Twitter отключила функцию автоматической обрезки изображений в ленте в десктопной версии
Twitter отключила механизм автоматической обрезки изображений в пользовательской ленте в веб-браузере. Теперь они будут отображаться в полном размере.
В мобильных приложениях аналогичная функция отключена с мая этого года. При этом обрезка для изображений из превью статей при вставке ссылок со сторонних ресурсов остаётся. Они будут автоматически обрезаться в соотношении 16:9.
С этого дня при пролистывании ленты пользователи будут видеть полноразмерные изображения, а не фрагменты, выделенные алгоритмом. До этого нейросети Twitter самостоятельно анализировали изображения, выделяли главные фрагменты и отображали их в новостной ленте. Чтобы увидеть всё изображение, необходимо было нажать на него.
Особенности работы алгоритма и стали основной причиной многочисленных просьб об его отмене. В частности, в прошлом году его обвиняли в расовой предвзятости. Пользователи заметили, что при попытке обрезать изображение алгоритм выделял людей с более светлой кожей вне зависимости от расположения фокуса. Twitter признала наличие бага, но назвала его несущественным.
Тем не менее, она решила постепенно отказаться от автообрезки.
Как отмечает издание Engadget, автоматическая обрезка изображений была хороша только в одном — повышение вовлечённости пользователей. Людям приходилось кликать на изображения, чтобы понять, что на нём отображено. Но самих пользователей такая обрезка чаще всего не устраивала. Издание считает, что отмена функции улучшит пользовательский опыт в соцсети.
Twitter отключила механизм автоматической обрезки изображений в пользовательской ленте в веб-браузере. Теперь они будут отображаться в полном размере.
В мобильных приложениях аналогичная функция отключена с мая этого года. При этом обрезка для изображений из превью статей при вставке ссылок со сторонних ресурсов остаётся. Они будут автоматически обрезаться в соотношении 16:9.
С этого дня при пролистывании ленты пользователи будут видеть полноразмерные изображения, а не фрагменты, выделенные алгоритмом. До этого нейросети Twitter самостоятельно анализировали изображения, выделяли главные фрагменты и отображали их в новостной ленте. Чтобы увидеть всё изображение, необходимо было нажать на него.
Особенности работы алгоритма и стали основной причиной многочисленных просьб об его отмене. В частности, в прошлом году его обвиняли в расовой предвзятости. Пользователи заметили, что при попытке обрезать изображение алгоритм выделял людей с более светлой кожей вне зависимости от расположения фокуса. Twitter признала наличие бага, но назвала его несущественным.
Тем не менее, она решила постепенно отказаться от автообрезки.
Как отмечает издание Engadget, автоматическая обрезка изображений была хороша только в одном — повышение вовлечённости пользователей. Людям приходилось кликать на изображения, чтобы понять, что на нём отображено. Но самих пользователей такая обрезка чаще всего не устраивала. Издание считает, что отмена функции улучшит пользовательский опыт в соцсети.
«Сбер» обучил нейросеть ruGPT-3 писать программный код
«Сбер» представил модель генерации кода, основанную на нейросети ruGPT-3. Разработку ведут команды Sberdevices и Sberworks. Модель легла в основу созданной разработчиками Сбера системы, получившей шуточное название JARVIS (Just another really valuable intellectual system — Еще одна очень ценная интеллектуальная система).
Одной из частей системы стал сервис, позволяющий автоматически писать код, сокращая время на разработку. Уже с 15 ноября у внешних разработчиков появится возможность воспользоваться этим сервисом на Smartmarket — единой точке доступа ко всем технологическим платформам «Сбера».
Модель генерации кода основана на глубокой нейронной сети ruGPT-3, обученной на коде «Сбера» и open-source библиотек. Возможности такой модели позволяют нейросети дописывать код разработчика, искать уязвимые места в коде, переводить код с одного языка программирования на другой и даже — в перспективе — трансформировать в код алгоритм, сформулированный обычной речью.
Частью системы является сервис автозавершения кода, который работает по принципу подсказок. После написания одной части кода нейросеть предлагает варианты продолжения, которые пользователь может выбрать и не вводить код вручную. Уже сегодня JARVIS включает в себя плагины для популярных инструментов разработки (IDE): IDEA, PyCharm, WebStorm с поддержкой языков Java, Python и JavaScript, но эта функция доступна пока только для разработчиков Сбера. Планируется, что в начале следующего года плагины JARVIS для IDEA, PyCharm и WebStorm станут доступны всем желающим. Кроме того, поработать с сервисом автозавершения кода уже в ближайшее время можно будет на платформе Smartmarket — эта функция включена в инструментарий создания приложений для виртуальных ассистентов Салют.
В отличие от стандартных инструментов автозавершения кода, встроенных в IDE, JARVIS при написании программ способен опираться не только на структуру проекта и синтаксис языка, но и на текст комментариев на естественном языке. Таким образом, система, по сути, способна в определённых пределах переводить неформальные описания функций в программный код.
«Сбер» представил модель генерации кода, основанную на нейросети ruGPT-3. Разработку ведут команды Sberdevices и Sberworks. Модель легла в основу созданной разработчиками Сбера системы, получившей шуточное название JARVIS (Just another really valuable intellectual system — Еще одна очень ценная интеллектуальная система).
Одной из частей системы стал сервис, позволяющий автоматически писать код, сокращая время на разработку. Уже с 15 ноября у внешних разработчиков появится возможность воспользоваться этим сервисом на Smartmarket — единой точке доступа ко всем технологическим платформам «Сбера».
Модель генерации кода основана на глубокой нейронной сети ruGPT-3, обученной на коде «Сбера» и open-source библиотек. Возможности такой модели позволяют нейросети дописывать код разработчика, искать уязвимые места в коде, переводить код с одного языка программирования на другой и даже — в перспективе — трансформировать в код алгоритм, сформулированный обычной речью.
Частью системы является сервис автозавершения кода, который работает по принципу подсказок. После написания одной части кода нейросеть предлагает варианты продолжения, которые пользователь может выбрать и не вводить код вручную. Уже сегодня JARVIS включает в себя плагины для популярных инструментов разработки (IDE): IDEA, PyCharm, WebStorm с поддержкой языков Java, Python и JavaScript, но эта функция доступна пока только для разработчиков Сбера. Планируется, что в начале следующего года плагины JARVIS для IDEA, PyCharm и WebStorm станут доступны всем желающим. Кроме того, поработать с сервисом автозавершения кода уже в ближайшее время можно будет на платформе Smartmarket — эта функция включена в инструментарий создания приложений для виртуальных ассистентов Салют.
В отличие от стандартных инструментов автозавершения кода, встроенных в IDE, JARVIS при написании программ способен опираться не только на структуру проекта и синтаксис языка, но и на текст комментариев на естественном языке. Таким образом, система, по сути, способна в определённых пределах переводить неформальные описания функций в программный код.
Компания Google обновила сервис Google Фото
Компания Google выпустила очередное обновление для приложения Google Фото. Теперь на домашней странице появилась кнопка быстрого доступа, которая перенаправляет пользователя в папку со скриншотами. Таким образом, работа с такими изображениями стала проще и быстрее.
По нажатию на кнопку, приложение показывает количество новых скриншотов, поэтому она появляется на домашней странице только после того, как пользователь сделает снимок экрана.
Ранее издание pepelac.news сообщало о том, что разработчики смартфона Google Pixel 6 объяснили медленную работу сканера отпечатков пальцев. Дело в том, что биометрия нового устройства использует усиленные алгоритмы защиты и потому срабатывает медленнее, чем сканеры на других смартфонах.
