Компания Positive Technologies обнародовала результаты исследования, посвящённого изучению безопасности веб-приложений и угроз в соответствующем сегменте в 2019 году.

Как оказалось, в девяти из десяти веб-приложений (примерно в 90 %) злоумышленники теоретически могут проводить атаки на пользователей. Это может быть, скажем, перенаправление клиента на вредоносный ресурс, хищение учётных данных с помощью фишинга, заражение компьютера вредоносным ПО и пр.

Исследователи пришли к выводу, что 82 % уязвимостей веб-приложений содержатся в исходном коде. Почти в каждом втором — в 45 % — изученном веб-приложении были выявлены недостатки аутентификации. Угроза утечки важных данных присутствует в 68 % веб-приложений.

«Число уязвимостей, которое в среднем приходится на одно веб-приложение, снизилось по сравнению с 2018 годом в полтора раза. В среднем на одну систему приходятся 22 уязвимости, четыре из которых имеют высокий уровень риска», — говорится в исследовании.

В 16 % веб-приложений были найдены критически опасные уязвимости, позволяющие получить контроль не только над приложением, но и над ОС сервера. В целом, примерно каждая пятая уязвимость представляет высокую опасность.

Более подробно с результатами исследования можно ознакомиться здесь. 

Microsoft пытается решить проблему нехватки приложений в Windows Store с помощью прогрессивных веб-приложений (PWA), для чего позволяет разработчикам публиковать их в магазине. Также компания работает над улучшением поддержки сторонних PWA.

windowslatest.com

Как отмечается, на Windows 10 поддержка этих приложений появилась с выходом  Google Chrome 70, однако они работают только в рамках самого браузера, тогда как PWA из Windows Store функционируют независимо. Также «хромовые» PWA не используют некоторые особенности Windows 10, а также не столь сильно интегрированы в систему.

Щелчок правой кнопкой мыши на любом приложении из Chrome, прикрепленном к панели задач, вызывает контекстное меню, однако в этом списке зачастую нет пунктов «Создать новый твит» или что-то такое. Именно это и планируют изменить в Microsoft, ведь «родные» PWA из магазина Windows подобное умеют.

Целью нового изменения является добавление поддержки ярлыков, определённых в Манифесте веб-приложения, что позволит работать со сторонними PWA как и с нативными. Само меню, по данным корпорации, должно создаваться автоматически во время установки приложения на основании данных с сайта.

Пока что не уточняется, когда именно в Редмонде запустят эту возможность. Говорится лишь, что работа в этом направлении идёт.

Если когда-нибудь веб-приложения действительно заменят нативные, они должны будут демонстрировать тот же уровень отзывчивости. И, похоже, это становится всё ближе. В свежей версии браузера Google Chrome представлены инструменты, которые позволят ускорить работу веб-приложений на ПК.

pixabay.com

Для этого используется новая структура Web Bundles, которая позволит разработчикам распространять быстро загружаемые веб-приложения через Сеть, флешки и вообще как угодно. Это что-то вроде портативных приложений, но с подключением к Интернету.

Веб-пакеты теперь доступны через экспериментальный флаг в Chrome. Из других особенностей системы отмечается двухфакторная аутентификация через SMS.

Разумеется, до полного перехода на веб-приложения ещё долго. Для этого нужно сначала обеспечить корректную работу таких программ на Firefox, Opera, Safari и других браузерах. Также это потребует улучшения защиты, качества связи и прочего.

Однако появление полноценных приложений для веб-пространства позволит существенно изменить классический Интернет. Это позволит создавать отдельные программы для каждого сайта, как это реализовано на мобильных системах. Правда, в этом случае есть опасность, что пользователям придётся мириться с обилием рекламы и систем слежения.

Однако такой подход позволит сделать те же хромбуки более жизнеспособным для людей, привыкших к производительности и удобству приложений на других платформах.

Компания Positive Technologies опубликовала неутешительные результаты анализа безопасности веб-приложений: исследование говорит о том, что защита подобных платформ оставляет желать много лучшего.

Так, практически все системы — 96 % — теоретически обеспечивают возможность организации атак на пользователей. Несанкционированный доступ к веб-приложению может быть получен примерно в каждом втором случае (48 %). При этом возможность получения полного контроля над приложением была выявлена примерно в каждом шестом случае (17 %).

