpot.
Jeszcze cichsze aktualizacje Firefoksa
Mechanizm aktualizacji Firefoksa nie będzie już wymagał wzbudzania poprzez uruchomienie przeglądarki. To rozszerzenie automatycznych aktualizacji Firefoksa, które wykorzystują dziś systemowy mechanizm usług. Jednak tryb uruchomienia aktualizacji jest "ręczny". Usługa nie pracuje cały czas, uruchamia ją Firefox i kończy ona pracę, gdy nie ma dostępnych aktualizacji.
Kończy się to stanem, w którym Firefox jest nieaktualny podczas bycia używanym jako druga, rezerwowa przeglądarka. Osoby, które używają jej np. tylko do banku i comiesięcznych rachunków, startują z regularnie nieaktualną przeglądarką. Tylko dlatego, że nie używali jej w okolicach premiery aktualizacji. Teraz ma to ulec zmianie: usługa aktualizacji będzie wzbudzana przez dodaną akcję systemowego Harmonogramu Zadań. Pozwoli to utrzymać Firefoksa w najnowszej wersji nawet, gdy jest używany rzadko.