Компания Google выпустила очередное обновление для приложения Google Фото. Теперь на домашней странице появилась кнопка быстрого доступа, которая перенаправляет пользователя в папку со скриншотами. Таким образом, работа с такими изображениями стала проще и быстрее.
По нажатию на кнопку, приложение показывает количество новых скриншотов, поэтому она появляется на домашней странице только после того, как пользователь сделает снимок экрана.
Ранее издание pepelac.news сообщало о том, что разработчики смартфона Google Pixel 6 объяснили медленную работу сканера отпечатков пальцев. Дело в том, что биометрия нового устройства использует усиленные алгоритмы защиты и потому срабатывает медленнее, чем сканеры на других смартфонах.
Как именно смартфоны прослушивают пользователей
Директор центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов рассказал, как происходит прослушка через смартфоны.
По словам эксперта, есть два сценария, при которых приложения записывают речь пользователей и отправляют её третьим лицам. Для прослушки нужно либо скачать приложение, либо это делается через системное ПО.
Скачанные приложения получают доступ к микрофону и могут работать в фоновом режиме. Должно насторожить то, что приложение, которому не нужен микрофон для выполнения функций, внезапно просит доступ к нему. Но иногда такая программа может попросить доступ к микрофону вполне «легально», если предполагает связанные с этим функции. «Тем не менее, именно благодаря этому многие компании-разработчики могут практически невидимо для пользователей собирать данные, чтобы монетизировать их через контекстную рекламу», — отметил эксперт.
Если же прослушка идёт через системное ПО, сбор данных, скорее всего, идёт официально. Как определить, что какое-то ПО прослушивает пользователя? Есть косвенные признаки: быстро разряжается аккумулятор, приложения потребляют большое количество трафика.
Директор центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов рассказал, как происходит прослушка через смартфоны.
По словам эксперта, есть два сценария, при которых приложения записывают речь пользователей и отправляют её третьим лицам. Для прослушки нужно либо скачать приложение, либо это делается через системное ПО.
Скачанные приложения получают доступ к микрофону и могут работать в фоновом режиме. Должно насторожить то, что приложение, которому не нужен микрофон для выполнения функций, внезапно просит доступ к нему. Но иногда такая программа может попросить доступ к микрофону вполне «легально», если предполагает связанные с этим функции. «Тем не менее, именно благодаря этому многие компании-разработчики могут практически невидимо для пользователей собирать данные, чтобы монетизировать их через контекстную рекламу», — отметил эксперт.
Если же прослушка идёт через системное ПО, сбор данных, скорее всего, идёт официально. Как определить, что какое-то ПО прослушивает пользователя? Есть косвенные признаки: быстро разряжается аккумулятор, приложения потребляют большое количество трафика.
Основы GNU/Linux и подготовка к RHCSA
Я сделал бесплатный свободный курс по основам операционной системы GNU/Linux. Он подойдёт для новичков, кто только начинает знакомиться с IT, а также для тех, кто желает изучить линуксы или восполнить пробелы. Не то чтобы я закончил делать курс, я не думаю, что в принципе возможен конец курса по основам. Но сегодня пройден определённый этап - пройдены все темы, касающиеся экзамена RHCSA.
Для тех кто не знает - RHCSA (Red Hat Certified System Administrator) - это сертификация от компании Red Hat, подтверждающая умение владельца администрировать операционную систему RHEL на уровне младшего системного администратора.
Курс распространяется под лицензией "Creative Commons Attribution Share Alike 4.0 International", а это значит, что любой желающий может использовать этот курс как в личных целях, так и коммерческих. Вы можете свободно читать, копировать, изменять и распространять, можете брать материалы курса и использовать где угодно.
Курс доступен как в видеоформате (на ютубе), так и в текстовом (в гитхаб, гитлаб и гитбуке).
В идеале мне хотелось бы, чтобы сообщество также приложило руку к курсу, добавляя задания, лабораторные и т.п. В том числе добавляя новый материал, улучшая и развивая существующие темы, но при этом придерживаясь главной идеи - должно быть просто, понятно и структурировано.
Я сделал бесплатный свободный курс по основам операционной системы GNU/Linux. Он подойдёт для новичков, кто только начинает знакомиться с IT, а также для тех, кто желает изучить линуксы или восполнить пробелы. Не то чтобы я закончил делать курс, я не думаю, что в принципе возможен конец курса по основам. Но сегодня пройден определённый этап - пройдены все темы, касающиеся экзамена RHCSA.
Для тех кто не знает - RHCSA (Red Hat Certified System Administrator) - это сертификация от компании Red Hat, подтверждающая умение владельца администрировать операционную систему RHEL на уровне младшего системного администратора.
Курс распространяется под лицензией "Creative Commons Attribution Share Alike 4.0 International", а это значит, что любой желающий может использовать этот курс как в личных целях, так и коммерческих. Вы можете свободно читать, копировать, изменять и распространять, можете брать материалы курса и использовать где угодно.
Курс доступен как в видеоформате (на ютубе), так и в текстовом (в гитхаб, гитлаб и гитбуке).
В идеале мне хотелось бы, чтобы сообщество также приложило руку к курсу, добавляя задания, лабораторные и т.п. В том числе добавляя новый материал, улучшая и развивая существующие темы, но при этом придерживаясь главной идеи - должно быть просто, понятно и структурировано.
В Windows 11 запретили открывать системные ссылки в сторонних браузерах
Microsoft запретила открывать системные ссылки в иных браузерах, кроме фирменного Edge. Об этом сообщает издание The Register.
Авторы заметили, что к системным ссылкам добавляется префикс «microsoft-edge://», из-за которого контент может быть отображен только в браузере Edge. Таким образом, пользователей вынуждают обращаться к встроенной в ОС программе. К ссылкам, которые открываются только через Edge, относится контент в разделах «Настройки», «Новости», «Виджеты».
Журналисты напомнили, что ранее подобную функцию критиковали пользователи. Сторонние разработчики выпустили несколько утилит, которые перехватывали и удаляли префикс «microsoft-edge://», чтобы ссылка могла быть открыта в любых браузерах.
Журналисты обратились к производителям других браузеров, чтобы те прокомментировали новость о принудительном использовании Edge. «Люди заслуживают выбора, их выбор браузера по умолчанию нужно уважать», — отметили в компании Mozilla, которая поддерживает проект Firefox. «Microsoft должна понимать, что антимонопольные службы смотрят не только на Google, Facebook и Apple», — отметил представитель команды, разрабатывающей браузер Brave.
В Microsoft не ответили на запрос издания.
В конце июля стало известно, что Microsoft усложнила смену браузера в Windows 11. Также при каждой попытке изменить Edge на другой браузер, ОС будет просить пользователя не спешить с решением.
Microsoft запретила открывать системные ссылки в иных браузерах, кроме фирменного Edge. Об этом сообщает издание The Register.
Авторы заметили, что к системным ссылкам добавляется префикс «microsoft-edge://», из-за которого контент может быть отображен только в браузере Edge. Таким образом, пользователей вынуждают обращаться к встроенной в ОС программе. К ссылкам, которые открываются только через Edge, относится контент в разделах «Настройки», «Новости», «Виджеты».
Журналисты напомнили, что ранее подобную функцию критиковали пользователи. Сторонние разработчики выпустили несколько утилит, которые перехватывали и удаляли префикс «microsoft-edge://», чтобы ссылка могла быть открыта в любых браузерах.
