🦊 Mozilla анонсировала планы по значительному упрощению процесса получения согласия пользователей на сбор данных для разработчиков Firefox Add-ons.

Текущие политики требуют от разработчиков реализовывать собственные интерфейсы для информирования пользователей о сборе/передаче данных и получения их согласия. Это не только добавляет работы девелоперам, но и путает пользователей из-за разнообразия подходов, а также усложняет процесс ревью расширений на AMO (addons.mozilla.org), так как весь этот кастомный код нужно тщательно проверять.

Новый подход будет декларативным. Разработчикам нужно будет указывать типы собираемых данных (разделяя их на обязательные и опциональные) непосредственно в файле манифеста (manifest.json). При установке расширения Firefox сам сформирует и покажет пользователю стандартизированный диалог. В нем будут четко перечислены запрашиваемые разрешения (permissions) и типы данных, которые расширение намерено собирать. Пользователи получат единообразный интерфейс и контроль над опциональными данными. Mozilla также обещает доработать WebExtensions permissions APIs под новые нужды.

Ожидаемые преимущества: сокращение времени разработки, повышение консистентности пользовательского опыта и упрощение процесса проверки расширений модераторами Mozilla. Изменения появятся сначала в Nightly-сборках Firefox для десктопа позже в этом году, и Mozilla уже собирает фидбек от сообщества разработчиков.

Теперь ревьюерам будет чуть проще отличать "собираю всё для аналитики" от "собираю вообще всё просто так". Наверное. 🤔

🥸 godnoTECH - Новости IT

😢 Нет, мы не плачем: Google DeepMind платит сотрудникам, чтобы они не работали

Увольняющиеся сотрудники получают полную зарплату целый год, но с условием — никакой работы в OpenAI, Anthropic и других AI-компаниях.
Отказаться нельзя: Соглашение обязательно — это прописано в договоре.

🧠 За год знания бывших сотрудников устареют и не попадут в руки конкурентов. Радикальный способ удержать топ-спецов!

А вы бы согласились?
❤️ — Да, это мечта
🏆 — Нет, карьера важнее краткосрочной выгоды
😁 — Сначала проверю, есть ли у меня хоть один инсайд

🥸 godnoTECH - Новости IT

👨‍💻 VSCode выпустил бесплатную замену Cursor

Agent Mode теперь доступен для каждого юзера IDE от Microsoft. ИИ умеет править баги, анализировать вашу кодовую базу, выполнять команды в терминале и даже поддерживать расширения, чтобы управлять браузером, чекать GitHub и многое другое.

💡 Как включить:
1. Обновляем VSCode
2. Запускаем VSCode и переходим в режим Chat (кнопка справа)
3. Логинимся через GitHub
4. Устанавливаем chat.agent.enabled в настройках
5. Выбираем Agent в выпадающем списке в чате

🥸 godnoTECH - Новости IT

👌 Chrome закрывает 23-летнюю дыру: как цвет ссылок сливал вашу историю просмотров

Google наконец-то исправляет в Chrome 136 уязвимость, которая 23 года позволяла сайтам подсматривать, какие страницы вы посещали.

❓ Как это работало?
— CSS-ловушка: сайты использовали псевдокласс :visited, чтобы менять цвет посещённых ссылок.
— JS-шпион: скрипт через window.getComputedStyle проверял цвет и узнавал, бывали ли вы на сайте.
— Фиолетовый = компромат: если ссылка окрашивалась в #551A8B — вы «засветились».

🛡 Chrome 136 решил проблему кардинально — разделил историю на секции. История посещений теперь привязана к:
— URL ссылки;
— Домену сайта;
— Источнику фрейма.

🥸 godnoTECH - Новости IT

🧐 Помните недавнюю массовую атаку на GitHub Actions через «tj-actions/changed-files», затронувшую тысячи репозиториев?

Новейшее расследование Unit 42 вскрыло всю подноготную. Оказывается, атака была целевой, направленной на Coinbase, и началась гораздо раньше – с утечки PAT из SpotBugs еще в ноябре 2024. Массовый слив секретов в логи был, похоже, уже «планом Б».

