/ Web-технологии / JavaScript
·	23.02.2022	В репозитории NPM выявлено 25 вредоносных пакетов (72 +18)
	В репозитории NPM выявлено 25 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён, похожих на названия популярных библиотек, с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка... (72 +18) обсуждение | весь текст
·	25.01.2022	В Polkit добавлена поддержка JavaScript-движка Duktape (152)
	В инструментарий Polkit, используемый в дистрибутивах для обработки авторизации и определения правил доступа к операциям, требующим повышенных прав доступа (например, монтирования USB-накопителя), добавлен бэкенд, позволяющий использовать встраиваемый JavaScript-движок Duktape вместо ранее применяемого движка Mozilla SpiderMonkey (по умолчанию как и раньше осуществляется сборка с движком Mozilla). Язык JavaScript в Polkit используется для определения правил доступа, которые взаимодействуют с привилегированным фоновым процессом polkitd при помощи объекта "polkit"... (152) обсуждение | весь текст
·	16.01.2022	Нарушение обратной совместимости в популярном NPM-пакете привело к сбоям в различных проектах (99 +17)
	В репозитории NPM наблюдается очередной массовый сбой в работе проектов из-за возникновения проблем в новой версии одной из популярных зависимостей. Источником проблем стал новый выпуск пакета... (99 +17) обсуждение | весь текст
·	10.01.2022	Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов (309 +85)
	Марак Сквайрс (Marak Squires), автор популярных пакетов colors (расцветка консоли node.js) и faker (генератор фиктивных данных для полей ввода), насчитывающих 2.8 и 25 млн еженедельных загрузок, разместил в репозитории NPM и на GitHub новые версии своих продуктов, включающие деструктивные изменения, целенаправленно приводящие к сбоям на стадии сборки и выполнения зависимых проектов. В результате действий Марака была нарушена работа многих проектов, включая AWS CDK, использующих указанные библиотеки - библиотека colors используется в качестве зависимости у 18953 проектов, а faker - у 2571... (309 +85) обсуждение | весь текст
·	09.12.2021	В репозитории NPM выявлено 17 вредоносных пакетов (42 +10)
	В репозитории NPM выявлено 17 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён, похожих на названия популярных библиотек, с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка... (42 +10) обсуждение | весь текст
·	08.12.2021	GitHub внедряет в NPM обязательную расширенную верификацию учётных записей (47)
	В связи с участившимися случаями захвата репозиториев крупных проектов и продвижения вредоносного кода через компрометацию учётных записей разработчиков, компания GitHub вводит повсеместную расширенную верификацию учётных записей. Отдельно для сопровождающих и администраторов 500 самых популярных NPM-пакетов в начале следующего года будет внедрена обязательная двухфакторная аутентификация... (47) обсуждение | весь текст
·	23.11.2021	Доступен Emscripten 3.0, компилятор из C/C++ в WebAssembly (100 –6)
	Опубликован выпуск компилятора Emscripten 3.0, позволяющего компилировать код на C/C++ и других языках, для которых имеются фронтэнды на базе LLVM, в универсальный низкоуровневый промежуточный код WebAssembly, для последующей интеграции с JavaScript-проектами, запуска в web-браузере, использования в Node.js или создания обособленных многоплатформенных приложений, запускаемых при помощи wasm runtime. Код проекта распространяется под лицензией MIT. В компиляторе используются наработки проекта LLVM, а для генерации WebAssembly и оптимизации задействована библиотека Binaryen... (100 –6) обсуждение | весь текст
·	23.11.2021	Выпуск дополнения для блокировки рекламы uBlock Origin 1.39.0 (144 +54)
	Доступен новый выпуск блокировщика нежелательного контента uBlock Origin 1.39, обеспечивающего блокирование рекламы, вредоносных элементов, кода для отслеживания перемещения, JavaScript-майнеров и других мешающих нормальной работе элементов. Дополнение uBlock Origin отличается высокой производительностью и экономным расходованием памяти, и позволяет не только избавиться от назойливых элементов, но и сократить потребление ресурсов и ускорить загрузку страниц... (144 +54) обсуждение | весь текст
·	16.11.2021	Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM (60 +21)