Журналисты обратились к производителям других браузеров, чтобы те прокомментировали новость о принудительном использовании Edge. «Люди заслуживают выбора, их выбор браузера по умолчанию нужно уважать», — отметили в компании Mozilla, которая поддерживает проект Firefox. «Microsoft должна понимать, что антимонопольные службы смотрят не только на Google, Facebook и Apple», — отметил представитель команды, разрабатывающей браузер Brave.
В Microsoft не ответили на запрос издания.
В конце июля стало известно, что Microsoft усложнила смену браузера в Windows 11. Также при каждой попытке изменить Edge на другой браузер, ОС будет просить пользователя не спешить с решением.
Lenta.RU
Microsoft – последние новости – Lenta.ru
Главные новости об организации Microsoft на Lenta.ru. Будьте в курсе последних новостей:
Раскрыт простой способ ускорить домашний Wi-Fi
Всего одна настройка может ускорить работу домашнего беспроводного интернета. Речь идет о выборе наиболее подходящего канала работы роутера, пишет Hi-tech Mail.ru.
С помощью бесплатной программы для Windows под названием Wi-Fi Analyzer издание советует проверить, насколько "зашумлен" эфир в квартире. По результатам проверки пользователь может выбрать в настройках роутера канал, который используется находящимися неподалеку беспроводными устройствами наименее активно (то есть на этой же частоте вещает немного устройств, а уровень сигнала невысокий).
Чтобы роутер начал использовать новый канал связи, необходимо открыть его раздел администратора в браузере по адресу 192.168.0.1 или 192.168.1.1 и в настройках WLAN (или Wi-Fi) выбрать нужный канал.
Кроме того, на скорость работы Wi-Fi влияют расположение компьютера относительно роутера. Не рекомендуется устанавливать сам роутер в нишах, закрытых шкафах, поблизости от других электронных устройств и отопительных приборов, а также слишком близко к полу.
Всего одна настройка может ускорить работу домашнего беспроводного интернета. Речь идет о выборе наиболее подходящего канала работы роутера, пишет Hi-tech Mail.ru.
С помощью бесплатной программы для Windows под названием Wi-Fi Analyzer издание советует проверить, насколько "зашумлен" эфир в квартире. По результатам проверки пользователь может выбрать в настройках роутера канал, который используется находящимися неподалеку беспроводными устройствами наименее активно (то есть на этой же частоте вещает немного устройств, а уровень сигнала невысокий).
Чтобы роутер начал использовать новый канал связи, необходимо открыть его раздел администратора в браузере по адресу 192.168.0.1 или 192.168.1.1 и в настройках WLAN (или Wi-Fi) выбрать нужный канал.
Кроме того, на скорость работы Wi-Fi влияют расположение компьютера относительно роутера. Не рекомендуется устанавливать сам роутер в нишах, закрытых шкафах, поблизости от других электронных устройств и отопительных приборов, а также слишком близко к полу.
hi-tech.mail.ru
Как ускорить домашний Wi-Fi с помощью секретной настройки
Если скорость вашего интернет-соединения оставляет желать лучшего, возможно, вам стоит поменять всего одну настройку. Расскажем о ней в нашей статье. Скорость вашего Wi-Fi может зависеть от многих факторов. Причинами плохого сигнала, например, могут быть…
Эксперт рассказал, как не попасть на фальшивый сайт госуслуг
При попытке получить QR-код пользователь может наткнуться на поддельный портал госуслуг - о том, как отличить мошеннический сайт от подлинного, рассказал РИА Новости обозреватель компании-разработчика программ кибербезопасности ESET Станислав Жураковский.
"Первый признак настоящего сайта - использование удостоверяющих сертификатов. Они могут быть проверены в строке браузера по клику на "замочек" в адресной строке, в Safari. По кнопке "показать сертификат" открывается окно, которое демонстрирует принадлежность домена и его подлинность", - отметил эксперт.
Для проверки безопасности передачи данных Жураковский советует убедиться, что в адресе есть "замочек" и сам адрес начинается с "https://", где буква "s" обозначает "secure" ("безопасный"). Кроме того, важно обращать внимание на правильное написание адреса сайта - из-за опечатки при наборе пользователь может оказаться на поддельном ресурсе. По словам эксперта, отдельное подразделение мошенников - киберсквоттеры - скупают домены, на которые легко попасть, случайно перепутав буквы, расположенные рядом на клавиатуре.
"Плохую подделку можно также отличить по интерфейсу. Когда не тот цвет, устаревший кабинет или большое количество ошибок в текстах. Имея простую насмотренность, можно быстро и легко отличать подделки от оригинала. Злоумышленники обычно не копируют сайт полностью, они создают ощущение, что этот сайт настоящий", - добавил Жураковский, отметив, что подделку также выдает "одностраничность" сайта.
Кроме того, эксперт посоветовал установить антивирусную программу и использовать поисковые сервисы для перехода на портал - оригинальные сайты госсервисов выдаются первыми в поиске и имеют синюю галочку, которая подтверждает их подлинность.
При попытке получить QR-код пользователь может наткнуться на поддельный портал госуслуг - о том, как отличить мошеннический сайт от подлинного, рассказал РИА Новости обозреватель компании-разработчика программ кибербезопасности ESET Станислав Жураковский.
"Первый признак настоящего сайта - использование удостоверяющих сертификатов. Они могут быть проверены в строке браузера по клику на "замочек" в адресной строке, в Safari. По кнопке "показать сертификат" открывается окно, которое демонстрирует принадлежность домена и его подлинность", - отметил эксперт.
Для проверки безопасности передачи данных Жураковский советует убедиться, что в адресе есть "замочек" и сам адрес начинается с "https://", где буква "s" обозначает "secure" ("безопасный"). Кроме того, важно обращать внимание на правильное написание адреса сайта - из-за опечатки при наборе пользователь может оказаться на поддельном ресурсе. По словам эксперта, отдельное подразделение мошенников - киберсквоттеры - скупают домены, на которые легко попасть, случайно перепутав буквы, расположенные рядом на клавиатуре.
"Плохую подделку можно также отличить по интерфейсу. Когда не тот цвет, устаревший кабинет или большое количество ошибок в текстах. Имея простую насмотренность, можно быстро и легко отличать подделки от оригинала. Злоумышленники обычно не копируют сайт полностью, они создают ощущение, что этот сайт настоящий", - добавил Жураковский, отметив, что подделку также выдает "одностраничность" сайта.
Кроме того, эксперт посоветовал установить антивирусную программу и использовать поисковые сервисы для перехода на портал - оригинальные сайты госсервисов выдаются первыми в поиске и имеют синюю галочку, которая подтверждает их подлинность.
Apple тайно закупает в Google рекламу популярных приложений из App Store
Несколько разработчиков приложений анонимно рассказали, что Apple тайно покупает рекламу в Google для крупных сервисов, чтобы самой получить миллионы долларов дохода от подписки. Об этом сообщает Forbes.
«Корпорация размещает рекламу без согласия самих разработчиков. Такой схемой Apple пользуется уже около двух лет», — подчеркивает источник издания.
В рекламной ссылке, которая выпадает первой или второй строчкой на поисковой странице Google, не говорится, что ее размещает Apple — для пользователей это выглядит как реклама от самих брендов. При этом ссылка ведет не на сайт самих сервисов, а на страницу приложения в App Store.
«Некоторые подписки стоят сотни долларов в год. Затраты Apple на показ рекламы могут составлять $5-10 за каждую успешную регистрацию, а доход может легко составить $50 и более», — добавил источник.
Среди компаний, чья реклама закупается, есть и крупные бренды, такие как приложения для знакомств Tinder, Plenty of Fish и Bumble, стриминговый сервис HBO, образовательная онлайн-платформа Masterclass и сервис по изучению языков Babbel.
