Новости 512 #186

В этом выпуске: уязвимый HTTP, Web Assembly вне браузера, режим супер дупер безопасности в Edge, а также 30 лет Интернету.

Интересные публикации

За 4 года года WebAssembly занял определенную нишу на клиентской стороне. И кажется, сейчас настает время для новых горизонтов. В блоге tetrate Винг Вонг (Wing Wong) и Такая Саэки (Takaya Saeki) рассказывают о Proxy-Wasm — интерфейсе для прокси-серверов, который предоставляет безопасный способ управления прокси-трафиком. Включение Proxy-Wasm позволяет сервисам запускаться в изолированной среде и не зависеть от конечного языка. Также в статье описаны профиты от перевода на Proxy-Wasm популярного опенсорного прокси-сервера Envoy Proxy.

Разработчики Microsoft Edge работают над внедрением нового режима с провокационным названием Super Duper Secure Mode. Его суть — в отключении JIT-компиляции в браузере. По словам разработчиков, такое отключение закроет примерно половину security-дыр в движке V8. Кроме этого, отключение JIT-компиляции откроет возможность применения Controlflow-Enforcement Technology — новой системы противодействия эксплоитам от Intel — или Arbitrary Code Guard. Разумеется, новый режим пока в стадии экспериментов, и веб-сборка в этом режиме еще не поддерживается. Разработчики продолжают искать компромиссы между производительность браузера и его безопасностью.

«Не ждите. Начните миграцию прямо сейчас», — так звучит совет Фридриха Политца (Friedrich Politz) по случаю выхода второй мажорной версии Yarn. Краеугольной фичей релиза стала новая схема работы с зависимостями, которая привела к отказу от node_modules. Теперь работа с зависимостями будет строиться через карту зависимостей и папки .yarn вне директории проекта, где будет возможность кеширования зависимостей. Шутки про тяжелые, как чёрные дыры, node_modules могут уйти в прошлое. Кроме этого, релиз содержит обновленный CLI, новый протокол для внесения исправлений (Yarn извлекает пакет во временную папку, а затем генерирует файл с диффом), а также новый релизный воркфлоу с помощью плагина Version.

Низкая связанность и высокое зацепление — классические характеристики хорошей архитектуры ПО. Достижение таких характеристик часто нетривиальная задача, но иногда еще более нетривиальной задачей является определение того, что есть связанность и зацепление. Джесси Даффилд (Jesse Duffield) в своем блоге наглядно показывает разницу между этими принципами и проводит параллель с другой парой принципов: Don’t Repeat Yourself и Wrong Abstraction. По словам Джесси, несмотря на то, что эти пары сложно встретить в одном контексте обсуждения, они решают одни и те же проблемы. Интерактивные комиксы с доказательством присутствуют.

Вышел очередной Радар Релизов от Github. Отчёт будет в первую очередь полезен тем, кто следит за опенсорс разработкой. В этом выпуске на экран Радара попали: Terraform 1.0, Cypress 8.0, Lottie Android 4.0, Husky 7.0 и JavaScript Cookie 3.0.

Новости релизов

Вышел Vue 3.2: добавился синтаксический сахар script setup для работы с Composition API внутри Single File-компонентов, а также новый метод defineCustomElement, позволяющий создавать веб-компоненты, используя API Vue. В пакете серверного рендера появилась возможность использовать нативные ES модули.

V8 релизнулся до версии 9.3. Для JIT-компилятора Sparkplug добавили режим batch-компиляции, что позволило сократить общее время компиляции на 44%. Конструктор Object получил метод hasOwn, который, по сути, является алиасом для уже известного hasOwnProperty.

На дворе август, а значит, время для релиза Firefox 91. В этой версии добавлена локализация для шотландского языка, режим высокой контрастности экрана для macOS, режим HTTPS-first для приватных окон, а также Visual Viewport API, позволяющий следить за событиями скролла, ресайза и зума.

В Deno 1.13 был стандартизирован API HTTP-сервера, теперь Deno может эффективно обслуживать трафик HTTP/1.1 и HTTP/2. Появился метод structuredClone(), позволяющий делать глубокие копии объектов с сохранением экземпляров Regex, Date и Blob, добавилась новая переменная окружения DENO_TLS_CA_STORE для переключения между доверенными сертификатами для TLS, также появился флаг --unsafely-ignore-certificate-errors, которым можно выключить проверку SSL-сертификатов. Помимо этого были доработаны VSCode-расширения для рефакторинга.

Другие новости

«Попробуйте», — сказал Тим, и с тех пор это делают миллиарды людей. 30 лет назад Тим Бернерс-Ли открыл дверь в Интернет. В честь юбилея в официальном блоге W3C размещена форма, где любой может выразить свои мысли о том, что для него значит Интернет. Там же в блоге есть ссылка на то самое письмо Тима с анонсом аббревиатуры WWW.

56 тысяч долларов было выплачено в рамках программы по выявлению уязвимостей. Исследователям удалось исполнить классическую атаку HTTP Request Smuggling в новом варианте. В качестве подопытных были использованы клиент-серверные системы, где фронтенд принимает соединения по HTTP/2, но запросы бэку передает по HTTP/1.1. Разница в версиях протоколов позволила встроить малварь на Javascript с помощью определенным образом описанных запросов. В качестве доказательств исследователи провели атаки на системы Netflix, Verizon, Bitbucket, Netlify CDN и Atlassian.

Пишите нам и читайте

Telegram—канал CSSSR

Twitter CSSSR

Twitter новостей

Telegram ведущего

Twitter ведущего

Комментарии

Продолжая пользование данным Сайтом, вы даете свое согласие на сбор и обработку технической информации (cookies). Подробнее о cookies читайте вПолитике конфиденциальности.