В число самых распространённых проблем входят «Межсайтовое выполнение сценариев» (Cross-Site Scripting), «Подделка межсайтового запроса» (Cross-Site Request Forgery) и «Открытое перенаправление» (URL Redirector Abuse). Кроме того, часто встречается уязвимость «Внедрение операторов SQL».

Оказалось, что киберпреступники могут похитить персональные данные пользователей практически в каждом втором веб-приложении: такая проблема затрагивает 44 % систем. Речь идёт в том числе о финансовых учреждениях, интернет-магазинах и телекоммуникационных компаниях. При этом доля приложений, для которых существует угроза утечки критически важной информации, составляет 70 %.

Эксперты пришли к выводу, что две трети обнаруженных ошибок (65 %) были допущены при разработке приложений и содержатся в их программном коде. А каждая третья проблема безопасности связана с некорректными параметрами конфигурации веб-серверов.

Более подробную информацию об исследовании можно найти здесь. 

Mozilla рассказала, что добавит в Firefox 58 для Android поддержку манифестов веб-приложений (Web App Manifest). Нововведение позволит работать с прогрессивными веб-приложениями (Progressive Web Apps) — интерфейсами наподобие обычных мобильных приложений, которые отображаются прямо в браузере. Пользователи смогут добавлять их на домашний экран и запускать одним нажатием пальца.

Если сайт работает по протоколу HTTPS и имеет действительный манифест, то в адресной строке появится соответствующий значок. При нажатии на него отобразится сообщение «Добавить на домашний экран». Прогрессивное веб-приложение, запущенное через появившийся ярлык, откроется в оптимальном режиме просмотра. На панели переключения между программами оно будет представлено как отдельный элемент. Таким образом, прогресс чтения страницы не будет утерян, как при переходе по сторонней ссылке.

Firefox 58 для Android сможет похвастаться и другими полезными возможностями. Например, пользователи получат возможность добавлять на домашний экран ярлыки любых веб-адресов. А внешние ссылки в прогрессивных веб-приложениях будут открываться в специальной вкладке для обеспечения повышенного уровня безопасности и скорости загрузки.

Менеджер по продукту Андреас Бовенс (Andreas Bovens) заявил, что команда разработчиков Firefox «очень взволнована» количеством API, поддержка которых появится в браузере. В качестве примера он привёл фоновую синхронизацию (Background Sync), которая будет добавлена в 59 версии приложения.

Первые упоминания о веб-клиенте для сервиса по обмену сообщениями Google Allo датировались ещё 2016 годом, однако его релиз состоялся лишь через 10 месяцев. В августе текущего года дебютировавшая веб-версия Google Allo работала только из-под браузера Google Chrome, в то время как через Firefox и Opera доступ к ней предусмотрен не был. 

CNET.com

Теперь же владельцы ПК, отдавшие предпочтение Firefox и Opera, могут воспользоваться мессенджером Google Allo в веб-исполнении. В функциональном плане такая адаптация, разумеется, ничем не отличается от версии для Chrome. Для доступа к веб-сервису необходимо перейти на ПК по ссылке https://allo.google.com/web, а затем в меню мобильного приложения Google Allo выбрать строку «Allo for web». Следующий шаг — активация веб-клиента путём сканирования камерой смартфона QR-кода, отобразившегося на экране монитора. 

AddictiveTips.com

Амит Фулай (Amit Fulay‏), занимающий в корпорации Google пост главы отдела по развитию проектов Allo и Duo, отметил, что веб-версия Google Allo открылась и владельцам устройств от Apple. Запуск веб-клиента возможен как через Firefox и Opera для iOS, так и в родном для «яблочной» оболочки браузере Safari. Но тогда работа мобильного приложения будет автоматически приостановлена. 

Музыкальный потоковый сервис Spotify больше не поддерживает Safari. При попытке открыть веб-плеер через браузер от Apple вам предложат либо загрузить настольный клиент Spotify, либо сменить браузер.

theverge.com

По словам компании, Safari и Spotify стали несовместимы из-за последних обновлений музыкального сервиса. Пользователи форума шведского продукта считают, что это связано с модулем расшифровки контента Google Widevine, который Apple не поддерживает, но который использует Spotify. Впрочем, компания эту информацию не подтвердила.