Источник объясняет, что Apple давно выяснила, что может заработать больше денег, если будет подталкивать людей к покупкам подписок через App Store, а не через интернет. При этом такая схема ведет к потере денег самими сервисами. Если пользователей по умолчанию подпишется на сервис через App Store, Apple получит 30%-ую комиссию за первый год и постоянную 15%-ую комиссию за каждый последующий год. Однако, если такие компании, как Amazon или HBO, продают подписку на своих собственных веб-сайтах, они обходят комиссию Apple и сами получают всю прибыль.
Кроме того, когда несколько сторон делают ставки на одни и те же рекламные места, цены растут. Поэтому, если Apple покупает рекламу для HBO Max, чтобы заставить клиентов HBO покупать услугу в приложении, это означает, что HBO придется потратить больше, чем Apple, чтобы занять первое место и получить высокую видимость. Это увеличивает затраты на привлечение клиентов: серьезная проблема для быстрорастущих компаний, которые полагаются на сложные маркетинговые модели, которые уравновешивают затраты на привлечение клиентов средствами, доступными для рекламы.
Стоит отметить, что не все маркетологи согласны с тем, что это проблема. Один из них предположил, что многие бренды, столкнувшиеся с этой проблемой, пытались обойти политику App Store в отношении монетизации и что «если они не хотят играть по правилам, они могут покинуть App Store и заниматься своим бизнесом в другом месте».
Напомним, что согласно рекламной политике Google, в рекламе могут использоваться товарные знаки других компаний, если они «в первую очередь предназначены для продажи (или явно способствуют продаже) продуктов или услуг, компонентов, запасных частей или совместимых продуктов или услуг, соответствующих товарному знаку».
Несколько разработчиков приложений анонимно рассказали, что Apple тайно покупает рекламу в Google для крупных сервисов, чтобы самой получить миллионы долларов дохода от подписки. Об этом сообщает Forbes.
«Корпорация размещает рекламу без согласия самих разработчиков. Такой схемой Apple пользуется уже около двух лет», — подчеркивает источник издания.
В рекламной ссылке, которая выпадает первой или второй строчкой на поисковой странице Google, не говорится, что ее размещает Apple — для пользователей это выглядит как реклама от самих брендов. При этом ссылка ведет не на сайт самих сервисов, а на страницу приложения в App Store.
«Некоторые подписки стоят сотни долларов в год. Затраты Apple на показ рекламы могут составлять $5-10 за каждую успешную регистрацию, а доход может легко составить $50 и более», — добавил источник.
Среди компаний, чья реклама закупается, есть и крупные бренды, такие как приложения для знакомств Tinder, Plenty of Fish и Bumble, стриминговый сервис HBO, образовательная онлайн-платформа Masterclass и сервис по изучению языков Babbel.
Источник объясняет, что Apple давно выяснила, что может заработать больше денег, если будет подталкивать людей к покупкам подписок через App Store, а не через интернет. При этом такая схема ведет к потере денег самими сервисами. Если пользователей по умолчанию подпишется на сервис через App Store, Apple получит 30%-ую комиссию за первый год и постоянную 15%-ую комиссию за каждый последующий год. Однако, если такие компании, как Amazon или HBO, продают подписку на своих собственных веб-сайтах, они обходят комиссию Apple и сами получают всю прибыль.
Кроме того, когда несколько сторон делают ставки на одни и те же рекламные места, цены растут. Поэтому, если Apple покупает рекламу для HBO Max, чтобы заставить клиентов HBO покупать услугу в приложении, это означает, что HBO придется потратить больше, чем Apple, чтобы занять первое место и получить высокую видимость. Это увеличивает затраты на привлечение клиентов: серьезная проблема для быстрорастущих компаний, которые полагаются на сложные маркетинговые модели, которые уравновешивают затраты на привлечение клиентов средствами, доступными для рекламы.
Стоит отметить, что не все маркетологи согласны с тем, что это проблема. Один из них предположил, что многие бренды, столкнувшиеся с этой проблемой, пытались обойти политику App Store в отношении монетизации и что «если они не хотят играть по правилам, они могут покинуть App Store и заниматься своим бизнесом в другом месте».
Напомним, что согласно рекламной политике Google, в рекламе могут использоваться товарные знаки других компаний, если они «в первую очередь предназначены для продажи (или явно способствуют продаже) продуктов или услуг, компонентов, запасных частей или совместимых продуктов или услуг, соответствующих товарному знаку».
Windows 11 игнорирует браузер по умолчанию
Как сообщает британское издание The Register, специализирующееся на технологиях, компания Microsoft заставила свою операционную систему Windows 11 открывать целый ряд ссылок через браузер Edge, даже если по умолчанию установлен другой.
Отмечается, что в данном случае речь идет о ссылках, имеющих самое непосредственное отношение к сервисам корпорации, причем приложение программиста Даниэля Александерсена, разработанное в 2017 году и изменяющее подобное поведение операционной системы от Microsoft, перестало функционировать. Напомним, что бесплатная служба EdgeDeflector позволяла успешно противостоять схеме от Microsoft, причем встроенные обходные пути имели и сторонние браузеры, например Firefox.
Многие считают, что подобные действия компании вступают в противоречие с антимонопольным законодательством, в связи с чем в Министерство юстиции Соединенных Штатов был направлен соответствующий запрос.
Пользователи отмечают, что в Windows 11 настройка браузера по умолчанию значительно усложнилась, в результате чего приходится настраивать типы ссылок и файлов, которые будут открываться в любимом браузере, вручную.
Как сообщает британское издание The Register, специализирующееся на технологиях, компания Microsoft заставила свою операционную систему Windows 11 открывать целый ряд ссылок через браузер Edge, даже если по умолчанию установлен другой.
Отмечается, что в данном случае речь идет о ссылках, имеющих самое непосредственное отношение к сервисам корпорации, причем приложение программиста Даниэля Александерсена, разработанное в 2017 году и изменяющее подобное поведение операционной системы от Microsoft, перестало функционировать. Напомним, что бесплатная служба EdgeDeflector позволяла успешно противостоять схеме от Microsoft, причем встроенные обходные пути имели и сторонние браузеры, например Firefox.
Многие считают, что подобные действия компании вступают в противоречие с антимонопольным законодательством, в связи с чем в Министерство юстиции Соединенных Штатов был направлен соответствующий запрос.
Пользователи отмечают, что в Windows 11 настройка браузера по умолчанию значительно усложнилась, в результате чего приходится настраивать типы ссылок и файлов, которые будут открываться в любимом браузере, вручную.
Вышел Google Chrome 96
Вышла стабильная версия браузера Google Chrome 96. Ветка будет сопровождаться на протяжении восьми недель, а выпуск Chrome 97 запланирован на 4 января 2022 года. Добавили новые инструменты для веб-разработчиков, исправили ошибки и расширили экспериментальные функции в мобильной версии.
