Hace ya más de un año, usando la versión Nightly de Firefox, pensé que la opción de contenedores de Mozilla iba a llegar a la versión estable a corto plazo. Ese plazo fue pasando, y la opción nunca llegó. Para aprovechar los contenedores en la versión estable del navegador del zorro hay que usar Multi-Account Containers, por lo menos de manera oficial. Sabiendo que la versión Nightly la tiene activada, ¿no se puede hacer lo mismo en la estable?

Como muchos ya sabréis, Firefox tiene una página de configuración a la que se accede poniendo en la barra de URL about:config. La palabra es «activada», que así es como la tiene la versión Nightly, por lo que sólo tenemos que buscar la opción en esta página y hacer lo mismo. Tan sencillo como eso. Para evitar confusiones, pasamos a detallar los pasos a seguir.

Activar los contenedores en Firefox

1. En la barra de URL, escribimos about:config y presionamos Intro.
2. Si aparece el aviso de que entramos en una zona peligrosa, lo aceptamos. Si no queremos que aparezca en el futuro, desmarcamos la casilla antes de aceptar.
3. Ahora buscamos privacy.usercontext.
4. De las opciones que aparecen, hacemos doble clic en privacy.userContext.enabled y privacy.userContext.ui.enabled. Haciendo doble clic se cambia de «false» a «true», pero también podemos hacer clic en el botón de la derecha, en donde cuando pasamos el cursor por encima pone «Alternar».

Con lo anterior, haciendo clic y manteniendo sobre el botón de pestaña nueva, aparecerá la opción de los contenedores. También aparecerá una nueva opción para abrir enlaces en un nuevo contenedor, tal y como aparece cuando instalamos Multi-Account Containers. Pero es importante mencionar que la opción nativa esta un poco más limitada; no podemos sincronizar las pestañas ni moverlas, a nos ser que editemos el nombre e icono de lo que ya hay. Como positivo, si os sirve, como es mi caso, una extensión menos que instalar.

from Linux Adictos https://ift.tt/3wIZ6MY
via IFTTT

Después de diez meses de desarrollo por fin se dio a conocer el lanzamiento de la nueva versión de FFmpeg 4.4 en la cual se ha trabajado bastante no solo de mejorar los codificadores y decodificadores de video, sino también de introducir el soporte de nuevos, asi como también la introducción de nuevos filtros y más.

Para quienes desconocen de FFmpeg deben saber que este es un proyecto de software libre que puede que permite a los usuarios para decodificar, codificar, transcodificar, mux, demux, stream, filtro, streaming de audio y vídeo, entre otras muchas cosas más.

También vale la pena mencionar que el paquete contiene libavcodec, libavutil, libavformat, libavfilter, libavdevice, libswscale y libswresample que puede ser utilizado por las aplicaciones. Así como ffmpeg, ffserver, ffplay y ffprobe, que puede ser utilizado por los usuarios finales para la transcodificación, el streaming y la reproducción.

Principales novedades de FFmpeg 4.4

En esta nueva versión de FFmpeg 4.4 una de las principales novedades que se destaca es el trabajo realizado con el formato AV1, ya que por ejemplo se implementó la posibilidad de codificar video en formato AV1 utilizando el codificador SVT-AV1 (Scalable Video Technology AV1), que utiliza la paralelización de hardware de los cálculos presentes en las CPU Intel modernas.

Se destaca la capacidad de usar la API VDPAU (Video Decode and Presentation) para la aceleración de hardware de la decodificación de video en formatos HEVC/H.265 (10/12bit) y VP9 (10/12bit).

Se agregaron nuevos decodificadores de los cuales AVS3, Cintel RAW, PhotoCD, PGX, IPU, MobiClip Video, MobiClip FastAudio, ADPCM IMA MOFLEX, Argonaut Games Video, MSP v2 (Microsoft Paint), Simbiosis IMX, Imágenes digitales SGA.