🔑 Ключевые этапы атаки:

1. Утечка PAT (Ноябрь/Декабрь 2024): Мейнтейнер SpotBugs добавил свой PAT в workflow. Атакующий через PR и триггер «pull_request_target» слил этот токен.
2. Доступ к SpotBugs (Март 2025): Украденным PAT атакующий добавил фейкового юзера «jurkaofavak» мейнтейнером в «spotbugs/spotbugs».
3. Утечка токена Reviewdog: «jurkaofavak» запушил вредоносный workflow, который слил PAT мейнтейнера Reviewdog.
4. Компрометация Reviewdog: Этим PAT атакующий перезаписал тег «v1» в «reviewdog/action-setup» на вредоносный коммит из удаленного форка.
5. Компрометация tj-actions: CI «tj-actions/changed-files» выполнил код из Reviewdog, что привело к краже «GITHUB_TOKEN» с правом записи в «tj-actions».

✏️ План атаки на Coinbase:

План атакующего в отношении Coinbase, скорее всего, заключался в использовании скомпрометированного CI/CD пайплайна репозитория «coinbase/agentkit» как точки входа для кражи критически важных секретов (API-ключей, токенов доступа, учетных данных). Эти секреты могли быть использованы либо для внедрения вредоносного кода в сам «agentkit» (фреймворк для ончейн-действий, что открывало бы путь к атакам на пользователей или манипуляциям транзакциями), либо для латерального движения внутрь корпоративной инфраструктуры Coinbase с целью доступа к базам данных, кошелькам или другим ключевым системам, либо как минимум для сбора ценной разведывательной информации о внутренней архитектуре и системах безопасности биржи для будущих атак.

Coinbase оперативно обнаружила и пресекла целевую атаку, удалив уязвимый workflow. Только после этого атакующий, используя все тот же украденный токен с правом записи в «tj-actions», перезаписал все теги на финальный коммит, который просто сливал все секреты в логи сборки, сделав атаку публичной и «шумной».

Атака демонстрирует высокий уровень подготовки: использование уязвимости «pull_request_target», латеральное движение через общие токены мейнтейнеров, активное применение одноразовых аккаунтов и форков для сокрытия вредоносных коммитов («dangling commits»), перезапись Git-тегов (что плохо логируется в бесплатных версиях GitHub) и переход от скрытной целевой атаки к массовой и «шумной».

Целевая атака на крупную криптобиржу через supply chain чуть не удалась. Безопасность CI/CD, управление секретами и мониторинг зависимостей – наше всё! 😎

🥸 godnoTECH - Новости IT

✋ UK vs Apple: суд отказал в полной секретности дела о «бэкдоре»

Попытка Home Office (UK) засекретить судебное разбирательство с Apple по поводу Technical Capability Notice (TCN) провалилась. Investigatory Powers Tribunal (IPT) постановил, что базовые детали дела (сам факт спора) должны быть публичными, несмотря на доводы о нацбезопасности.

❓ Что произошло до этого?
— Власти UK, используя закон `` Investigatory Powers Act 2016 `` (Snooper's Charter), тайно потребовали от Apple предоставить технические возможности (вероятно, ослабить шифрование или создать "бэкдор") через приказ TCN. Apple отказалась и подала в суд.
— Правительство попыталось засекретить даже сам факт этого судебного спора, ссылаясь на нацбезопасность.
— Сегодняшнее решение суда – отказать в полной секретности.

Хотя детали самого TCN и аргументов сторон, вероятно, останутся тайной, сам факт противостояния Apple требованиям властей UK теперь официально подтвержден.

Правительство хотело тихий бэкдор, а получило публичное разбирательство. Классика. 🤦‍♂️

🥸 godnoTECH - Новости IT

🤯 В Госдуме хотят ужесточить наказание за преступления с искусственным интеллектом

Депутаты предлагают приравнять использование ИИ к отягчающим обстоятельствам. Теперь нейросети могут не только генерировать мемы, но и «помочь» сесть на несколько лет дольше.

Законопроект предлагает «Справедливая Россия»: Сергей Миронов и компания хотят поправить ст. 63 УК РФ.