«Мы постоянно тестируем разные вещи, добавляя или удаляя функции, чтобы сделать Spotify лучше, — заявил сотрудник службы поддержки сервиса одному из пользователей форума. — Нам жаль, что из-за этого вы больше не можете пользоваться веб-плеером так же, как раньше. Мы не можем сказать, когда функция появится снова и появится ли вообще».

На сайте Spotify в список поддерживаемых браузеров теперь входят Chrome 45+, Firefox 47+, Edge 14+ и Opera 32+. Safari больше нигде не упоминается.

Пользователи по-прежнему с лёгкостью могут получить доступ к сервису через официальные приложения или упомянутые выше браузеры. Согласно ZDNet, браузером от Apple пользуются 25,4 % всех людей, но среди них — большое число обладателей мобильных устройств, которым доступен клиент Spotify в App Store.

Сервис для мгновенного обмена сообщениями — мессенджер Google Allo — в ближайшее время станет доступным не только пользователям мобильных устройств. Об этом в своём Twitter-послании заявил лично Амит Фулай (Amit Fulay), занимающий в корпорации Google пост главы отдела по развитию проектов Allo и Duo. 

Оставленная господином Фулаем запись означает, что через месяц–два поклонники мессенджера, изначально заточенного под гаджеты на базе Android и iOS, смогут переписываться через Google Allo на настольных системах. Напомним, что сервис, предлагающий не только обмен сообщениями, но и услуги «умного» помощника Google Assistant для поиска информации в Сети или онлайн-заказа без необходимости покидать приложение, дебютировал в мае 2016 года. Однако на пути к полноценному релизу авторы Google Allo сталкивались с рядом трудностей, из-за которых переносилась дата выхода приложения.

www.theverge.com

Доступным для загрузки через фирменный цифровой магазин Google стал не летом 2016 года, а под конец сентября. Кроме того, первое упоминание о настольном Google Allo датируется началом 2017 года. Тогда новость сопровождалась обещанием, что ПК-версия мессенджера увидит свет через пару месяцев. Но очередные непредвиденные обстоятельства нарушили планы разработчиков и заставили их пересмотреть сроки анонса.

Правда, ответ Амита Фулая касательно выпуска Google Allo для ПК был без уточнения: стоит ли ожидать полноценное Windows-приложение или же придётся довольствоваться исключительно веб-клиентом. 

Twitter представила легковесную версию сайта, предназначенную для жителей стран с медленным мобильным соединением и дорогими тарифными планами, а также для тех, кому не хватает памяти на смартфоне. Twitter Lite открывается на 30 % быстрее стандартной версии.

Навигация в веб-приложении тоже ускорена. Пользователи могут просматривать ленту и отдельные твиты, а также отправлять и получать прямые сообщения. Есть возможность загружать изображения, просматривать профили и получать уведомления. Загрузка видео, «Моменты» и прямые трансляции в Twitter Lite пока не поддерживаются.

В легковесной версии присутствует режим экономии трафика. В нём изображения и ролики отображаются в предварительном виде — сайт позволяет выбирать и загружать нужный контент. По словам менеджера по продукту Патрика Трагбера (Patrick Traughber), это может снизить потребление трафика на 70 %, благодаря чему использование Twitter в местах с дорогим Интернетом становится доступнее.

В отличие от Facebook, которая представила легковесные клиенты социальной сети и мессенджера в виде полноценных приложений, Lite-версия Twitter доступна через браузер. Открыть её можно на любом смартфоне или планшете.

При использовании Twitter Lite через Chrome для Android сервис поддерживает push-уведомления. Веб-приложение оснащено офлайн-режимом. На домашний экран мобильного устройства можно добавить ярлык мобильной версии.