	Компания GitHub раскрыла информацию о двух инцидентах в инфраструктуре репозитория пакетов NPM. 2 ноября сторонние исследователи безопасности (Kajetan Grzybowski и Maciej Piechota) в рамках программы Bug Bounty сообщили о наличии в репозитории NPM уязвимости, позволяющей опубликовать новую версию любого пакета, используя для этого свою учётную запись, не авторизированную для выполнения подобных обновлений... (60 +21) обсуждение | весь текст
·	12.11.2021	Web-фреймворк Pusa, переносящий логику JavaScript-фронтэнда на сторону сервера (211 +10)
	Опубликован web-фреймворк Pusa с реализацией концепции, переносящей логику фронтэнда, выполняемую в браузере при помощи JavaScript, на сторону бэкенда - управление браузером и DOM элементами, а также бизнеслогика выполняются на бэкенде. Выполняемый на стороне браузера JavaScript код заменяется на универсальную прослойку, вызывающую обработчики, находящиеся на стороне бэкенда. Необходимость разработки с использованием JavaScript для фронтэнда отсутствует. Эталонная реализация Pusa написана на языке PHP и распространяется под лицензией GPLv3. Кроме PHP технология может быть реализована на любому другом языке, включая JavaScript/Node.js, Java, Python, Go и Ruby... (211 +10) обсуждение | весь текст
·	10.11.2021	Применение невидимых unicode-символов для скрытия действий в JavaScript-коде (127 +33)
	Следом за методом атаки Trojan Source, основанном на применении Unicode-символов, меняющих порядок отображения двунаправленного текста, опубликована ещё одна техника внедрения скрытых действий, применимая для кода на языке JavaScript. Новый метод базируется на применении unicode-символа "ㅤ" (код 0x3164, "HANGUL FILLER"), который относится к разряду букв, но не имеет видимого содержимого. Unicode-категория, в которую входит данный символ, разрешена начиная со спецификации... (127 +33) обсуждение | весь текст
·	10.11.2021	Выпуск JavaScript-платформы Deno 1.16 (53 +7)
	Состоялся релиз JavaScript-платформы Deno 1.16, предназначенной для обособленного выполнения (без использования браузера) приложений, написанных на языках JavaScript и TypeScript. Проект развивается автором Node.js Райаном Далем (Ryan Dahl). Код платформы написан на языке программирования Rust и распространяется под лицензией MIT. Готовые сборки подготовлены для Linux, Windows и macOS... (53 +7) обсуждение | весь текст
·	04.11.2021	В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в неделю, внедрено вредоносное ПО (111 +21)
	Злоумышленникам удалось получить контроль над NPM-пакетом coa и выпустить обновления 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3, включающие вредоносные изменения. Пакет coa, предоставляющий функции для разбора аргументов командной строки, насчитывает около 9 млн загрузок в неделю и используется в качестве зависимости у 159 других NPM-пакетов, включая react-scripts и vue/cli-service. Администрация NPM уже удалила выпуск с вредоносными изменениями и заблокировала публикацию новых версий до возвращения доступа к репозиторию основного разработчика... (111 +21) обсуждение | весь текст
·	19.10.2021	Выпуск серверной JavaScript-платформы Node.js 17.0 (41 +3)
	Состоялся релиз Node.js 17.0, платформы для выполнения сетевых приложений на языке JavaScript. Node.js 17.0 относится к ветке с обычным сроком поддержки, обновления для которой будут выпускаться до июня 2022 года. В ближайшие дни будет завершена стабилизация ветки Node.js 16, которая получит статус LTS и будет поддерживаться до апреля 2024 года. Сопровождение прошлой LTS-ветки Node.js 14.0 продлится до апреля 2023 года, а позапрошлой LTS-ветки 12.0 до апреля 2022 года... (41 +3) обсуждение | весь текст
·	09.10.2021	Выпуск OpenSilver 1.0, открытой реализации Silverlight (128 –14)
	Опубликован первый стабильный релиз проекта OpenSilver, предлагающего открытую реализацию платформы Silverlight, позволяющей создавать интерактивные web-приложения при помощи технологий C#, XAML и .NET. Код проекта написан на языке C# и распространяется под лицензией MIT. Скомпилированные приложения Silverlight могут работать в любых настольных и мобильных браузерах с поддержкой WebAssembly, но непосредственно компиляция пока возможна только в Windows с использованием среды Visual Studio... (128 –14) обсуждение | весь текст
<< Предыдущая страница (позже)
Следующая страница (раньше) >>