Поиск

Meltdown, Spectre и подобные им критические уязвимости современных центральных процессоров будут иметь негативные последствия для всей компьютерной отрасли ещё долгие годы. Например, в 67-й версии Google Chrome для всех пользователей была включена защита от ошибки Spectre «Изоляция сайта», в результате чего веб-обозреватель стал потреблять на 10–13 % больше оперативной памяти. Заплатка заставляет Chome создавать больше процессов визуализации. Каждый такой процесс стал более коротким и вызывает меньше внутренних конфликтов, но из-за увеличения их числа происходит перерасход памяти. Это заметный удар по эффективности браузера, и без того имевшего повышенный аппетит к памяти. Путём эксплуатации уязвимостей в алгоритмах предсказания ветвлений Spectre позволяет злоумышленникам получать доступ к защищенной информации в кеш-памяти процессора, что может привести к утечке таких чувствительных для безопасности данных, как пароли, ключи шифрования или информация личного характера. «Изоляция сайта — крупное изменение в работе Chrome, которое ограничивает каждый процесс визуализации материалами с одного сайта. …Это означает, что даже если атака Spectre будет осуществлена на вредоносном сайте, данные с других открытых сайтов, при общих условиях, не будут загружаться в тот же процесс, и поэтому злоумышленникам будет доступно меньше информации. Это существенно снижает угрозу Spectre», — пояснил Чарли Рейс (Charlie Reis) из Google. Защита «Изоляция сайта» была доступна в качестве экспериментальной функции с 63-й версии, выпущенной вскоре после раскрытия уязвимостей Meltdown и Spectre, а теперь она активирована у 99 % пользователей Chrome на всех платформах. Команда разработчиков продолжает усердно работать над оптимальным компромиссом между быстродействием и безопасностью. Возможность обезопасить компьютер от утечек информации дорого стоит, и подобные заплатки в конечном счёте затронут очень многие аспекты. Причём чем выше требования к конфиденциальности, тем больший урон производительности можно ожидать в современных и, особенно, более старых поколениях процессоров.

Mozilla выпустила новую версию Firefox для iOS, в которой по умолчанию включена защита от отслеживания. С ней сайты не смогут следить за вашими действиями и получать доступ к вашей личной информации, пока вы сами того не захотите. Функция была доступна в браузере и раньше, но её приходилось включать самостоятельно. Теперь она активирована сразу — и в обычном, и в приватном режиме. В последнем, помимо прочего, Firefox блокирует рекламу и другой нежелательный контент, а также не сохраняет историю ваших посещений. Защита от отслеживания в Firefox для iOS работает на базе той же технологии, которая блокирует рекламу и трекеры в Firefox Focus для iOS и Android, а также в Firefox для Android и настольных устройств. Система берёт данные из чёрного списка Disconnect. «Mozilla всегда верила, что важно уважать конфиденциальность пользователей и давать им право решать, какой информацией они хотят делиться, а какой нет, — заявил разработчик браузера. — Сегодня больше потребителей, чем когда-либо, требует этого от компаний, которым предоставляют свои данные». Преимущество защиты от отслеживания состоит ещё и в том, что сайты загружаются быстрее, поскольку не загромождены отслеживающими скриптами. Это, в свою очередь, экономит пользователям интернет-трафик и заряд аккумулятора. Среди других нововведений Firefox для iOS — возможность изменять порядок вкладок на iPad и перетаскивать ссылки из браузера в другие приложения.

Microsoft добавила в облачное хранилище OneDrive функцию «Восстановление файлов» (Files Restore), которая ранее была доступна только владельцам бизнес-аккаунтов. Теперь ею могут пользоваться все, у кого оформлена подписка Office 365. Нововведение позволяет восстанавливать файлы в облаке за последние 30 дней. Компания позиционирует функцию как способ защититься от вирусов-вымогателей, которые блокируют файлы на компьютере и зачастую пытаются удалить облачные копии, хранящиеся в синхронизированных папках. Обычно жертвам таких вирусов придётся платить злоумышленникам, чтобы получить свои документы обратно. Если OneDrive обнаружит массовое удаление файлов в облаке, то Microsoft сообщит об этом пользователю по почте или через мобильное или настольное уведомление. После этого можно будет быстро откатить изменения до того момента, когда вирус начал удалять файлы. Ссылки, с помощью которых вы делитесь документами из OneDrive, теперь можно защитить паролем. Редмондский гигант также усилил защиту писем в Outlook.com. Шифрование можно включать для отдельных сообщений. Если сервис обнаружит в письме конфиденциальную информацию, то сам предложит её защитить. Зашифрованные сообщения можно читать через Outlook.com, Outlook для iOS и Android, почтовый клиент Windows или просто по специальной ссылке. Автор письма волен запретить пересылать и копировать его. Все перечисленные функции, кроме защищённых паролем ссылок в OneDrive, уже должны быть доступны некоторым пользователям Office 365, а до остальных подписчиков доберутся до конца месяца. Зашифрованные ссылки появятся в облачном сервисе в ближайшие недели.

