CSP баг в Safari позволял перехатывать конфеденциальные данные при логине через сторонние сервисы
https://threatnix.io/blog/exploiting-csp-in-webkit-to-break-authentication-authorization/
Баг был пофикшен в последних версиях Safari. Многие компании (Coinbase, Facebook и другие) исправили баг на своей стороне через определение user-agent. Уязвимость появилась в связи с тем, что WebKit не точно реализовывал спецификацию. В статье очень подробно описываются причина уязвимости и способ эксплуатации, а также таймлайн от сообщения Apple о её наличии до патча с исправлениями (всего на это потребовалось 457 дней).
https://threatnix.io/blog/exploiting-csp-in-webkit-to-break-authentication-authorization/
Баг был пофикшен в последних версиях Safari. Многие компании (Coinbase, Facebook и другие) исправили баг на своей стороне через определение user-agent. Уязвимость появилась в связи с тем, что WebKit не точно реализовывал спецификацию. В статье очень подробно описываются причина уязвимости и способ эксплуатации, а также таймлайн от сообщения Apple о её наличии до патча с исправлениями (всего на это потребовалось 457 дней).
threatnix.io
Exploiting CSP in Webkit to Break Authentication & Authorization
This blog post will discuss our findings that we presented in our Blackhat Europe talk noscriptd "Exploiting CSP in Webkit to break Authentication/Authorization", a vulnerability that enabled us to takeover user accounts on most of the web applications out thereby…
👍1
Вышел Safari Technology Preview 135
https://webkit.org/blog/12040/release-notes-for-safari-technology-preview-135/
В нём добавлены accent-color, ленивая загрузка картинок, requestVideoFrameCallback API, flex-basis: content, новые единицы измерения в CSS: svw/svh, lvw/lvh, dvw/dvh и много исправлений. Помимо этого добавлена поддержка ProMotion 120 Гц дисплеев (для новых MacBook Pro).
https://webkit.org/blog/12040/release-notes-for-safari-technology-preview-135/
В нём добавлены accent-color, ленивая загрузка картинок, requestVideoFrameCallback API, flex-basis: content, новые единицы измерения в CSS: svw/svh, lvw/lvh, dvw/dvh и много исправлений. Помимо этого добавлена поддержка ProMotion 120 Гц дисплеев (для новых MacBook Pro).
WebKit
Release Notes for Safari Technology Preview 135
Safari Technology Preview Release 135 is now available for download for macOS Big Sur and betas of macOS Monterey.
Вышел Chrome 96
https://developer.chrome.com/blog/new-in-chrome-96/
В нём:
- HTTPS по умолчанию при его наличии
- URL protocol handlers для PWA
- PaymentRequest API для режима basic-card помечен как deprecated (будет убран в Chrome 100, релиз которого запланирован на 29 марта 2022)
- тестирование трёхзначных версий браузера в user agent (для подготовки к версиям 100+)
- CSS псевдокласс :autofill
- #WebAssembly CSP (phase 3)
- #WebAssembly Reference Types (уже в спецификации и доступны в стабильных версиях Safari 15+ и Firefox 79+)
Новые origin trial фичи:
- Conditional focus
- Priority Hints
Видеообзор: https://www.youtube.com/watch?v=PPukHsOH_BI
Исправления уязвимостей: https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html
Новое в DevTools: https://developer.chrome.com/blog/new-in-devtools-96/
Описание новых фич для beta версии: https://blog.chromium.org/2021/10/chrome-96-beta-conditional-focus.html
https://developer.chrome.com/blog/new-in-chrome-96/
В нём:
- HTTPS по умолчанию при его наличии
- URL protocol handlers для PWA
- PaymentRequest API для режима basic-card помечен как deprecated (будет убран в Chrome 100, релиз которого запланирован на 29 марта 2022)
- тестирование трёхзначных версий браузера в user agent (для подготовки к версиям 100+)
- CSS псевдокласс :autofill
- #WebAssembly CSP (phase 3)
- #WebAssembly Reference Types (уже в спецификации и доступны в стабильных версиях Safari 15+ и Firefox 79+)
Новые origin trial фичи:
- Conditional focus
- Priority Hints
Видеообзор: https://www.youtube.com/watch?v=PPukHsOH_BI
Исправления уязвимостей: https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html
Новое в DevTools: https://developer.chrome.com/blog/new-in-devtools-96/
Описание новых фич для beta версии: https://blog.chromium.org/2021/10/chrome-96-beta-conditional-focus.html
Chrome for Developers
New in Chrome 96 | Blog | Chrome for Developers
Chrome 96 is rolling out now! There are two new properties in the web app manifest. The id property allows you to specify a unique ID for your PWA, and the protocol_handlers property allows you to automatically register your PWA as a protocol handler upon…
Обновлён рабочий черновик спецификация CSS Transforms Level 2
https://www.w3.org/blog/CSS/2021/11/09/css-transforms-level-2-updated/
Cписок изменений доступен в разделе изменений спецификации.
https://www.w3.org/blog/CSS/2021/11/09/css-transforms-level-2-updated/
Cписок изменений доступен в разделе изменений спецификации.