Нововведения в Google Chrome 96:
• в новой версии добавили перенаправление с HTTP на HTTPS с использованием DNS;
• прекратили поддержку платформы Android 5.0 и более ранних версий;
• в версии для Windows данные о работе сетевых сервисов переехали в отдельную директорию Network. Все это на фоне подготовки к механизму сетевой изоляции Network Sandbox;
• добавили CSS-свойство
• предложили добавление нового класса в CSS
• в версии для десктопов расширили осуществление навигации между ранее просмотренными страницами после открытия другого сайта;
• добавили медиавыражения типа
• включили поддержку директивы CSP
• в сам WebAssembly включили поддержку ссылочных типов;
• если пользователь перейдет на сайт с API U2F, то браузер предупредит его о том, что данная технология устаревает. В Chrome 98 API U2F будет по умолчанию отключен, а в Chrome 104 полностью удален, на смену придет API Web Authentication;
• добавили поддержку параметра
• CSS-свойства
• в PaymentMethodData объявили устаревшей поддержку метода платежей
Также веб-разработчикам стали доступны новые инструменты, в том числе CSS Overview, который позволяет посмотреть подробную сводку об используемых на странице цветах, шрифтах, медиавыражениях, неиспользуемых объявлениях и гипотетических проблемах. Улучшили операцию копирования и редактирования CSS. На панели стилей теперь можно скопировать CSS-определение в формате выражения JavaScript. В консоли появилась опция игнорирования всех ошибок CORS.
Кроме десктопной версии разработчики поработали и над мобильной версией браузера для устройств на базе Android. В частности появилась экспериментальная функция, которая позволяет принудительно перекрасить сайт в темную тему. Для того, чтобы включить режим, необходимо активировать флаг
Также в мобильной версии добавили экспериментальную функцию масштабирования страниц, которая пришла с десктопной версии браузера. Активировать функцию можно включив флаг
Кроме всего прочего Google сообщила о том, что в обновлении удалось закрыть 25 известных уязвимостей. По программе выплат вознаграждений за обнаружение ошибок компания выплатила 13 премий на общую сумму в 60 тыс. долларов.
Вышла стабильная версия браузера Google Chrome 96. Ветка будет сопровождаться на протяжении восьми недель, а выпуск Chrome 97 запланирован на 4 января 2022 года. Добавили новые инструменты для веб-разработчиков, исправили ошибки и расширили экспериментальные функции в мобильной версии.
Нововведения в Google Chrome 96:
• в новой версии добавили перенаправление с HTTP на HTTPS с использованием DNS;
• прекратили поддержку платформы Android 5.0 и более ранних версий;
• в версии для Windows данные о работе сетевых сервисов переехали в отдельную директорию Network. Все это на фоне подготовки к механизму сетевой изоляции Network Sandbox;
• добавили CSS-свойство
font-synthesis, которое позволяет позволяет управлять синтезом начертаний, отсутствующих в выбранном семействе шрифтов;• предложили добавление нового класса в CSS
:autofill, который отвечал бы за отслеживание автоматического заполнения полей тега input;• в версии для десктопов расширили осуществление навигации между ранее просмотренными страницами после открытия другого сайта;
• добавили медиавыражения типа
prefers-contrast, которые предназначены для адаптации содержимого страницы в зависимости от пользовательских настроек цветопередачи;• включили поддержку директивы CSP
wasm-unsafe-eval для возможности запуска код на WebAssembly;• в сам WebAssembly включили поддержку ссылочных типов;
• если пользователь перейдет на сайт с API U2F, то браузер предупредит его о том, что данная технология устаревает. В Chrome 98 API U2F будет по умолчанию отключен, а в Chrome 104 полностью удален, на смену придет API Web Authentication;
• добавили поддержку параметра
credentialless для управления отключением передачи информации, связанной с учетными данными пользователя;• CSS-свойства
writing-mode, direction и backgrounds теперь не распространяются на viewport при применении свойства contain к тегам <html></html> и <body></body>. Это позволяет избежать зацикливание запросов;• в PaymentMethodData объявили устаревшей поддержку метода платежей
basic-card, который позволял обеспечить работу с любыми типами пластиковых карт с помощью единого идентификатора без привязки к типам.Также веб-разработчикам стали доступны новые инструменты, в том числе CSS Overview, который позволяет посмотреть подробную сводку об используемых на странице цветах, шрифтах, медиавыражениях, неиспользуемых объявлениях и гипотетических проблемах. Улучшили операцию копирования и редактирования CSS. На панели стилей теперь можно скопировать CSS-определение в формате выражения JavaScript. В консоли появилась опция игнорирования всех ошибок CORS.
Кроме десктопной версии разработчики поработали и над мобильной версией браузера для устройств на базе Android. В частности появилась экспериментальная функция, которая позволяет принудительно перекрасить сайт в темную тему. Для того, чтобы включить режим, необходимо активировать флаг
chrome://flags/#darken-websites-checkbox-in-themes-setting. Стоит помнить о том, что функция применяет цветовую схему даже в том случае, если разработчики сайта не предусмотрели такий сценарий, поэтому контент на некоторых страницах может отображаться некорректно.Также в мобильной версии добавили экспериментальную функцию масштабирования страниц, которая пришла с десктопной версии браузера. Активировать функцию можно включив флаг
chrome:flags#enable-accessibility-page-zoom. После этого в меню информации о безопасности протоколов передачи сайта появится отдельная строка масштабирования. Эта настройка применяется к конкретному сайту и не влияет на глобальные установки.Кроме всего прочего Google сообщила о том, что в обновлении удалось закрыть 25 известных уязвимостей. По программе выплат вознаграждений за обнаружение ошибок компания выплатила 13 премий на общую сумму в 60 тыс. долларов.
Spotify, Discord и другие сервисы ненадолго легли из-за отключения Google Cloud
16 ноября меньше чем на час внезапно прекратилась работа Spotify, Discord, Etsy, Pokémon Go и не только. Причиной падения стали неполадки в работе сервисов Google, а именно: Google Cloud Networking, Google Cloud Functions, Google Cloud Run, Google App Engine, Google App Engine Flex, Apigee и Firebase. Компания указала, что проблема была решена в течение 1 часа 49 минут с момента обнаружения. Основной причиной её появления была скрытая ошибка в службе настройки сети.
Согласно отчёту Google, перебои повлияли на клиентов следующим образом:
• Google Cloud Networking – пользователи не смогли внести изменения в балансировку нагрузки на веб-сайтах, из-за чего появлялась страница с ошибкой 404;
• Google Cloud Functions – сайты пользователей, использующих Google Cloud Load Balancing (GCLB), отображали ошибку 404;
• Google Cloud Run – в центральной части США трафик упал на 25% и сайты пользователей, использующих GCLB, отображали ошибку 404;
• Google App Engine – 80% падение трафика в центральной части США и Западной Европе, ошибка 404 на сайтах клиентов, использующих GCLB;
• Google App Engine Flex – ошибка 404 на сайтах клиентов, использующих GCLB, и проблемы с развёртыванием инструмента;
• Apigee – ошибка 404 при выполнении запросов у пользователей, использующих GCLB;
• Google Firebase – ошибка 404 на сайтах пользователей, использующих GCLB.
Как отмечает издание The Verge, подключение к AWS, Google Cloud и другим подобным сервисам помогает компаниям массово распространять контент на сравнительно выгодных условиях. При этом в случае сбоя нарушится работа абсолютно всех сервисов, подключенных к поставщику услуг.
Предыдущий глобальный сбой в работе интернет-ресурсов произошёл 4 октября этого года и продлился пять часов. У Facebook (ныне Meta) отключилась вся внутренняя сеть компании, в том числе корпоративные сегменты, сервера DNS, сервисы и инструменты, Facebook, Instagram и WhatsApp. Предположительно, пошло не по плану удалённое обновление конфигурации маршрутизаторов внутри сети компании, отвечающих за BGP-сессии и их анонсы, а также автономную систему Facebook. После этого перестали быть доступны NS-сервера компании и пропали DNS-записи.