En cuanto a los nuevos codificadores añadidos podremos encontrar:

• Codificador ADPCM Argonaut Games
• Codificador ADPCM IMA AMV
• Codificador ADPCM IMA Ubisoft APM
• Soporte de codificación AV1 SVT-AV1
• Soporte de codificación monocromática AV1 a través de libaom> = 2.0.1
• Codificador Cineform HD
• Codificador ADPCM de software de alto voltaje
• codificador libwavpack eliminado
• Codificador de imagen OpenEXR
• Codificador PFM
• Codificador de video RPZA
• Encoder SpeedHQ
• Codificador de subtítulos TTML y muxer

Y en cuanto a los nuevos filtros que se añadieron:

• Chromanr video filter: reduce el ruido de color en el video.
• Afreqshift and aphaseshift filters: cambia la frecuencia y la fase del sonido.
• Adenorm filter: agrega un cierto nivel de ruido.
• Filtro de speechnorm: realiza la normalización del habla.
• Asupercut filter: elimina las frecuencias superiores a 20 kHz del sonido.
• Asubcut filter: corta las frecuencias del subwoofer.
• Filtro de asuperpass y asuperstop: Implementación de filtros de frecuencia Butterworth.
• Filtro de shufflepixels: reorganiza los píxeles en los fotogramas de vídeo.
• Filtro de tmidequalizer: aplica el efecto de ecualización de vídeo temporal a mitad de camino.
• Filtro de estdif: desentrelazado mediante el algoritmo de trazado de pendiente de borde.
• Epx: es un filtro de aumento para crear pixel art.
• Cizalla: transformación cizalla del vídeo.
• Kirsch: aplicación de un operador de Kirsch a un vídeo.
• Colortemperature filter: ajusta la temperatura del color del video.
• Colorcontrast filter: Permite ajustar el contraste de color entre componentes RGB de video.
• Colorcorrect: corrección del balance de blancos para video.
• Colorize: superposición de color en el video.
• Exposure video filter: ajusta el nivel de exposición del video.
• Monochrome video filter: convierte el video en color a escala de grises.
• Aexciter audio filter: genera componentes de alta frecuencia del sonido que están ausentes en la señal original.
• Filtro de vif y msad: determine los coeficientes VIF (Fidelidad de la información visual) y MSAD (Suma media de diferencias absolutas) para evaluar las diferencias entre dos videos.
• Identity video filter: determinación del nivel de diferencias entre dos videos.
• Setts bitstream filter: establece PTS (sello de tiempo de presentación) y DTS (sello de tiempo de decodificación) en paquetes (flujo de bits).

Finalmente para quienes quieran realizar la instalación o actualización de FFmpeg 4.4 deben saber que este paquete se encuentra en la mayoría de las distribuciones de Linux o si lo prefieren pueden descargar su código fuente para su compilación desde el siguiente enlace.

from Linux Adictos https://ift.tt/3dSAw3p
via IFTTT

Hace poco se dio a conocer la noticia de que fue identificada una vulnerabilidad (CVE-2021-29154) en el subsistema eBPF, que permite ejecutar el seguimiento, el análisis del subsistema y los controladores de control de tráfico que se ejecutan dentro del kernel de Linux en una máquina virtual JIT especial que permite a un usuario local ejecutar su código a nivel de kernel.

Según los investigadores que identificaron la vulnerabilidad, pudieron desarrollar un prototipo funcional de un exploit para sistemas x86 de 32 y 64 bits que puede ser utilizado por un usuario sin privilegios.

Al mismo tiempo, Red Hat señala que la gravedad del problema depende de la disponibilidad de la llamada al sistema eBPF para el usuario. Por ejemplo, en RHEL y la mayoría de las otras distribuciones de Linux en la configuración predeterminada, la vulnerabilidad se puede aprovechar cuando BPF JIT está habilitado y el usuario tiene derechos CAP_SYS_ADMIN.

Se ha descubierto un problema en el kernel de Linux del que pueden abusar
usuarios locales sin privilegios para escalar privilegios.

El problema es cómo calculan los compiladores BPF JIT para algunas arquitecturas
Desplazamientos de rama al generar código de máquina. Esto se puede abusar
para crear un código de máquina anómalo y ejecutarlo en el modo Kernel,
donde el flujo de control es secuestrado para ejecutar código inseguro.

Y es que detallan que el problema se debe a un error que se genera al calcular el desplazamiento de las instrucciones de bifurcación durante el compilador JIT que genera el código de máquina.

En particular se menciona que al generar las instrucciones de bifurcación, no se tiene en cuenta que el desplazamiento puede llegar a cambiar después de pasar por la etapa de optimización con lo cual esta falla puede usarse para poder generar código de máquina anómalo y ejecutarlo a nivel del kernel.

Cabe destacar que esta no es la única vulnerabilidad en el subsistema eBPF que se ha dado a conocer en los últimos años, ya que a finales de marzo, se identificaron dos vulnerabilidades más en el kernel (CVE-2020-27170, CVE-2020-27171), que brindan la capacidad de usar eBPF para poder eludir la protección contra vulnerabilidades de clase Spectre, que permiten determinar el contenido de la memoria del kernel y que da como resultado de la creación de condiciones para la ejecución especulativa de ciertas operaciones.

