Web Share API в Safari позволял принимать протокол file в ссылке, что позволяло прикрепить потенциально чувствительные файлы (историю бразера или что-то подобное) при шейринге через почтовые приложения. При этом также надо уговорить пользователя отправить такое письмо злоумышленнику через Web Share API, что может быть достаточно трудно сделать. Уязвимость исправления в iOS 14 Beta и macOS 14 Beta.
https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html
https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html
blog.redteam.pl
Stealing local files using Safari Web Share API
red team, blue team, penetration testing, red teaming, threat hunting, digital forensics, incident response, cyber security, IT security
Гораздо более серьёзная уязвимость была обнаружена некоторое время назад в Chromium. Она позволяла полностью обойти все CSP правила на любой платформе в браузерах Chrome, Edge, Opera и других на основе Chromium версий с 73 по 83. Для обхода CSP достаточно было указать
https://www.perimeterx.com/tech-blog/2020/csp-bypass-vuln-disclosure/
javascript: в атрибуте src айфрейма. https://www.perimeterx.com/tech-blog/2020/csp-bypass-vuln-disclosure/
HUMAN Security
Blog | HUMAN Security
Check out the latest HUMAN Blogs for expert insights and industry expertise on digital threats.
Разработчики Brave написали статью о том, чем грозит внедрение предложенного компанией Google для стандартизации Web Bundles API. По их мнению это чревато значительным ослабеванием приватности и безопасности. И с ними сложно не согласиться.
Ранее команда Brave выражала свои опасения относительно Client-Hints.
Ранее команда Brave выражала свои опасения относительно Client-Hints.
Brave
WebBundles Harmful to Content Blocking, Security Tools, and the Open Web | Brave
Google is proposing a new standard called WebBundles. This standard allows websites to “bundle” resources together, and will make it impossible for browsers to reason about sub-resources by URL. While we appreciate the problems the WebBundles and related…
Занятный факт. #TC39 (а точнее Task Group 2 в его составе) непродолжительное время занимался также разработкой языка C#. Позже TG2 была выделена в отдельный комитет TC49.
https://twitter.com/littledan/status/1298450137568759808
https://twitter.com/littledan/status/1298450137568759808
Twitter
Daniel Ehrenberg
@NicoloRibaudo @EcmaIntl C# was first submitted to TC39, bit then it was split out into the separate TC49 https://t.co/ZvTESK7euv However, in practice, the newest features of C# are developed in a Microsoft GitHub repository https://t.co/Lgwa1TBBwN
Недавно вышел Kotlin 1.4, в котором представлен новый Kotlin/JS IR backend (в альфе). Он умеет удалять мёртвый код и улучшает интероп с TypeScript и JavaScript кодом через генерацию TypeScript определений типов.
https://kotlinlang.org/docs/reference/js-ir-compiler.html
https://kotlinlang.org/docs/reference/js-ir-compiler.html
В Wasmtime (#WebAssembly рантайм) добавлена поддержка Reference Types (phase 4). В статье рассказывается о том, чем эта фича полезна для различных хостов (в том числе для web), насколько она полезна для реализации последующих улучшений в WebAssembly и о деталях её имплементации в wasmtime.
Bytecode Alliance
WebAssembly Reference Types in Wasmtime
A few week ago, I finished implementing support for the WebAssembly referencetypes proposal in Wasmtime. Wasmtime is a standalone,outside-the-Web WebAssembly runtime, and the reference types proposal isWebAssembly’s first foray beyond si...
Вышел Yarn 2.2.0 — новая версия альтернативного пакетного менеджера для Node.js. В нём появилась новая команда
Кроме того, команда Yarn обсуждает с Node TSC возможность добавления проекта “Package manager manager” в Node.js. Такой менеджер позволит использовать Yarn или pnpm из коробки (они установятся автоматически при первом вызове).
yarn dedupe, которая удаляет дубликаты старых совместимых версий пакетов, улучшена производительность, уменьшен размер бинарника и сделаны другие более мелкие изменения.Кроме того, команда Yarn обсуждает с Node TSC возможность добавления проекта “Package manager manager” в Node.js. Такой менеджер позволит использовать Yarn или pnpm из коробки (они установятся автоматически при первом вызове).
DEV Community
Yarn 2.2 🚅🌟 Dedupe, Faster, Lighter, ...
I hope you enjoyed the summer! As for us, we've been hard at work, and this update comes with its goo...
Команда Edge DevTools из Microsoft рассказала о новых фичах в инструментах разработчика Edge 85. Некоторые из этих фич являются уникальными и еще не добавлены в upstream Chromium.
Docs
What's new in DevTools (Microsoft Edge 85) - Microsoft Edge Development
Вышел Electron 10.0.0. Chrome в нём обновлён до версии 85, а Node.js до версии 12.16. Полный список изменений можно посмотреть здесь. Поддержка Electron 7 остановлена.
www.electronjs.org
Electron 10.0.0 | Electron
Electron 10.0.0 has been released! It includes upgrades to Chromium 85, V8 8.5, and Node.js 12.16. We've added several new API integrations and improvements. Read below for more details!
Chrome 86 будет поддерживать well-known URL для смены пароля на вебсайте из других тулз (таких как менеджер паролей), спецификацию инкубатора WICG, разработанную Apple (фича доступна в Safari 13 и более поздних версиях). Firefox также рассматривает возможность внедрения этой фичи, в данный момент она помечена как worth prototyping.
web.dev
Help users change passwords easily by adding a well-known URL for changing passwords | web.dev
By redirecting requests to /.well-known/change-password to the change password URL, you can let users update their passwords easier than before.
Вышел Samsung Internet 13 Beta. В нём несколько визуальных изменений, улучшение юзабилити, новые фичи в Add-on extension API. Браузер основан на Chromium 83.
