User Эллеонора Керри
Эллеонора Керри
41 уровень

IT-новости 24 сентября: iOS-приложения применяют скрытые методы для идентификации пользователей, GitHub внедряет новый формат токена доступа npm, “белым хакерам” заплатят за найденные уязвимости в бесплатном ПО

Статья из группы Random
Сегодня в подборке новостей:

iOS-приложения применяют скрытые методы для идентификации пользователей

Совместное исследование компании Lockdown и газеты The Washington Post показало, что некоторые популярные iOS-приложения используют скрытые приемы идентификации владельцев iPhone. Мобильные приложения определяют хозяина смартфона даже если он запретил отслеживать свои действия. IT-новости 24 сентября: iOS-приложения применяют скрытые методы для идентификации пользователей, GitHub внедряет новый формат токена доступа npm, “белым хакерам” заплатят за найденные уязвимости в бесплатном ПО - 1Формально правила Apple Tracking Transparency не нарушаются, поскольку приложения не отслеживают действия пользователя, а анализируют настройки его гаджета. Данные включают десятки параметров: от времени последнего перезапуска iPhone до точной настройки яркости экрана и уровня заряда батареи. Благодаря тому, что Apple присваивает каждому своему устройству уникальный идентификатор, приложения опознают пользователя при посещении им определенных веб-ресурсов. Таким образом, если владелец устройства посещал сайт, посвящённый, например, бытовой технике, его идентифицируют по настройкам и показывают персонализированную рекламу. Джонни Лин, бывший инженер Apple iCloud, считает, что такой способ обхода конфиденциальности делает правила Apple Tracking Transparency “бесполезными”. Источник: The Washington Post

GitHub внедряет новый формат токена доступа npm

Сервис GitHub сообщил, что токены доступа npm будут соответствовать тому же формату, что и токены аутентификации GitHub. Прежний формат токенов доступа npm имел свои ограничения, такие как неточное обнаружение скомпрометированных токенов npm в пакетах и ​​репозиториях GitHub. Ранее токены доступа npm создавались по шаблону UUID из 36 символов, тогда как токены аутентификации GitHub представляют собой 40-символьные строки в шестнадцатеричной кодировке, неотличимые от других закодированных данных, таких как хэши SHA. Введение нового формата токена доступа для клиентов сервиса означает значительное снижение риска взлома токенов и улучшение точности процесса secret scanning. Источник: GitHub

Беларусь: нехватка кадров в IT вынуждает нанимать учителей математики и физики

Из-за нехватки IT-специалистов минская компания “БелТрансСпутник” решила нанять учителей математики и физики. Речь идет о вакансии специалиста по внедрению и сопровождению ПО, размещенной на специализированных сайтах и в LinkedIn. IT-новости 24 сентября: iOS-приложения применяют скрытые методы для идентификации пользователей, GitHub внедряет новый формат токена доступа npm, “белым хакерам” заплатят за найденные уязвимости в бесплатном ПО - 2Как выяснили журналисты Dev.by, идея о найме учителей естественных наук принадлежит руководителю “БелТрансСпутника” Ядвиге Товстик. По ее мнению, учителя математики и физики справятся с обязанностями на джуниорской должности даже при отсутствии опыта работы в IT. В условиях вакансии, на которую планируется нанять 3-4 специалистов, обещана зарплата на уровне 900-1500 белорусских рублей “на руки” (360-600 долларов). Рекрутер компании-работодателя сообщила, что на объявление откликнулось примерно 40 человек, из них около десяти уже побывали на собеседовании. Источник: Dev.by

Среда выполнения Liberica JDK 17 получила поддержку до 2030 года

Петербургская компания BellSoft выпустила новый LTS-релиз среды выполнения Liberica JDK 17. Версия имеет долгосрочную поддержку до 2030 года и 70 JEP, внесенных участниками сообщества. Дистрибутив Liberica JDK 17 предназначен для коммерческой разработки программных продуктов на основе Java. Клиенты BellSoft могут рассчитывать на круглосуточную техподдержку на русском языке и дополнительные функции от разработчика среды. Среди них — поддержка более широкого спектра платформ, включая AArch64 и Alpine Linux для создания самых компактных в мире контейнеров, совместимость с российскими ПО и оборудованием, а также универсальный компилятор для ускорения запуска приложений Liberica Native Image Kit. Liberica JDK 17 будет использоваться в качестве базовой среды выполнения в проекте Spring Framework, начиная с версии 11, в рамках глобального сотрудничества BellSoft с VMware Tanzu. Источник: CNews