El ataque Spectre requiere la presencia de una secuencia específica de comandos en el código privilegiado, lo que lleva a la ejecución especulativa de instrucciones. En eBPF, se han encontrado varias formas de generar tales instrucciones mediante manipulaciones con programas BPF transmitidos para su ejecución.

• La vulnerabilidad CVE-2020-27170 es causada por manipulaciones con punteros en el verificador BPF, que hacen que las operaciones especulativas accedan a un área fuera del búfer.
• La vulnerabilidad CVE-2020-27171 está relacionada con un error de subdesbordamiento de enteros cuando se trabaja con punteros, lo que conduce a un acceso especulativo a los datos fuera del búfer.

Estos problemas ya se han solucionado en las versiones del kernel 5.11.8, 5.10.25, 5.4.107, 4.19.182 y 4.14.227, y se han incluido en las actualizaciones del kernel para la mayoría de las distribuciones de Linux. Los investigadores han preparado un prototipo de explotación que permite a un usuario sin privilegios recuperar datos de la memoria del kernel.

En cuanto a una de las soluciones que proponen dentro de Red Hat es:

Mitigación:

Este problema no afecta a la mayoría de los sistemas de forma predeterminada. Un administrador tendría que haber habilitado el BPF JIT para que se vea afectado.

Se puede deshabilitar inmediatamente con el comando:

# echo 0 > /proc/sys/net/core/bpf_jit_enable

O se puede deshabilitar para todos los arranques posteriores del sistema estableciendo un valor en /etc/sysctl.d/44-bpf -jit-disable

## start file ##
net.core.bpf_jit_enable=0</em>
end file ##

Finalmente si estás interesado en conocer más al respecto sobre esta vulnerabilidad, puedes consultar los detalles en el siguiente enlace.

Cabe mencionar que problema persiste hasta la versión 5.11.12 (inclusive) y aún no se ha solucionado en la mayoría de las distribuciones, aun que la corrección ya está disponible como parche.

from Linux Adictos https://ift.tt/3d5bjnf
via IFTTT

Esta mañana, en los diferentes grupos de Manjaro estábamos esperando nuevos paquetes, más concretamente los de Manjaro 21.0.1 Ornara. Han llegado hace un par de horas, y hace unos instantes han abierto un hilo en su foro anunciando la nueva versión de manera oficial. Aunque hay cambios en todas sus ediciones, los más llamativos han llegado a la que usa el escritorio GNOME, ya que ya han actualizado las aplicaciones a las de GNOME 40.

GNOME es un escritorio, lo que significa que las aplicaciones son sólo una parte de él. Lo que es el entorno gráfico no se ha actualizado aún a GNOME 40, y es que, aunque Manjaro actualiza pronto sus paquetes, a su modelo de desarrollo se le conoce como semi-Rolling Release: una instalación y actualizaciones de por vida, pero son un poco conservadores y evitan hacer locuras.

Novedades más destacadas de Manjaro 21.0.1

• Aplicaciones de GNOME 40, pero el shell y las extensiones se mantienen en 3.38.
• Systemd pasa a usar la v247.0.
• Han actualizado los kernels, pero a versiones de punto más actualizadas, ya que Linu 5.12 aún está en desarrollo.
• pirewire, WINE y AMDVLK actualizados.
• Mesa a subido a la v21.0.1.
• Actualizaciones de muchos paquetes, como los de python y hashkell.

Como comentario, Plasma 5.21.4 no ha aparecido aún, ya que se lanzó el pasado martes y Manjaro suele esperarse al menos una semana para ofrecerlo como actualización. Tampoco han actualizado la versión de XFCE.

Manjaro 21.0.1 ya ha llegado a los usuarios existentes. Las nuevas imágenes son para instalaciones de cero, y están disponibles en este enlace en sus ediciones oficiales, que son XFCE, GNOME y  KDE. En los próximos días también deberían actualizar al menos algunas de las versiones de la comunidad, que son las ediciones MATE, Awesome, Bspwm, Budgie, Cinnamon, i3, LXDE, LXQt, OpenBox, e incluso una XFCE-USB que no aparece en la página web oficial.

from Linux Adictos https://ift.tt/39Zlhoq
via IFTTT

A finales de enero os hablamos de un rediseño que Mozilla está preparando para su navegador. Su nombre es Proton, y lo que se pretende es modernizar la imagen de Firefox. Lo que hay disponible en la actualidad en la versión estable muestra todo muy plano, lo que también significa que los bordes tienen vértices. Esto es algo que no vemos en la captura que tenéis encima de estas líneas. Y no, no se ha activado la opción manualmente.