Как работает Private Click Measurement в Safari
https://webkit.org/blog/12042/pcm-for-in-app-direct-response-advertising/
Private Click Measurement — это предложение в стандарт для измерения эффективности рекламы через клики при сохранении анонимности пользователей. В статье рассказывается о том, как работать с этой фичей. Описание её можно почитать в вводной статье.
https://webkit.org/blog/12042/pcm-for-in-app-direct-response-advertising/
Private Click Measurement — это предложение в стандарт для измерения эффективности рекламы через клики при сохранении анонимности пользователей. В статье рассказывается о том, как работать с этой фичей. Описание её можно почитать в вводной статье.
WebKit
PCM for In-App Direct Response Advertising
Private Click Measurement (PCM) can now be used for in-app direct response advertising using SFSafariViewController.
Forwarded from Хакер — Xakep.RU
Google Chrome 96 «сломал» Twitter, Discord и многое другое
После релиза Google Chrome 96 пользователи сообщают о проблемах с Twitter, Discord, Instagram, рендерингом видео и так далее. Разработчики уверяют, что им уже известно об этих проблемах новой версии браузера.
https://xakep.ru/2021/11/17/shrome-96-bugs/
После релиза Google Chrome 96 пользователи сообщают о проблемах с Twitter, Discord, Instagram, рендерингом видео и так далее. Разработчики уверяют, что им уже известно об этих проблемах новой версии браузера.
https://xakep.ru/2021/11/17/shrome-96-bugs/
Обзор Chrome Dev Summit 2021
https://blog.chromium.org/2021/11/chrome-dev-summit-2021-moving-toward.html
В блоге Chromium опубликован обзор всего самого важного с онлайн конференции разработчиков Chrome. Напомню, что ещё один подобный обзор опубликован вот тут.
https://blog.chromium.org/2021/11/chrome-dev-summit-2021-moving-toward.html
В блоге Chromium опубликован обзор всего самого важного с онлайн конференции разработчиков Chrome. Напомню, что ещё один подобный обзор опубликован вот тут.
Chromium Blog
Chrome Dev Summit 2021: Moving toward a more powerful and private web
By Paul Kinlan, Lead for Chrome Developer Relations The big day is finally here. Today, at Chrome Dev Summit 2021 we shared some of the hig...
Slack планирует построить новую платформу для встроенных приложений на основе Deno
https://api.slack.com/future/overview
https://api.slack.com/future/overview
docs.slack.dev
Slack platform overview | Slack Developer Docs
To jump straight into developing your own Slack app, follow our Quickstart. You can get started right now.
Forwarded from Ленивый фронтендер
«Kaiwa Show | Сulture eats strategy for breakfast»
В новом выпуске пообщаемся с Сергеем Рубановым, узнаем как Сергей начал участвовать в разработке стандартов EcmaScript и WebAssembly. Поговорим о новых технологиях, имидже и ожиданиях от новой работы. Обсудим синдром самозванца, IT-пенсию и самые частые вопросы которые задают Сергею на конференциях и интервью.
Стрим начнется 06.12 в 18:00 (GMT+3) и будет доступен на Twitch и YouTube.
В новом выпуске пообщаемся с Сергеем Рубановым, узнаем как Сергей начал участвовать в разработке стандартов EcmaScript и WebAssembly. Поговорим о новых технологиях, имидже и ожиданиях от новой работы. Обсудим синдром самозванца, IT-пенсию и самые частые вопросы которые задают Сергею на конференциях и интервью.
Стрим начнется 06.12 в 18:00 (GMT+3) и будет доступен на Twitch и YouTube.
Результаты первого дня 87й встречи #TC39
Повестка встречи: https://github.com/tc39/agendas/blob/master/2021/12.md
Extend TimeZoneName Option Proposal отправляется на stage 4 (слайды)
Intl DisplayNames v2 отправляется на stage 4 (слайды)
Array Grouping отправляется на stage 3
Array.fromAsync отправляется на stage 2 (слайды)
П.С.: Я тут немного пропал, но скоро снова буду вести канал ежедневно. Очень много дел.
