Отличные нововости для любителей огненной лисы!
15 января в своем блоге Mozilla объявила о том, что все новые фичи, взаимодействующие с веб-ресурсами, должны работать по умолчанию только в защищенных контекстах (secure context). В исключения попадают фичи, которые другие браузеры уже реализовали в незащищенном контексте, либо которые реализовать в защищенном контексте очень сложно. Прочитать про это можно тут: https://blog.mozilla.org/security/2018/01/15/secure-contexts-everywhere/.

Для справки. Под контекстом в браузерах подразумевается среда исполнения, в которой существует объект Document (т.е. по сути это window-объект, который пораждается новой вкладкой, iframe'ом или frameset'ом). Защищенным контекстом называется контекст, в котором передача исполняемого кода идет зашифрованному и аутентифицированному каналу (т.е. по https). Подробнее про это можно почитать тут: https://w3c.github.io/webappsec-secure-contexts.

В короткой статье рассказывается про методику вэб-скрэпинга (англ. web scraping) - набор инструментов по извлечению данных с сайтов. Если вы сталкивались с проблемами экспорта нужных данных - прочитав эту статью вы научитесь извлекать любые данные с любых сайтов. Вэб-скрэпинг скоро станет обязательным навыком  любого профессионального вэб-разработчика и фронтенд-программиста.

@nuancesprog #статьи #python

Vulners Tools: применяем базу данных уязвимостей на практике
https://goo.gl/9k4WCb

Сотрудники Twitter за отдельную плату просматривают личные сообщения
https://goo.gl/LQxsKp

Многие из вас слышали в новостях, что в субботу жителям штата Гавайи прилетело уведомление (на смартфоны, по телевизору и радио) о том, что на остров летит межконтинентальная ракета, спасайся кто может. Опровержение, кстати, пришло в виде сообщения только через 38 минут. Уже было много обсуждений, что в системе две команды - о проверке системы и отправке сообщения - были расположены рядом и сотрудник ошибся при пересменке. С кем не бывает, да? А вот тут раскопали интервью ещё одного сотрудника этой же службы штата Гавайи, которое он давал в июле прошлого года, где у него на мониторе приклеен стикер с паролем. В общем, безопасность там у них на уровне!
http://www.thegatewaypundit.com/2018/01/hawaiian-emergency-management-officials-hold-interview-post-notes-passwords-computer-screens/

Сегодня красный день календаря, в том смысле что сегодня почти все криптовалюты показывают явно негативную динамику. На криптобиржевых ресурсах прямо красным красно (см.картинку ниже), но причины происходящего понятны - многие государства внезапно в начале 2018 года принялись закручивать гайки. Вот вам небольшой список того, что происходило в последнее время.

1. Франция объявила о подготовке новго регулирования вокруг криптовалют. Потому что слишком уж часто биткоин использовался для ухода от налогов или нелегальной деятельности https://www.express.co.uk/finance/city/905169/bitcoin-France-China-South-Korea-ban-illegal-activities-Bruno-Le-Maire
2. Китай по сути собирается запретить гражданам и компаниям торговать на криптобиржах. Речь правда идет о запрете “централизованных бирж”, но смысл примерно тот же - вероятность перейти к децентрализованным торгам прямо сейчас не очень велика https://www.nytimes.com/reuters/2018/01/16/business/16reuters-china-bitcoin.html
3. Южная Корея все еще в нерешительности, запретить ли работу обменников и бирж (и вызвать возмущение народа, как уже недавно было), или оставить все как есть, но ввести новые налоги http://www.koreaherald.com/view.php?ud=20180116000817
4. Индонезия запретила оборот биткоинов, предельно ясно указав что внутри страны ходит только одна валюта - национальная. И в общем-то это правильно (у нас так же), но новость на общем фоне воспринимается как негативная. http://www.thejakartapost.com/news/2018/01/15/bank-indonesia-police-prevent-bitcoin-transactions-in-bali.html
5. У нас тут Медведев высказался не вполне однозначно, толи предсказывая, толи опасаясь что криптовалюты скоро схлопнутся, намекая на скорое окончание “криптовалютной гонки” https://anycoin.news/2018/01/16/medvedev-predrek-ischeznovenie-kriptovalyut-pri-sohranenii-tehnologii-blokchejn/

То, что на фоне такого прессинга криптовалюты находятся в пределах своего обычного коридора волатильности - удивительно. Любой другой инструмент на фоне таких разговоров пробивал бы все мыслимые и немыслимые дны. А биткоин и сотоварищи просто вернулись к цифрам прошлого месяца. В удивительное время живем.