Lo que veis es Firefox 89, más concretamente su última Nightly. Hasta hace unos días, tanto en la beta de la v88 como en la de la v89 podíamos activar el nuevo diseño desde about:config, pero teníamos que hacerlo por nuestra cuenta. No sé cuándo se ha activado la opción por defecto, pero he actualizado mi versión Nighly en Kubuntu, he visto que el diseño ha cambiado, he bajado la Nightly en Manjaro para confirmarlo y, en efecto, ya tenemos Proton.

¿Proton en la Firefox 89 o 90?

Si no dan marcha atrás, Proton llegará dentro de cinco semanas y cuatro días, ya que la versión estable de Firefox 88 llegará el martes día 20 y cuatro semanas después llegará Firefox 89. Pero hay que tener en cuenta una cosa, o mejor dos: Mozilla se reserva el derecho de retener ciertas funciones de las que están probando en las versiones Beta y Nightly, un comodín que ya usaron en Firefox 87 al no incluir en la lista de novedades la decodificación de imágenes AVIF. Lo otro que tenemos que tener en cuenta es el número de la versión, y es que Proton quedaría mejor como novedad en el primer lanzamiento tras un cambio de decena.

En cualquier caso, veo probable que Mozilla incluya la novedad en la beta, lo que es una versión más estable que la Nightly y casi se puede usar como navegador por defecto. En poco más de un mes podríamos tener nuevo diseño que modificará la barra de direcciones, la caja de herramientas, barra de pestañas, el menú de la hamburguesa, las barras de información y los desplegables.

from Linux Adictos https://ift.tt/3dSzkwX
via IFTTT

El evento online Future Technology para los videojuegos War Thunder está en marcha gracias a los esfuerzos de Gaijin Entertainment. Lanzará el evento a través de Steam y del sitio web oficial del juego. De esa forma, los jugadores de este título tendrán la oportunidad de obtener vehículos nuevos raros hasta el 12 de abril.

Los premios serán un destructor japonés JDS Yūgure, la primera versión del avión de combate alemán F-4F, un tanque ligero estadounidense XM8, y un SU-76D SPG soviético. Todo eso por participar en batallas en War Thunder para reunir recursos, municiones y planos para construir un tanque Minotauro futurista. Un tanque futurista que también podrás cambiar por los cuatro vehículos raros mencionados anteriormente.

Si no los conocías, el SU-76D fue un cazacarros experimental con una silueta baja, blindaje por placas, y un motor diésel. Fue diseñado por ingenieros soviéticos para la II Guerra Mundial, pero no se llegaría a producir en serie debido a los problemas de producción del motor y de su gran potencia.

En cuanto al JDS Yūgure, fue un destructor estadounidense de clase Fletcher, pero Japón lo recibiría a finales de la década 1950. Ellos lo modificaron y usaron como buque de entrenamiento y antisubmarinos. Portaba 5 cañones Bofors duales de 40mm.

XM8 AGS fue una unidad de prueba de tanque ligero estadounidense. Desarollado a principios de los 90s como un esfuerzo para reemplazar los tanques obsoletos M551 Sheridan. Pero solo existieron prototipos de esta máquina de guerra. Montaban un cañón estriado XM35 de 105 mm, y motor diésel de 550CV.

Por último, el F-4F alemán fue una versión de exportación del famoso avión de combate Phantom de la Fuerza Aérea Alemana. Fue casi tan potente como la variante estadounidense original y se podía elegir entre una gran variedad de armas: bombas de hasta 2.000 lbs, Mighty Mouse, cohetes Zuni, Vulcan de 20mm, y tres modificaciones de los misiles aire-aire Sidewinder (AIM-9B FGW-2, AIM-9E y AIM-9J).

from Linux Adictos https://ift.tt/3uC09fD
via IFTTT

Existen muchas amenazas para tus datos. Y aunque el malware no es tan frecuente para sistemas GNU/Linux, eso no significa que no exista riesgo de ransomware. Además de eso, puede haber cualquier tipo de error de software que corrompa los datos, que un disco duro falle, incendios, inundaciones, caídas, cortes del suministro eléctrico, etc. Por eso, deberías pensar en hacer copias de seguridad para que estos problemas no te pillen desarmado y cuentes con un respaldo para poder recuperar toda esa información (o la mayoría de ella).