Повестка встречи: https://github.com/tc39/agendas/blob/master/2021/12.md
Extend TimeZoneName Option Proposal отправляется на stage 4 (слайды)
Intl DisplayNames v2 отправляется на stage 4 (слайды)
Array Grouping отправляется на stage 3
Array.fromAsync отправляется на stage 2 (слайды)
П.С.: Я тут немного пропал, но скоро снова буду вести канал ежедневно. Очень много дел.
Результаты второго дня 87 встречи #TC39
Повестка встречи: https://github.com/tc39/agendas/blob/master/2021/12.md
RegExp Modifiers переходит на stage 2 (слайды)
RegExp Buffer Boundaries переходит на stage 2 (слайды)
Intl.Segmenter v2 переходит на stage 1 (слайды)
Повестка встречи: https://github.com/tc39/agendas/blob/master/2021/12.md
RegExp Modifiers переходит на stage 2 (слайды)
RegExp Buffer Boundaries переходит на stage 2 (слайды)
Intl.Segmenter v2 переходит на stage 1 (слайды)
Forwarded from kirjs_ru
Завтра (В Воскресенье, 2 Января) в районе 8-9 вечера по Москве, мы с @chicoxyzzy будем разбираться с передачей данных в WebWorker и обратно.
👷♂️Разберемся что такое (и зачем) COOP/COEP
👷♂️Потыкаем Atomics и SharedArrayBuffer
👷♂️создадим фунции для работы с LocalStorage из WebWorker с возможностью синхронного вызова
👷♂️Напишем свою либу (если успеем)
📺 Посмотреть: twitch.tv/kirjs | youtu.be/FSQoC-3YbmY
🎤 Пообщаться голосом: kirjs.com/talk
♥️ Сережин Канал: https://news.1rj.ru/str/webnya
👷♂️Разберемся что такое (и зачем) COOP/COEP
👷♂️Потыкаем Atomics и SharedArrayBuffer
👷♂️создадим фунции для работы с LocalStorage из WebWorker с возможностью синхронного вызова
👷♂️Напишем свою либу (если успеем)
📺 Посмотреть: twitch.tv/kirjs | youtu.be/FSQoC-3YbmY
🎤 Пообщаться голосом: kirjs.com/talk
♥️ Сережин Канал: https://news.1rj.ru/str/webnya
🔥20👍8
Forwarded from kirjs_ru
Привет, начинаем стрим с Сережей прямо сейчас.
По техническим причинам вынуждены были поменять линк на ютубе: youtu.be/BqwTOc8roR4
📺 Посмотреть: twitch.tv/kirjs | youtu.be/BqwTOc8roR4
🎤 Пообщаться голосом: kirjs.com/talk
♥️ Сережин Канал: https://news.1rj.ru/str/webnya
По техническим причинам вынуждены были поменять линк на ютубе: youtu.be/BqwTOc8roR4
📺 Посмотреть: twitch.tv/kirjs | youtu.be/BqwTOc8roR4
🎤 Пообщаться голосом: kirjs.com/talk
♥️ Сережин Канал: https://news.1rj.ru/str/webnya
👍15🔥6🤩2👎1
HTML-элемент <dialog> в Safari 15.4 beta
В рамках инициативы "Interop 2022" в Safari Technology Preview 134 и Safari 15.4 beta была добавлена поддержка HTML-элемента
https://webkit.org/blog/12209/introducing-the-dialog-element/
В рамках инициативы "Interop 2022" в Safari Technology Preview 134 и Safari 15.4 beta была добавлена поддержка HTML-элемента
<dialog>. С его помощью можно создавать доступные модальные и немодальные диалоговые окнаhttps://webkit.org/blog/12209/introducing-the-dialog-element/
WebKit
Introducing the Dialog Element
Although the alert, confirm and prompt JavaScript methods are convenient, they aren’t recommended due to their noscript-blocking behavior.
👍23🔥9
Релиз Node.js v16.14.0
Вчера вышла новая версия Node.js. Из самых значимых изменений — добавление поддержки Import Assertions (stage 3) для импорта JSON-модулей. Использование Import Assertions с JSON-модулями обязательно. Это решение было принято для сохранения совместимости с веб-платформой.
https://nodejs.org/en/blog/release/v16.14.0/
Вчера вышла новая версия Node.js. Из самых значимых изменений — добавление поддержки Import Assertions (stage 3) для импорта JSON-модулей. Использование Import Assertions с JSON-модулями обязательно. Это решение было принято для сохранения совместимости с веб-платформой.
https://nodejs.org/en/blog/release/v16.14.0/
🔥21👍11