“Яндекс.Облако” запускает виртуальные рабочие столы

Платформа “Яндекс.Облако” открывает доступ к сервису Yandex Cloud Desktop для корпоративных клиентов. С его помощью компании смогут создавать до тысячи виртуальных рабочих мест в облаке. Одинаковый рабочий стол можно открывать и в офисе, и на удаленном режиме. IT-новости 24 сентября: iOS-приложения применяют скрытые методы для идентификации пользователей, GitHub внедряет новый формат токена доступа npm, “белым хакерам” заплатят за найденные уязвимости в бесплатном ПО - 3Также сервис позволит компаниям сэкономить на покупке лицензий для ПО. Программы на виртуальных машинах открываются и работают с посекундной тарификацией. Пока что Yandex Cloud Desktop представлен в режиме публичной предварительной версии. В будущем цена за виртуальное рабочее место составит от 3,65 рублей в час, включая лицензию Windows. Также “Яндекс.Облако” начинает реализацию проекта G-Cloud — отдельной инсталляции для размещения государственных информационных систем. Ожидается, что платформу G-Cloud запустят к концу 2022 года. Источник: VC

“Белым хакерам” заплатят за найденные уязвимости в бесплатном ПО

Сообщество HackerOne объявило о запуске программы поиска уязвимостей в open source проектах. Участвовать в ней можно через платформу HackerOne Internet Bug Bounty. Спонсорами новой программы обнаружения уязвимостей стали Elastic, Facebook, Figma, GitHub, Shopify и TikTok. В число проектов с открытым кодом, попадающих под программу выплаты вознаграждений, входят: Ruby, Ruby on Rails, RubyGems, Curl, Electron, Django, Nginx и OpenSSL. За найденные уязвимости в этих проектах HackerOne гарантирует выплаты от 300 до 5000 долларов, в зависимости от критичности бага. Каждое вознаграждение за ошибку разделят на 5 частей — четыре пятых награды сразу получит исследователь, нашедший проблему. Пятую часть вознаграждения перечислят разработчику, который занимается в открытом проекте поддержкой или разработкой направления, где найдена новая уязвимость. Он получит оплату от HackerOne после того, как выпустит патч против уязвимости. Источник: HackerOne

Apple выпускает iOS 12.5.5 и обновление для macOS Catalina

Apple выпустила очередное обновление — операционную систему iOS 12.5.5, доступную, в том числе, для старых моделей iPhone и iPad. Компания заявляет, что новая версия рекомендуется для всех пользователей поскольку содержит исправление критической ошибки “нулевого дня” CVE-2021-30869 и другие улучшения безопасности. IT-новости 24 сентября: iOS-приложения применяют скрытые методы для идентификации пользователей, GitHub внедряет новый формат токена доступа npm, “белым хакерам” заплатят за найденные уязвимости в бесплатном ПО - 4Обновление доступно для iPad Air, iPad mini 2 и iPad mini 3, а также для iPod touch 6-го поколения, iPhone 5s, iPhone 6 и iPhone 6 Plus. Несколько месяцев назад, в июне, Apple уже выпускала подобное обновление безопасности — iOS 12.5.4 в июне. Тогда речь шла об исправлении уязвимостей в WebKit и других проблем. Также Apple выпустила обновление для macOS Catalina. Оно устраняет аналогичную уязвимость в ядре XNU, влияющую на движок браузера WebKit. Источник: 9to5mac
Комментарии
ЧТОБЫ ПОСМОТРЕТЬ ВСЕ КОММЕНТАРИИ ИЛИ СДЕЛАТЬ КОММЕНТАРИЙ,
ПЕРЕЙДИТЕ В ПОЛНУЮ ВЕРСИЮ