Más aún cuando estás teletrabajando. Ahora, con la pandemia, todas las personas que trabajan desde casa, seguro que se han visto obligadas a tener datos fiscales, datos de clientes, documentos de la empresa, etc., todo en su PC. En estos casos, los motivos para realizar copias de seguridad son mucho más fuertes que para un usuario doméstico. De hecho, mientras más relevantes sean los datos que manejas, mayor debe ser la frecuencia de las copias de seguridad que haces…

En otros artículos de LxA ya se ha comentado sobre multitud de programas con los que hacer copias de seguridad en GNU/Linux, además de algunos tutoriales para mostrar de forma práctica como se realizaban. Esta vez será algo más teórico, pero no por ello menos importante. Y son una serie de reglas o consejos para realizar los backups de forma segura y correcta.

Regla Backup 3–2–1

Es una regla muy sencilla de recordar y que funciona muy bien para las copias de seguridad. Consiste en:

• 3: haz tres copias diferentes de la información. A ser posible, que sea en medios fiables. Es decir, evita usar discos ópticos, que se pueden rayar o estropear con los años.
• 2: almacena dichas copias de seguridad en al menos dos medios diferentes. Es decir, no lo apuestes todo a un mismo medio de almacenamiento, o si ese medio tiene problemas, también lo perderías todo.
• 1: almacena una de las copias en un lugar diferente. No todas las copias de seguridad deben estar en un mismo lugar guardadas. Imagina que ese lugar se inunda, se incendia, o se produce un robo. En ese caso, siempre tendrás otra copia en otro lugar diferente. Resulta extraño que ese otro lugar también corra la misma suerte…

Esta regla funciona tan bien por simple probabilidad y ubicación:

• Imagina que un disco duro falla 1 vez cada 100.000 horas, por poner un ejemplo. Pues si tienes dos copias en dos discos diferentes, la probabilidad de que tus datos se vean afectados sería de 1 entre 10.000.000.000.
• Al separar físicamente los backups, se evitan que problemas de incendios, robos, inundaciones, etc., acaben con todas las copias de seguridad existentes.

Conejos para las copias de seguridad

Además de seguir esa regla, también existen otros consejos que deberías tener presente a la hora de aplicar una buena política de copias de seguridad en tu hogar y trabajo, y así no tendrás que lamentar que tus datos se han perdido cuando algo ocurra:

• ¿Qué tipo de backups me conviene? Piensa en el tipo de copias de seguridad que más te convienen:
  • Completa: así debería ser la primera copia de seguridad, ya que no tienes nada copiado previamente. Es decir, es u tipo de copia de seguridad que hace una copia integral, con todos los datos. Evidentemente, será un tipo de copia de seguridad que ocupará más espacio, y tardará más en hacerse, por lo que solo se recomienda de forma puntual. Por ejemplo, la primera vez, cuando se cierran las oficinas al terminar la semana, previo a las vacaciones, etc.
  • Incremental: solo se copian los archivos que hayan sido modificados desde la última copia tras una copia completa. Es decir, comparará los datos de la fuente y los datos del destino, y solo copiaría los que hayan cambiado según su fecha de modificación. Por eso, tarda menos tiempo en realizarse, ocupa menos al no crear duplicados de todos los datos.
  • Diferencial: es similar a la incremental la primera vez que se lleve a cabo. Es decir, realizará solo la copia de los datos que hayan cambiado o se hayan modificado desde la última copia de seguridad. En cambio, las sucesivas veces que se ponga en marcha, seguirá copiando todos los datos que hayan cambiado desde la copia completa anterior, por lo que llevará más tiempo y ocupará más que la incremental.
• Calendario: diseña un plan de copias de seguridad o programa backups automáticos cada cierto tiempo. La frecuencia dependerá del ritmo de creación de nuevos datos y de la importancia de los mismos. Por ejemplo, si eres un usuario doméstico podrías relajar un poco la política. En cambio, si los datos son muy importantes, como los empresariales, entonces las copias deberían ser mucho más frecuentes para evitar que desde la última copia de seguridad hasta que se produjo el problema, haya una diferencia considerable y se hayan perdido datos importantes.
• Registros: si los has automatizado, no des nada por hecho. Revisa los registros para ver si realmente se están realizando. Puede que algo haya ocurrido y que estés tranquilo de que se realizan y no sea así.
• Verificación: verifica las copias una vez se completen. No basta con hacerlas, debes comprobar que son correctas y consistentes, que no están corruptas.
• Cifrado y compresión: dependiendo de cada usuario, puede que se deban comprimir los datos para ocupar menos espacio y cifrarlos para evitar el acceso a terceros. En cambio, estas prácticas tienen sus riesgos y coste de recursos y tiempo. Al cifrar, se podría olvidar la clave, por lo que se te impediría acceder a ellos también, o durante la compresión, se podría corromper el paquete comprimido, etc. Por eso, antes de realizarlo, deberías pensar muy bien si te conviene.
• Saber dónde están tus datos: lo ideal son copias de seguridad locales, pero en ocasiones se necesita usar los sistemas de almacenamiento en la nube para los backups. Deberías elegir un servicio seguro y de confianza para ello, a ser posible con centros de datos en la UE.
• Plan de recuperación de desastres: deberías tener una ruta marcada para saber cómo actuar cuando se produce un desastre y necesitas restablecer el sistema de emergencia. Dejar todo a la improvisación no es una buena idea. Más aún cuando se trata de una empresa que debe dar un servicio urgente a sus clientes.