16 ноября меньше чем на час внезапно прекратилась работа Spotify, Discord, Etsy, Pokémon Go и не только. Причиной падения стали неполадки в работе сервисов Google, а именно: Google Cloud Networking, Google Cloud Functions, Google Cloud Run, Google App Engine, Google App Engine Flex, Apigee и Firebase. Компания указала, что проблема была решена в течение 1 часа 49 минут с момента обнаружения. Основной причиной её появления была скрытая ошибка в службе настройки сети.
Согласно отчёту Google, перебои повлияли на клиентов следующим образом:
• Google Cloud Networking – пользователи не смогли внести изменения в балансировку нагрузки на веб-сайтах, из-за чего появлялась страница с ошибкой 404;
• Google Cloud Functions – сайты пользователей, использующих Google Cloud Load Balancing (GCLB), отображали ошибку 404;
• Google Cloud Run – в центральной части США трафик упал на 25% и сайты пользователей, использующих GCLB, отображали ошибку 404;
• Google App Engine – 80% падение трафика в центральной части США и Западной Европе, ошибка 404 на сайтах клиентов, использующих GCLB;
• Google App Engine Flex – ошибка 404 на сайтах клиентов, использующих GCLB, и проблемы с развёртыванием инструмента;
• Apigee – ошибка 404 при выполнении запросов у пользователей, использующих GCLB;
• Google Firebase – ошибка 404 на сайтах пользователей, использующих GCLB.
Как отмечает издание The Verge, подключение к AWS, Google Cloud и другим подобным сервисам помогает компаниям массово распространять контент на сравнительно выгодных условиях. При этом в случае сбоя нарушится работа абсолютно всех сервисов, подключенных к поставщику услуг.
Предыдущий глобальный сбой в работе интернет-ресурсов произошёл 4 октября этого года и продлился пять часов. У Facebook (ныне Meta) отключилась вся внутренняя сеть компании, в том числе корпоративные сегменты, сервера DNS, сервисы и инструменты, Facebook, Instagram и WhatsApp. Предположительно, пошло не по плану удалённое обновление конфигурации маршрутизаторов внутри сети компании, отвечающих за BGP-сессии и их анонсы, а также автономную систему Facebook. После этого перестали быть доступны NS-сервера компании и пропали DNS-записи.
Microsoft выпустила обновление November 2021 Update для Windows 10
Компания Microsoft выпустила крупное обновление для Windows 10. Обновление November 2021 Update (21H2) уже доступно для установки всем пользователям. Таким образом, следующее крупное обновление для Windows 10 выйдет только во второй половине 2022 года, а не в мае-июне, как это было прежде.
«Мы переходим на новый график выпуска обновлений для Windows 10, чтобы соответствовать ритму Windows 11, которая ориентирована на ежегодное получение функциональных обновлений <…> Следующее обновление функций Windows 10 намечено на вторую половину 2022 года. Мы продолжим поддерживать как минимум одну версию Windows 10 до 14 октября 2025 года», — говорится в сообщении Microsoft.
Сейчас основные силы компании направлены на поддержку новой операционной системы Windows 11. Однако обновления для Windows 10 будут выходить еще достаточно продолжительное время. Также ежегодные обновления будут удобны для корпоративных пользователей. Обычно им приходится проводить тестирование обновлений на совместимость с используемым оборудованием.
Теперь у компаний будет больше время на проверку совместимости новых функций. Также больше времени для тестирования появится у участников Windows Insider Program (Инсайдерская программа). Это позволит значительно снизить количество ошибок до выхода обновлений, для основной массы пользователей.
Компания Microsoft выпустила крупное обновление для Windows 10. Обновление November 2021 Update (21H2) уже доступно для установки всем пользователям. Таким образом, следующее крупное обновление для Windows 10 выйдет только во второй половине 2022 года, а не в мае-июне, как это было прежде.
«Мы переходим на новый график выпуска обновлений для Windows 10, чтобы соответствовать ритму Windows 11, которая ориентирована на ежегодное получение функциональных обновлений <…> Следующее обновление функций Windows 10 намечено на вторую половину 2022 года. Мы продолжим поддерживать как минимум одну версию Windows 10 до 14 октября 2025 года», — говорится в сообщении Microsoft.
Сейчас основные силы компании направлены на поддержку новой операционной системы Windows 11. Однако обновления для Windows 10 будут выходить еще достаточно продолжительное время. Также ежегодные обновления будут удобны для корпоративных пользователей. Обычно им приходится проводить тестирование обновлений на совместимость с используемым оборудованием.
Теперь у компаний будет больше время на проверку совместимости новых функций. Также больше времени для тестирования появится у участников Windows Insider Program (Инсайдерская программа). Это позволит значительно снизить количество ошибок до выхода обновлений, для основной массы пользователей.
Пакистанские хакеры создали фейковый магазин приложений для своих атак
Компания Facebook сообщила, что помешала работе одной пакистанской и трех сирийских хакерских групп. Пакистанская хак-группа использовала аккаунты Facebook для атак на членов бывшего афганского правительства, вооруженных сил и правоохранительных органов.
Исследователи рассказывают, что пакистанская хак-группа SideCopy создала поддельный магазин приложений для Android, чтобы атаковать лиц, связанных с бывшим правительством Афганистана (еще до его падения и прихода к власти запрещенной в РФ организации «Талибан»). Эти атаки длились с апреля по август текущего года.
Операторы SideCopy создавали в Facebook поддельные профили, обычно выдавая себя за молодых женщин, знакомились с целями и обманом вынуждали их переходить по вредоносным ссылкам. Такие ссылки вели на фишинговые сайты, которые собирали учетные данные, или, в некоторых случаях, в фиктивные магазины приложений, где размещались зараженные малварью приложения для Android. Обычно хакеры использовали приложения, замаскированные под мессенджеры и имитировали известные бренды, такие как Viber и Signal.
«Среди них были приложения HappyChat, HangOn, ChatOut, TrendBanter, SmartSnap и TeleChat. Некоторые из них на самом деле являются действующими мессенджерами», — рассказывают эксперты.
На самом деле такие фейки были заражены троянами удаленного доступа. Так, некоторые приложения содержали малварь PJobRAT, тогда как другие были заражены ранее неизвестной угрозой под названием Mayhem. Оба вредоноса позволяли хакерам полностью контролировать зараженные устройства.
Кроме того, аналитики Facebook сообщили, что еще в октябре 2021 года они помешали работе трех сирийских хак-групп. Эти злоумышленники атаковали лиц и активистов, противостоящих режиму Башара Асада.
Syrian Electronic Army (Сирийская электронная армия): преследовала правозащитников, журналистов и других лиц противостоящие правящему режиму.
APT-C-37: была нацелена на людей, связанных со Свободной сирийской армией, и бывших военнослужащих, которые присоединились к силам оппозиции.
Неназванная группировка: атаковала группы меньшинств, активистов, оппозицию, курдских журналистов, членов отрядов народной защиты, а также членов Гражданской обороны Сирии или «Белых касок» (добровольческой гуманитарной организации).
Facebook заявляет, что деятельность первых двух групп связана с двумя подразделениями Воздушных разведывательных сил Сирии, одной из самых влиятельных спецслужб страны.
Компания Facebook сообщила, что помешала работе одной пакистанской и трех сирийских хакерских групп. Пакистанская хак-группа использовала аккаунты Facebook для атак на членов бывшего афганского правительства, вооруженных сил и правоохранительных органов.
Исследователи рассказывают, что пакистанская хак-группа SideCopy создала поддельный магазин приложений для Android, чтобы атаковать лиц, связанных с бывшим правительством Афганистана (еще до его падения и прихода к власти запрещенной в РФ организации «Талибан»). Эти атаки длились с апреля по август текущего года.