✏️ Статистика:
— Ущерб от IT-преступлений — 200+ млрд рублей;
— 25% жертв — пенсионеры;
— Раскрываемость упала до 23%.

🥸 godnoTECH - Новости IT

😐 WhatsApp Desktop для Windows: осторожно, JPEG может оказаться EXE!

Уязвимость (CVE-2025-30401) в WhatsApp Desktop для Windows (версии до 2.2450.6) позволяет выполнить произвольный код через поддельное вложение. Проблема кроется в обработке MIME-типов и расширений файлов.

🚩 Как работает:

WhatsApp отображает превью вложения на основе его MIME-типа (например, image/jpeg). Однако, когда пользователь кликает для открытия файла, приложение передает его системе на основе расширения имени файла (например, .exe

То есть: атакующий может создать файл картинка.jpeg.exe, указать для него MIME-тип image/jpeg, и отправить жертве. Пользователь увидит превью картинки, кликнет, но вместо просмотра изображения запустит исполняемый файл.

❗️ Требуется взаимодействие с пользователем – жертва должна сама кликнуть на вредоносное вложение. Учитывая доверчивость многих пользователей ("прислали же в WhatsApp, значит, безопасно"), особенно в групповых чатах, это вполне реальный вектор атаки.

Последствия печальны: Выполнение произвольного кода, кража данных, установка вредоносов, компрометация аккаунта. Баг пофикшен в версии 2.2450.6 или выше.

Никогда не доверяй MIME-типу больше, чем расширению файла. Особенно если его прислали в WhatsApp.

🙏 — Обновлю себе и бабуле
😢 — Лучший антивирус — отсутствие друзей
🌚 — Давно попрощался с WhatsApp

🥸 godnoTECH - Новости IT

😱 Google добавил в Таблицы нейросеть Gemini

Как включить:

1. В левом меню нажмите: Меню → Generative AI → Gemini for Workspace.
(Если не видите этот раздел — проверьте, есть ли у вас нужные права: “Gmail > Settings”.)

2. Нажмите на панель Alpha features (Функции альфа-версии).

3. Включите Alpha-функции.

🥸 godnoTECH - Новости IT

📉 Капитализация Intel рухнула до минимума за 16 лет

Акции Intel обвалились до $18.13 — худший показатель с июля 2009 года. Инвесторы выводят средства на фоне технологических провалов и новых пошлин Трампа.

❓ Что происходит?
— Обвал акций: -7.36% за день, -50% за год;
— Причины:
- Провалы в производстве (задержки 10nm/7nm);
- Рекордное падение спроса на процессоры;
- Угроза новых импортных пошлин 20% на электронику в США;
— Эффект домино: AMD (-6.5%), Qorvo (-9.9%), Micron (-4.1%) тоже в красной зоне.

Если Intel не выкарабкается — монополия TSMC и AMD усилится.

🥸 godnoTECH - Новости IT

👀 Новая угроза для владельцев свежих AMD Ryzen и EPYC: уязвимость в микрокоде позволяет злоумышленникам с правами ядра запускать произвольный код. Под ударом — даже топовые Zen 5!

В прошлом месяце в системе безопасности в процессорах AMD от Zen 1 до Zen 4 нашли уязвимость «EntrySign». Обнаружилось, что она касается и Zen 5 во всех его версиях.

⚠️ Уязвимость использует неправильную проверку подписи в загрузчике микрокода AMD, что позволяет третьим лицам выполнять произвольный микрокод на вашем процессоре.

AMD уже выпустила обновление прошивки ComboAM5PI 1.2.0.3c AGESA для производителей материнских плат в качестве исправления.

🥸 godnoTECH - Новости IT

👶 14-летний подросток создал приложение, которое диагностирует заболевания сердца за 7 секунд

Сиддхарт Надьяла, живущий в Далласе, стал самым молодым сертифицированным специалистом по ИИ. Его программу протестировали на ~15.000 людях, и результаты оказались верными в 96% случаях.

Приложение Circadian AI использует искусственный интеллект для выявления заболеваний сердца с помощью простых записей сердечного ритма.

👍 — Респект
🌚 — Я в его возрасте еще мультики смотрел

🥸 godnoTECH - Новости IT