from Linux Adictos https://ift.tt/3mAj7Rc
via IFTTT

El navegador web más usado del mundo en estos momentos es Chrome. En parte, creo que eso es debido a que la mayoría de la gente tira por lo más conocido sin importarle cosas como la privacidad. Los que usamos Linux si pensamos en ello, y por ese motivo terminamos con algún navegador que use Chromium, pero diferente a Chrome, o Firefox. Hay navegadores que se basan en el de Mozilla, como LibreWolf, para ofrecernos diferentes experiencias.

No vamos a decir que Firefox sea un navegador que espíe a los usuarios, las cosas como son. Pero LibreWolf incluye por defecto algunas herramientas que lo hacen aún más privado. Para empezar, no recoge datos de telemetría. Estos datos suelen ayudar a los desarrolladores a mejorar su software, pero  tienen que recoger cierta información que algunos pueden preferir no compartir. Además, los motores de búsqueda son muy diferentes: por defecto usa DuckDuckGo, pero el resto de opciones que ofrece tras la instalación de cero son, además de la Wikipedia, DuckDuckGo Lite, que es la versión móvil, Searx, StartPage, Qwant y MetaGear.

LibreWolf no recoge datos de telemetría y bloquea publicidad por defecto

Hay usuarios que, tras instalar un navegador, lo primero que buscan es un bloqueador de publicidad. Esto no es necesario en algunas distribuciones Linux que incluyen una versión de Firefox con uno incluido, y LibreWolf tiene instalada por defecto una extensión: uBlock Origin. Como el ETP de Firefox, los bloqueadores pueden hacer que algún componente de una página web deje de funcionar, algo que hay que tener en cuenta si alguna funciona de manera errática, pero merece la pena en el 99% de los casos.

LibreWolf, como Firefox, es de código abierto y se actualiza justo después que el navegador en el que se basan. Hay que verlo como el navegador del zorro, pero ya preparado para centrarse en la privacidad. De hecho, mejora la ETP de Mozilla incluyendo un cortafuegos y otras mejoras de seguridad, todo ello sin sacrificar rendimiento ni usabilidad.

Instalación en Linux

Para instalarlo en Linux, tenemos que hacerlo de la siguiente manera:

• Arch Linux: está en AUR, por lo que hay que compilarlo o usar la herramienta yay, tal y como explicamos en este artículo. El paquete librewolf compila Firefox y añade los parches, mientras que librewolf-bin proporciona un binario. Si se usan distribuciones como Manjaro, se puede instalar desde Pamac.
• Debian: se añade el repositorio y se instala con estos comandos:

echo 'deb http://download.opensuse.org/repositories/home:/bgstack15:/aftermozilla/Debian_Unstable/ /' | sudo tee /etc/apt/sources.list.d/home:bgstack15:aftermozilla.list
curl -fsSL https://download.opensuse.org/repositories/home:bgstack15:aftermozilla/Debian_Unstable/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/home_bgstack15_aftermozilla.gpg > /dev/null
sudo apt update
sudo apt install librewolf

• Gentoo: se crea el archivo /etc/portage/repos.conf/librewolf.conf con esto (cambiando «ubicación del repo» por la ubicación en donde quiera ponerse):

[librewolf]
priority = 50
location = "ubicación-del-repo"/librewolf
sync-type = git
sync-uri = https://gitlab.com/librewolf-community/browser/gentoo.git
auto-sync = Yes

Posteriormente, hay que ejecutar emaint -r librewolf sync.