Операторы SideCopy создавали в Facebook поддельные профили, обычно выдавая себя за молодых женщин, знакомились с целями и обманом вынуждали их переходить по вредоносным ссылкам. Такие ссылки вели на фишинговые сайты, которые собирали учетные данные, или, в некоторых случаях, в фиктивные магазины приложений, где размещались зараженные малварью приложения для Android. Обычно хакеры использовали приложения, замаскированные под мессенджеры и имитировали известные бренды, такие как Viber и Signal.
«Среди них были приложения HappyChat, HangOn, ChatOut, TrendBanter, SmartSnap и TeleChat. Некоторые из них на самом деле являются действующими мессенджерами», — рассказывают эксперты.
На самом деле такие фейки были заражены троянами удаленного доступа. Так, некоторые приложения содержали малварь PJobRAT, тогда как другие были заражены ранее неизвестной угрозой под названием Mayhem. Оба вредоноса позволяли хакерам полностью контролировать зараженные устройства.
Кроме того, аналитики Facebook сообщили, что еще в октябре 2021 года они помешали работе трех сирийских хак-групп. Эти злоумышленники атаковали лиц и активистов, противостоящих режиму Башара Асада.
Syrian Electronic Army (Сирийская электронная армия): преследовала правозащитников, журналистов и других лиц противостоящие правящему режиму.
APT-C-37: была нацелена на людей, связанных со Свободной сирийской армией, и бывших военнослужащих, которые присоединились к силам оппозиции.
Неназванная группировка: атаковала группы меньшинств, активистов, оппозицию, курдских журналистов, членов отрядов народной защиты, а также членов Гражданской обороны Сирии или «Белых касок» (добровольческой гуманитарной организации).
Facebook заявляет, что деятельность первых двух групп связана с двумя подразделениями Воздушных разведывательных сил Сирии, одной из самых влиятельных спецслужб страны.
Специалисты GitHub рассказали об уязвимостях в npm
Материнская компания npm (Node Package Manager), GitHub, сообщила о двух серьезных уязвимостях, выявленных в JavaScript-менеджере пакетов в октябре-ноябре текущего года.
Первая и наиболее серьезная ошибка, о которой ИБ-исследователи сообщили разработчикам через bug bounty программу GitHub в начале ноября, позволяет злоумышленнику опубликовать новую версию любого пакета npm, используя учетную запись без корректной авторизации.
Уязвимость возникла из-за несогласованности проверок авторизации и данных между несколькими микросервисами, которые обрабатывают запросы к npm.
«В данной архитектуре служба авторизации корректно проверяла авторизацию пользователя для пакетов на основе данных, передаваемых в путях URL запросов. Однако служба, выполняющая базовые обновления данных реестра, определяла, какой пакет нужно публиковать, основываясь на содержимом загруженного файла пакета, — объясняет глава службы безопасности GitHub Майк Хэнли. — Данное несоответствие создало возможность, когда запросы на публикацию новых версий пакета разрешались для одного пакета, но на самом деле выполнялись для другого, потенциально неавторизованного пакета. Мы решили эту проблему, обеспечив согласованность между службами публикации и авторизации, чтобы гарантировать, что один и тот же пакет используется как для авторизации, так и для публикации».
Разработчики пишут, что никаких свидетельств эксплуатации этого бага нет. Но при этом специалисты признают, что уязвимость существовала в npm «сверх временного интервала», для которого у них есть телеметрия, «позволяющая определить, происходили ли когда-либо злоупотребления этой уязвимостью».
Вторая уязвимость была связана с утечкой имен приватных пакетов npm (но не их содержимого), которая произошла через сервер репликации npmjs.com, с которого получают данные сторонние службы. Утечка затронула частные библиотеки npm, которые выглядят как «@владелец/ пакет» и были созданы до 20 октября. Названия таких библиотек были доступны посторонним в период между 21 октября и 29 октября. В настоящее время утечка устранена, и данные удалены.
«Во время обслуживания базы данных, которая поддерживает общедоступную реплику npm на replicate.npmjs.com, были созданы записи, которые могли раскрывать названия частных пакетов, — объясняет Хэнли. — На короткое время это позволило потребителям replicate.npmjs.com узнать названия приватных пакетов из записей, опубликованных в общедоступной ленте изменений. Никакая другая информация, включая содержимое этих приватных пакетов, доступна не была».
Проблема в том, что даже простого знания называний приватных пакетов вполне достаточно для проведения таргетированных и автоматизированных атак типа dependency confusion и typosquatting. Эксперты признают, что replicate.npmjs.com используется третьими сторонами, а значит, те по-прежнему могут хранить копии утечки или «реплицировать данные в другом месте».
Материнская компания npm (Node Package Manager), GitHub, сообщила о двух серьезных уязвимостях, выявленных в JavaScript-менеджере пакетов в октябре-ноябре текущего года.
Первая и наиболее серьезная ошибка, о которой ИБ-исследователи сообщили разработчикам через bug bounty программу GitHub в начале ноября, позволяет злоумышленнику опубликовать новую версию любого пакета npm, используя учетную запись без корректной авторизации.
Уязвимость возникла из-за несогласованности проверок авторизации и данных между несколькими микросервисами, которые обрабатывают запросы к npm.
«В данной архитектуре служба авторизации корректно проверяла авторизацию пользователя для пакетов на основе данных, передаваемых в путях URL запросов. Однако служба, выполняющая базовые обновления данных реестра, определяла, какой пакет нужно публиковать, основываясь на содержимом загруженного файла пакета, — объясняет глава службы безопасности GitHub Майк Хэнли. — Данное несоответствие создало возможность, когда запросы на публикацию новых версий пакета разрешались для одного пакета, но на самом деле выполнялись для другого, потенциально неавторизованного пакета. Мы решили эту проблему, обеспечив согласованность между службами публикации и авторизации, чтобы гарантировать, что один и тот же пакет используется как для авторизации, так и для публикации».
Разработчики пишут, что никаких свидетельств эксплуатации этого бага нет. Но при этом специалисты признают, что уязвимость существовала в npm «сверх временного интервала», для которого у них есть телеметрия, «позволяющая определить, происходили ли когда-либо злоупотребления этой уязвимостью».
Вторая уязвимость была связана с утечкой имен приватных пакетов npm (но не их содержимого), которая произошла через сервер репликации npmjs.com, с которого получают данные сторонние службы. Утечка затронула частные библиотеки npm, которые выглядят как «@владелец/ пакет» и были созданы до 20 октября. Названия таких библиотек были доступны посторонним в период между 21 октября и 29 октября. В настоящее время утечка устранена, и данные удалены.
«Во время обслуживания базы данных, которая поддерживает общедоступную реплику npm на replicate.npmjs.com, были созданы записи, которые могли раскрывать названия частных пакетов, — объясняет Хэнли. — На короткое время это позволило потребителям replicate.npmjs.com узнать названия приватных пакетов из записей, опубликованных в общедоступной ленте изменений. Никакая другая информация, включая содержимое этих приватных пакетов, доступна не была».
Проблема в том, что даже простого знания называний приватных пакетов вполне достаточно для проведения таргетированных и автоматизированных атак типа dependency confusion и typosquatting. Эксперты признают, что replicate.npmjs.com используется третьими сторонами, а значит, те по-прежнему могут хранить копии утечки или «реплицировать данные в другом месте».
Совершенно новое приложение WhatsApp для Windows уже доступно для скачивания
Разработчики мессенджера WhatsApp уже довольно давно работают над совершенно новым настольным приложением для Windows. Теперь же его можно загрузить в магазине приложений Microsoft для Windows.