Всё больше сайтов пытаются заработать на мощностях компьютеров своих посетителей. Вместо того, чтобы показывать рекламу, они используют процессоры пользователей для добычи криптовалют. Эта схема называется криптоджекингом (cryptojacking), и защита от неё появилась в Opera 50. Средство встроено в собственный блокировщик рекламы браузера и использует популярный и постоянно обновляемый список NoCoin. Чтобы активировать защиту от скрытого майнинга криптовалют, достаточно поставить галочку напротив соответствующего пункта в настройках Opera. При этом сам блокировщик рекламы можно оставить выключенным. «Мы поклонники криптовалют, но мы просто не готовы принять то, что сайты используют компьютеры людей для добычи валют без их ведома и согласия, — заявил руководитель настольной версии Opera Кристиан Колондра (Krystian Kolondra). — Мы хотим начать 2018 год с новой Opera 50, дав людям простой способ сохранить контроль над своими компьютерами». В ноябре 2017 года AdGuard сообщила, что скрипты для тайной добычи криптовалют используются 33 тысячами сайтов. По подсчётам компании, каждый месяц на них заходит примерно миллиард пользователей. AdGuard проанализировала 100 тысяч самых популярных по версии Alexa ресурсов и выяснила, что число сайтов, использующих криптоджекинг, ежемесячно увеличивается на 31 %.

Google добавит в Chrome три новые функции безопасности, которые будут блокировать скрытое перенаправление на сайты, осуществляющееся без ведома и согласия пользователя. Об этом сообщается в блоге компании. Первая из трех функций появится в обновлении Chrome 64, запланированном к выходу в конце января 2018 года. С выпуском версии Chrome 64, Google начнет блокировать попытки перенаправления, инициированные кодом в iframe, встроенном в страницы. Как правило, большинство владельцев интернет-сайтов не используют iframe при создании своих ресурсов, обычно плавающие фреймы попадают на сайт через рекламу, в том числе вредоносные рекламные баннеры. Теперь при каждой попытке редиректа будет появляться соответствующее уведомление. Разработчики также намерены в добавить Chrome механизм блокировки tab-under-поведения страниц. Tab-under - способ накрутки трафика, при котором браузер открывает новую страницу в текущей вкладке, из которой происходил переход, а изначальную страницу дублирует в новой вкладке. Tab-under используется не только злоумышленниками, но и обычными рекламодателями в целях обхода встроенного блокировщика всплывающих окон в Chrome, что позволяет им открывать многочисленные вкладки для продвижения товаров, услуг или сайтов. Новый функционал появится в версии Chrome 65, выпуск которой запланирован на март 2018 года. Предупреждения о попытках перенаправления будут отображаться внутри web-страницы. Помимо выше указанного, Google представила функцию Abusive Experiences Report – черный список сайтов, использующих вводящие в заблуждение элементы интерфейса (например, ссылки на сторонние сайты, замаскированные под кнопки Play и другие элементы, фальшивые кнопки загрузки, и пр.), которые перенаправляют пользователей на сторонние сайты без их согласия. С 9 ноября зарегистрированные владельцы сайтов начнут получать предупреждения о подобных элементах, которые будут отображаться в разделе Abusive Experiences Report в учетной записи Google Console.

Инженеры Google рассматривают возможность добавления в браузер Google Chrome специальных инструментов, которые будут препятствовать майнингу криптовалюты. Дискуссии на тему программ-майнеров, встроенных в сайты и работающих прямо в браузере, в компании ведутся с середины сентября текущего года, когда был запущен первый проект такого рода - Coinhive. Как сообщил один из разработчиков Chrome Ойан Вафай, противостоять скрытым майнерам предлагается по следующей схеме: если сайт использует больше чем X% процессорных мощностей в течение Y секунд, то такая страница будет переведена в «энергосберегающий режим», в котором активность всех подозрительных процессов будет жестко ограничена. Затем на экране отобразится всплывающее уведомление, позволяющее пользователю отключить данный режим. Если вкладка, находящаяся в «энергосберегающем режиме» неактивна, то выполнение процессов полностью прекращается. Применение данного метода пока находится на стадии обсуждения и официально не одобрено Google. Как заявили представители компании, на данный момент нет возможности заблокировать встроенные в сайты майнеры полностью, поскольку разработчики ПО для майнинга могут с легкостью модифицировать код для обхода блокировки. Пока для блокировки работы криптомайнеров пользователи могут установить расширения наподобие AntiMiner, No Coin и minerBlock. Напомним, ранее популярный пиратский сайт The Pirate Bay был уличен в тайном майнинге криптовалюты за счет пользователей.

Оператор спутникового широкополосного доступа в Интернет ViaSat сообщил о защите технического (Critical Design Review) проекта полезной нагрузки первых двух спутников серии ViaSat-3. Оператор и разработчик готовы приступать к изготовлению аппаратов. В середине августа этого года специалисты компании-разработчика — Boeing — успешно защитили проект спутниковой платформы. Таким образом, как сообщает оператор, проект ViaSat-3 выходит на новую стадию реализации — создание самих космических аппаратов. Спутники серии ViaSat-3 должны стать первыми спутниками Ка-диапазона высокой пропускной способности — 1 Тбит/с — с глобальным многолучевым покрытием. Пока оператор планирует запуск двух аппаратов с охватом американских континентов, Европы, Африки и Ближнего Востока. Решение о создании и запуске третьего спутника, охватывающего Азиатско-Тихоокеанский регион будет приниматься отдельно. В зону покрытия этого спутника будет входить и большая часть территории России. Пока у оператора нет уверенности в необходимости этого аппарата. Предельные характеристики аппаратов вызывают у экспертов сомнения в возможности их реализации. Общая мощность платформы заявлена 25 кВт на конец гарантированного срока службы. Сегодня стандартная мощность для геостационарных платформ тяжелого класса — около 15 кВт, этот показатель долгое время считался близким к максимально возможному.