También está disponible en AppImage y como paquete Flatpak en este enlace.

Está claro que cuando nos acostumbramos a algo es difícil cambiar, pero una alternativa al zorro de fuego es el lobo libre.

from Linux Adictos https://ift.tt/31ZTq32
via IFTTT

A finales del mes pasado se dio a conocer la noticia de que un hacker comprometió el servidor utilizado para distribuir el lenguaje de programación PHP y agregó un backdoor al código fuente que habría dejado a los sitios web vulnerables a una adquisición completa, dijeron miembros del proyecto de código abierto.

El problema se suscitó en dos actualizaciones enviadas al servidor PHP Git durante el fin de semana del 27 de marzo en el cual agregaron una línea que, si fuera ejecutada por un sitio web impulsado por esta versión secuestrada de PHP, habría permitido a los visitantes no autorizados ejecutar el código de su elección.

Las confirmaciones maliciosas le dieron al código la capacidad de inyectar código en los visitantes que tenían la palabra «zerodium» en un encabezado HTTP. Las confirmaciones se realizaron en el repositorio php-src bajo los nombres de cuenta de dos conocidos desarrolladores de PHP, Rasmus Lerdorf y Nikita Popov.

Tras el compromiso, Popov explicó que los funcionarios de PHP concluyeron que su infraestructura Git independiente representaba un riesgo de seguridad innecesario.

Como resultado, decidieron cerrar el servidor git.php.net y hacer de GitHub la fuente oficial de repositorios PHP. En el futuro, todos los cambios en el código fuente de PHP se realizarán directamente en GitHub en lugar de en git.php.net.

El mantenedor de PHP, Nikita Popov, lanzó una actualización sobre cómo se comprometió el código fuente y se insertó el código malicioso, culpando a una fuga de la base de datos del usuario en lugar de un problema con el servidor en sí.

El equipo originalmente creía que el servidor que alojaba el repositorio había sido asaltado, pero en una nueva publicación, Popov dijo:

“Ya no creemos que el servidor git.php.net haya sido comprometido. Sin embargo, es posible que se haya filtrado la base de datos del usuario master.php.net ”. Además, master.php.net se ha migrado a un nuevo sistema main.php.net.

Aquí hay detalles que Popov dio sobre el progreso de la investigación:

“Cuando se realizó la primera confirmación maliciosa bajo el nombre de Rasmus, mi reacción inicial fue revertir el cambio y revocar el acceso a la confirmación de la cuenta de Rasmus, asumiendo que era un individuo hack de cuenta. En retrospectiva, esta acción realmente no tenía sentido, porque noEl empujón estaba sucediendo a través de la cuenta de Rasmus en particular. Cualquier cuenta con acceso al repositorio php-src podría haber realizado el envío con un nombre falso.

“Cuando se realizó la segunda confirmación maliciosa bajo mi propio nombre, miré los registros de nuestra instalación de gitolite para determinar qué cuenta se estaba utilizando realmente para enviar . Sin embargo, aunque se tuvieron en cuenta todas las confirmaciones adyacentes, no había entradas git-receive-pack para las dos confirmaciones maliciosas, lo que significa que estas dos confirmaciones omitieron por completo la infraestructura de gitolite. Esto se interpretó como prueba probable de un compromiso del servidor.

Las acciones que se han tomado ahora incluyen restablecer todas las contraseñas y modificar el código para usar consultas parametrizadas para protegerse contra ataques de inyección SQL.

El uso de consultas parametrizadas ha sido la mejor práctica recomendada durante muchos años, y el hecho de que el código que no se ha estado ejecutando durante tanto tiempo en el corazón de la infraestructura del código fuente de PHP muestra cuán inseguro es el código heredado en una organización si está funcionando y no está causando problemas obvios.

El sistema master.php.net, que se utiliza para la autenticación y varias tareas de administración, estaba ejecutando un código muy antiguo en un sistema operativo/versión PHP muy antiguo, por lo que algún tipo de vulnerabilidad no sería muy sorprendente. Los encargados del mantenimiento han realizado una serie de cambios para aumentar la seguridad de este sistema:

• master.php.net se ha migrado a un nuevo sistema (que ejecuta PHP 8) y se ha cambiado el nombre de main.php.net al mismo tiempo. Entre otras cosas, el nuevo sistema es compatible con TLS 1.2, lo que significa que ya no debería ver las advertencias de la versión TLS al acceder a este sitio.
• La implementación se ha trasladado al uso de consultas parametrizadas, para asegurarse de que no se puedan producir inyecciones de SQL.
• Las contraseñas ahora se almacenan usando bcrypt.
• Las contraseñas existentes se han restablecido (use main.php.net/forgot.php para generar una nueva).