Само приложение основано на универсальной платформе Windows (Universal Windows Platform, UWP). Важное нововведение в том, что уведомления работают, даже если приложение закрыто. Также есть новая функция рукописного ввода и поддержка работы с несколькими устройствами — вам не нужен телефон для входа в свою учётную запись.
Стоит добавить, что приложение всё ещё находится в стадии бета-тестирования, поэтому ожидается, что некоторые функции будут реализованы в будущем.
Разработчики мессенджера WhatsApp уже довольно давно работают над совершенно новым настольным приложением для Windows. Теперь же его можно загрузить в магазине приложений Microsoft для Windows.
Само приложение основано на универсальной платформе Windows (Universal Windows Platform, UWP). Важное нововведение в том, что уведомления работают, даже если приложение закрыто. Также есть новая функция рукописного ввода и поддержка работы с несколькими устройствами — вам не нужен телефон для входа в свою учётную запись.
Стоит добавить, что приложение всё ещё находится в стадии бета-тестирования, поэтому ожидается, что некоторые функции будут реализованы в будущем.
Поддержку Google Chrome на Windows 7 продлили на год
Компания Google продлила поддержку браузера Chrome в ОС Windows 7 еще на один год. Информация появилась в издании MSPowerUser.
Первоначально планировалось завершить обслуживание браузера в устаревшей ОС с 15 июля текущего года, однако из-за пандемии было решено продлить поддержку до 15 января 2022 года. Теперь же браузер прекратит получать обновления после 15 января 2023 года.
Отмечается, что продление поддержки совпадает с крайним сроком расширенного платного обслуживания операционной системы корпорацией Microsoft. В аналогичный период поддержки лишится и браузер Edge, а Internet Explorer — с 15 июня 2022 года.
По данным StatCounter за октябрь 2021 года, доля Windows 7 среди ПК на различных версиях операционных систем Microsoft составляет около 13,56%.
В России данная ОС установлена на 20,5% компьютеров и ноутбуков. Бесплатная поддержка прекратилась два года назад, однако корпоративные клиенты могли воспользоваться Windows 7 Extended Security Updates, стоимость которого в 2021 году увеличилась до 100 долларов за каждый компьютер.
Компания Google продлила поддержку браузера Chrome в ОС Windows 7 еще на один год. Информация появилась в издании MSPowerUser.
Первоначально планировалось завершить обслуживание браузера в устаревшей ОС с 15 июля текущего года, однако из-за пандемии было решено продлить поддержку до 15 января 2022 года. Теперь же браузер прекратит получать обновления после 15 января 2023 года.
Отмечается, что продление поддержки совпадает с крайним сроком расширенного платного обслуживания операционной системы корпорацией Microsoft. В аналогичный период поддержки лишится и браузер Edge, а Internet Explorer — с 15 июня 2022 года.
По данным StatCounter за октябрь 2021 года, доля Windows 7 среди ПК на различных версиях операционных систем Microsoft составляет около 13,56%.
В России данная ОС установлена на 20,5% компьютеров и ноутбуков. Бесплатная поддержка прекратилась два года назад, однако корпоративные клиенты могли воспользоваться Windows 7 Extended Security Updates, стоимость которого в 2021 году увеличилась до 100 долларов за каждый компьютер.
«Яростно потрясти» — новшество Instagram для желающих пожаловаться
Также наконец-то появилась возможность удалить одно фото или видео из карусели
Глава популярной сети Instagram Адам Моссери (Adam Mosseri) анонсировал пару полезных новых функций сервиса.
Функция Rage Shake, что можно дословно перевести как «встряска ярости», позволяет быстро сообщить разработчикам о проблеме в приложении. Если вы используете приложение, и оно не работает должным образом, достаточно встряхнуть телефон, когда приложение открыто, и на всплывающем экране появится вопрос: «Что-то пошло не так?» с полем для жалобы.
Вторая функция — это возможность удалить только одно фото или видео из подборки загруженных одновременно, которые отображаются в публикации в виде карусели. До настоящего момента удалить их можно было только все вместе. Моссери добавил, что эту функцию давно просили пользователи, и компания наконец-то решила её реализовать.
Также наконец-то появилась возможность удалить одно фото или видео из карусели
Глава популярной сети Instagram Адам Моссери (Adam Mosseri) анонсировал пару полезных новых функций сервиса.
Функция Rage Shake, что можно дословно перевести как «встряска ярости», позволяет быстро сообщить разработчикам о проблеме в приложении. Если вы используете приложение, и оно не работает должным образом, достаточно встряхнуть телефон, когда приложение открыто, и на всплывающем экране появится вопрос: «Что-то пошло не так?» с полем для жалобы.
Вторая функция — это возможность удалить только одно фото или видео из подборки загруженных одновременно, которые отображаются в публикации в виде карусели. До настоящего момента удалить их можно было только все вместе. Моссери добавил, что эту функцию давно просили пользователи, и компания наконец-то решила её реализовать.
Эксперт объяснил, какая ошибка приводит к утечке персональных данных
Мошенники получают доступ к персональным данным россиян в результате ошибки, которую совершают некоторые компании, рассказал в интервью радио Sputnik координатор Центра безопасного интернета Урван Парфентьев.
Персональные данные могут быть самого разного рода, но наиболее ценна для злоумышленников та информация, которая относится к банковским счетам или содержится в паспортах россиян. Первую мошенники чаще всего получают с помощью социальной инженерии от самих владельцев данных, а вторая достается им от нерадивых компаний, считает координатор Центра безопасного интернета Урван Парфентьев. В интервью радио Sputnik он отметил, что обычно утечка грозит тем сведениям, которые вовремя не удаляют.
Исправить ситуацию может частичное изменение правил предоставления услуг, полагает эксперт.
Мошенники получают доступ к персональным данным россиян в результате ошибки, которую совершают некоторые компании, рассказал в интервью радио Sputnik координатор Центра безопасного интернета Урван Парфентьев.
Персональные данные могут быть самого разного рода, но наиболее ценна для злоумышленников та информация, которая относится к банковским счетам или содержится в паспортах россиян. Первую мошенники чаще всего получают с помощью социальной инженерии от самих владельцев данных, а вторая достается им от нерадивых компаний, считает координатор Центра безопасного интернета Урван Парфентьев. В интервью радио Sputnik он отметил, что обычно утечка грозит тем сведениям, которые вовремя не удаляют.
Исправить ситуацию может частичное изменение правил предоставления услуг, полагает эксперт.
Алексей Марков, кандидат экономических наук и автор знаменитой Хулиномики, выдал новую книгу - “Лягушка, Слон и Брокколи. Как жить, как не надо и что об этом думают все остальные.” Первый печатный вариант уже заканчивается, но электронный всегда доступен на сайте ЛягушкаСлониБрокколи.рф.
Алексей также известен как музыкант в стиле хеви-метал, поэтому и подход к подаче материала у него очень рок-н-ролльный. Марков не стесняется в выражениях и называет вещи своими именами, но не пугайтесь: нецензурных выражений в книгах уже нет.
А те, кто не хочет покупать электронные книги, могут просто подписаться на канал @hoolinomics, где Алексей регулярно публикует новые материалы, видео и ответы на вопросы читателей - это бесплатно.
Алексей также известен как музыкант в стиле хеви-метал, поэтому и подход к подаче материала у него очень рок-н-ролльный. Марков не стесняется в выражениях и называет вещи своими именами, но не пугайтесь: нецензурных выражений в книгах уже нет.
А те, кто не хочет покупать электронные книги, могут просто подписаться на канал @hoolinomics, где Алексей регулярно публикует новые материалы, видео и ответы на вопросы читателей - это бесплатно.