у меня для вас опять накопилось много интересной информации (впрочем, как почти каждый день, что только подтверждает мою мантру про то, что "дальше будет хуже". Кстати, может, это сделать девизом канала?)

например, обнаружен новый зловред для macOS — OSX/MaMi. На зараженных компьютерах вирус подменяет адрес DNS-сервера, и отправляет трафик через вредоносные сервера, перехватывая данные в процессе. Более того, софтинка устанавливает корневой сертификат для перехвата зашифрованных коммуникаций. Приложение умеет снимать скриншоты, закачивать и аплоадить файлы, выполнять команды и тд. Метод распространения неизвестен.
Чтобы проверить, не заражены ли вы этой гадостью, достаточно посмотреть в системных настройках, не прописаны ли там адреса 82.163.143.135 и 82.163.142.137 в качестве DNS

Детали и архив для скачивания (осторожно, не заразите себя!) по ссылке
https://objective-see.com/blog/blog_0x26.html

а у Лаборатории Касперского тем временем большая статья об интересном зловреде для Android — Skygofree. Штуковина умеет интересные вещи — например, записывать аудио с микрофона, когда телефон попадает в определенное место, или воровать сообщения WhatsApp. Более того, оно еще и для Windows существует. Забавно, они еще и код из других проектов с Гитхаба заюзали. Распространяется посредством загрузки с веба. По словам экспертов ЛК, Skygofree — один из самых мощных шпионов для Android.
https://securelist.com/skygofree-following-in-the-footsteps-of-hackingteam/83603/

От серьезных новостей к курьезным: приложение для предохранения от беременности (да, по циклу, такие бывают) Natural Cycles возможно запретят в Швеции. Потому что один из местных госпиталей зарегистрировал 37 нежелательных беременностей среди дам, использовавших это приложение.

Нет, серьезно? 21ый век, а люди айфоном предохраняются? Шокирующая для меня новость, что приложение каким-то образом прошло сертификацию в Европе и могло быть предложено врачом для контрацепции.

В оправданиях самой компании производителя много правильных слов про то, что они предохраняют с вероятностью 93%, а за остальное ответственности не несут. И что у молодых фертильность выше и им вообще не подходит календарный метод. Но я прямо не ожидал что подобные скандалы могут происходить в 21 веке.

http://www.engadget.com/2018/01/15/natural-cycles-app-unwanted-pregnancies/

Часто говорю, что данные из Apple Health (это там где шаги, пульс и прочее) по большому счету пока бесполезны. Но оказывается это не так, вот например в Германии их применили как косвенную улику для восстановления деталей преступления. По тому, когда именно у владельца телефона наступила “повышенная нагрузка” (читай “подьем по лестнице”) было определено время, когда именно он шел по лестницам.

Интересно так же, что обвиняемый отказался давать пинкод от своего телефона и следствие обращалось в хакерскую конторру, которая разблокировала телефон. Насколько я понимаю, во многих странах такая процедура не слишком законна, но все же.

http://www.bbc.com/news/technology-42663297

#voip #sip
VoIP Введение. SIP, H.323, T.38

ProjectZero раскрыл детали по двум новым и интересным memory corruption уязвимостям в Ms Edge. На этот раз это out of bounds write в Chakra Jit (CVE-2018-0777 и CVE-2018-0769), детали и PoCи есть по ссылкам: https://bugs.chromium.org/p/project-zero/issues/detail?id=1429, https://bugs.chromium.org/p/project-zero/issues/detail?id=1390.

прислал Влодек через @dvachmeme_bot

Реверс-Инжинеринг iPhone 2G
https://habrahabr.ru/post/346804/

Специальная ссылка приводит к сбою в работе iOS-устройств
https://goo.gl/DGzBQ8

Microsoft закрыла бесплатный переход с Windows 8.1 на 10. Стоимость базовой версии Home -$140, Pro - $280. Но на официальном сайте можно за 300 рублей приобрести ключ для перехода.

[Из песочницы] Как я возвращал украденный домен популярного сайта
https://goo.gl/nH6cEZ