Fuente: https://externals.io

from Linux Adictos https://ift.tt/3s5dqMd
via IFTTT

Google dio a conocer hace poco la inclusión del lenguaje de programación Rust entre los lenguajes permitidos para el desarrollo de Android.

Ya que el compilador de Rust se incluyó en el árbol de fuentes de Android en 2019, pero la compatibilidad con el lenguaje siguió siendo experimental. Algunos de los primeros componentes de Rust que se envían a Android son nuevas implementaciones del mecanismo de comunicación entre procesos de Binder y la pila de Bluetooth.

La implementación de Rust se llevó a cabo como parte de un proyecto para fortalecer la seguridad, promover técnicas de codificación segura y mejorar la eficiencia de identificación de problemas al trabajar con memoria en Android. Se observa que alrededor del 70% de todas las vulnerabilidades peligrosas identificadas en Android son causadas por errores al trabajar con memoria.

El uso del lenguaje Rust, que se centra en el manejo seguro de la memoria y proporciona administración automática de la memoria, reducirá el riesgo de vulnerabilidades causadas por errores durante el manejo de la memoria, como acceder a un área de memoria después de que se haya liberado y desbordar los límites del búfer.

El manejo seguro de la memoria está garantizado en Rust en el momento de la compilación mediante la verificación de referencias, el seguimiento de la propiedad del objeto y la vida útil del objeto (alcance), así como mediante la evaluación de la corrección del acceso a la memoria en el tiempo de ejecución.

Rust también proporciona medios para protegerse contra desbordamientos de enteros, requiere la inicialización obligatoria de los valores de las variables antes de su uso, maneja mejor los errores en la biblioteca estándar, adopta el concepto de referencias y variables inmutables de forma predeterminada y ofrece una fuerte escritura estática para minimizar los errores lógicos.

En Android, la gestión segura de la memoria se proporciona en los lenguajes Kotlin y Java ya compatibles, pero no son adecuados para desarrollar componentes del sistema debido a la gran sobrecarga.

Rust permite lograr un rendimiento cercano a los lenguajes C y C ++, lo que permite que se utilice para desarrollar partes de bajo nivel de la plataforma y componentes para interactuar con el hardware.

Para garantizar la seguridad del código C y C ++, Android usa aislamiento de espacio aislado, análisis estático y pruebas de fuzzing. Las capacidades del aislamiento de sandbox son limitadas y han alcanzado el límite de sus capacidades (una mayor fragmentación en los procesos no es práctica desde el punto de vista del consumo de recursos).

Entre las limitaciones de usar sandbox, mencionan la alta sobrecarga y el mayor consumo de memoria causado por la necesidad de generar nuevos procesos, así como la latencia adicional asociada con el uso de IPC.

Al mismo tiempo, el sandbox no elimina vulnerabilidades en el código, sino que solo reduce los riesgos y complica el ataque, ya que la explotación requiere la identificación no de una, sino de varias vulnerabilidades.

Los métodos de prueba de código están limitados porque, para detectar errores, es necesario crear condiciones para la manifestación del problema. No es posible abarcar todas las opciones posibles, por lo que muchos errores pasan desapercibidos.

Para los procesos del sistema en Android, Google se adhiere a la «regla de dos», según la cual cualquier código agregado no debe cumplir más de dos de tres condiciones: trabajar con datos de entrada no verificados, usar un lenguaje de programación inseguro (C/C++) y ejecutarse sin aislamiento de espacio aislado rígido (con privilegios elevados).

De esta regla se deduce que el código para procesar datos externos debe reducirse a privilegios mínimos (aislado) o escribirse en un lenguaje de programación seguro.

Google no tiene como objetivo reescribir el código C/C ++ existente en Rust, pero planea usar este lenguaje para desarrollar código nuevo.

Tiene sentido usar Rust para código nuevo, ya que estadísticamente la mayoría de los errores aparecen en código nuevo o recientemente modificado. En particular, alrededor del 50% de los errores de memoria detectados en Android se detectan en código escrito hace menos de un año.

Fuente: https://security.googleblog.com

from Linux Adictos https://ift.tt/3s62eyO
via IFTTT