Medium
Samsung Internet 13.0 BETA
All the goodies coming soon to a purple planet near you
Себастьян МакКензи, автор Babel, Yarn 1 и Rome, продолжает свои нападки на Yarn 2.
https://twitter.com/sebmck/status/1300664946645069830
https://twitter.com/sebmck/status/1300664946645069830
Twitter
Sebastian
i have no privileged information lol. yarn stopped being relevant when it was completely rewritten, lost it's original philosophy, broke a ton of workflows, and had an awful upgrade path
Видео, в котором Surma и Jake Archibald простым языком объясняют что такое WeakRefs (ES2021) и как они работают.
https://www.youtube.com/watch?v=uygxJ8Wxotc
https://www.youtube.com/watch?v=uygxJ8Wxotc
YouTube
Weak JavaScript - HTTP 203
Surma and Jake take a look at 'weak' JavaScript, specifically WeakMap, WeakSet, and the new and shiny WeakRefs.
Surma mentions his comlink library again so I guess we have to link to it → https://goo.gle/2VLcr6V
More details on WeakRefs → https://goo.gle/3dDdj3p…
Surma mentions his comlink library again so I guess we have to link to it → https://goo.gle/2VLcr6V
More details on WeakRefs → https://goo.gle/3dDdj3p…
В Chrome 86 (выйдет 6 октября) появится псевдо-элемент
https://web.dev/css-marker-pseudo-element/
::marker, который позволит легче и круче стилизовать маркеры в списках. Firefox уже поддерживает его с версии 68, а Safari с 11.1. В Chrome эта фича была доступна только под флагом, начиная с версии 80.https://web.dev/css-marker-pseudo-element/
web.dev
Custom bullets with CSS ::marker | Articles | web.dev
Use CSS to to customize the color, size or type of numbers or bullets in `` or `` elements.
Разработчики Chromium собираются реализовать новый псевдокласс
https://blog.chromium.org/2020/09/giving-users-and-developers-more.html
:focus-visible для стилизации фокуса и быструю подсветку активного фокуса в версии 86.https://blog.chromium.org/2020/09/giving-users-and-developers-more.html
Chromium Blog
Giving users and developers more control over focus
Chrome 86 introduces two new features that improve both the user and developer experience when it comes to working with focus. The :focus-...
Оказывается во всю идёт подготовка к релизу PHP 8.0. Уже вышла третья (последняя) бета, после которой ожидаются 5 релиз кандидатов и стабильный релиз 26 ноября. Самым главным и ожидаемым нововведением станет JIT, который должен повысить производительность.
https://wiki.php.net/todo/php80
Кстати, в Microsoft отказались от поддержки PHP 8 на Windows.
https://wiki.php.net/todo/php80
Кстати, в Microsoft отказались от поддержки PHP 8 на Windows.
Flareact — альтернатива Next.js, для эдж-рендеринга с использованием Cloudflare Workers.
Гостевая статья от автора в блоге разработчиков Cloudflare:
https://blog.cloudflare.com/rendering-react-on-the-edge-with-flareact-and-cloudflare-workers/
Гостевая статья от автора в блоге разработчиков Cloudflare:
https://blog.cloudflare.com/rendering-react-on-the-edge-with-flareact-and-cloudflare-workers/
Flareact
Flareact - Edge-Rendered React Framework built for Cloudflare Workers
Flareact is an edge-rendered React framework built for Cloudflare Workers. It features file-based page routing with dynamic page paths and edge-side data fetching APIs.
Новое в Chrome 86: изменения фокуса, о которых я писал двумя сообщениями выше, WebHID API. Native File System API и многое другое.
Chromium Blog
Chrome 86: Improved Focus Highlighting, WebHID, and More
Unless otherwise noted, changes described below apply to the newest Chrome beta channel release for Android, Chrome OS, Linux, macOS, and Wi...
Ого, новый NativeScript 7 теперь использует V8 на iOS. Видимо в JIT-less режиме. Интересна их мотивация, т.к. решение весьма сомнительное 🤔
https://nativescript.org/blog/nativescript-7-announcement/
https://nativescript.org/blog/nativescript-7-announcement/
Chris Lord из Iagalia о своей работе над OffscreenCanvas в WebKit.
https://www.chrislord.net/2020/08/27/offscreencanvas-jobs-life/
Имплементация частично юзабельна, но ещё не включена (даже под флагом), автор обещал писать обо всех обновлениях. На данный момент OffscreenCanvas доступен только в браузерах, использующих Blink. Частичная (и практически нерабочая) имплементация есть под флагом в Firefox.
https://www.chrislord.net/2020/08/27/offscreencanvas-jobs-life/
Имплементация частично юзабельна, но ещё не включена (даже под флагом), автор обещал писать обо всех обновлениях. На данный момент OffscreenCanvas доступен только в браузерах, использующих Blink. Частичная (и практически нерабочая) имплементация есть под флагом в Firefox.
4 сентября был утверждён стандарт C++20. К концу года ожидается официальная публикация. Стандарт уже практически полностью поддерживается в компиляторах GCC, clang.
Изменения по сравнению с С++17: https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2020/p2131r0.html
Планы на C++23: https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2019/p0592r4.html
Изменения по сравнению с С++17: https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2020/p2131r0.html
Планы на C++23: https://www.open-std.org/jtc1/sc22/wg21/docs/papers/2019/p0592r4.html
Sutter’s Mill
C++20 approved, C++23 meetings and schedule update
A couple of interesting things happened in the ISO C++ world this week… C++20 passed unanimously, on track to publish later this year On Friday September 4, C++20’s DIS (Draft Internati…