«Twitter Lite — отличный способ для многих людей в развивающихся странах Азиатско-Тихоокеанского региона, Латинской Америки и Африки впервые начать пользоваться Twitter на мобильных устройствах, — говорит Трагбер. — Например, в Индии мы заключили партнёрство с Vodafone, одним из крупнейших в стране операторов связи более чем с 200 миллионами клиентов, чтобы предложить 2G-пользователям Twitter Lite как способ получать своевременную информацию по матчам, командам и игрокам Индийской премьер-лиги, поскольку сезон по крикету уже начался».

Google Photos — одно из весьма полезных (особенно для владельцев аппаратов Pixel с неограниченным облачным пространством), но не очень-то популярных приложений поискового гиганта. Оно позволяет не только хранить фотографии в облаке и осуществлять поиск по хранилищу с помощью машинного обучения, но и обрабатывать снимки.

Последнее новшество, добавленное к коррекции экспозиции и цветовой насыщенности — баланс белого. Автоматика сделает неестественно жёлтые или синие снимки более правдоподобными, сместив оттенки соответственно в холодную или тёплую гамму. Для тех, кто предпочитает держать всё под контролем, сохранены ручные настройки баланса белого.

Пока новшество доступно в веб-версии и Android-варианте приложения — точнее оно уже начало развёртываться среди огромной многомиллионной базы пользователей Google (появится в ближайшие дни на всех совместимых устройствах). Поисковый гигант обещает, что скоро возможность будет добавлена и в iOS-версию приложения.

Кстати, помимо интеграции новой функциональности в Google Photos компания также представила краткое руководство с шестью простыми советами по использованию основных возможностей приложения для улучшения фотографий на смартфоне.

В последней бета-версии Chrome для Android разработчики из Google значительно повысили удобство использования так называемых прогрессивных веб-приложений (Progressive Web Apps) — сайтов, очень сильно напоминающих традиционные мобильные приложения. Теперь при открытии такого сайта есть возможность добавить его на домашний экран, на котором он отображается как обычное приложение. После этого пользователь может управлять уведомлениями этого приложения через настройки операционной системы, а не через браузер Chrome.

Прогрессивные веб-приложения используют последние HTML- и веб-возможности, чтобы сайты были «надёжными, быстрыми и привлекательными», как говорит Google. Для этого используется функция Service Worker, кеширующая ключевые ресурсы, благодаря чему приложение начинает загружаться быстрее и работать даже тогда, когда устройство не подключено к Интернету. Такие сайты также выглядят как «обычные приложения на устройстве с захватывающим пользовательским опытом».

Потенциал таких приложений ещё не полностью раскрыт, поскольку многие разработчики пока игнорируют технологию. Также не стоит путать её с мгновенными приложениями (Instant Apps), представляющими собой настоящие программы для мобильных устройств, открывающиеся через браузер и не требующие загрузки из Google Play. Впрочем, обе технологии направлены на то, чтобы дать пользователям доступ к новым возможностям поиска приложений без необходимости скачивать их.

Прогрессивные веб-приложения также отображаются в настройках Android, где можно настраивать их таким образом, чтобы они запускались при нажатии на определённую ссылку. Среди других нововведений последней бета-версии Chrome — поддержка CSS Grid Layout, дающая разработчикам больше вариантов настройки дизайна сайтов и новые способы отображения имён исполнителей, обложек альбомов и названий композиций в плеере, отображающемся на экране блокировки.

Приложение Google Keep, которое начинало как совершенно обыкновенный сервис для создания заметок, со временем было сильно усовершенствовано: в нём появились расширенный поиск, закладки, оптическое распознавание символов на изображениях и возможности для рисования. Последняя функция была добавлена в версию сервиса для Android более года назад, но теперь она стала доступна и в веб-приложении для Chrome.

9to5Google

Инструменты для рисования в веб-версии Google Keep работают совершенно так же, как и на Android. Начать рисовать можно, либо нажав на кнопку «Новая заметка с рисунком» на панели создания заметок в верхней части приложения, либо зайдя в любую существующую заметку и нажав на элемент «Добавить рисунок» из выпадающего меню.

Откроется пустой лист, который можно расширить на весь экран. Рисовать можно маркером или ручкой — у каждого инструмента по 28 цветов и по шесть размеров пера. Можно также использовать возможности увеличения для более точного рисования и отменять внесённые изменения (а также заново их применять). Среди других возможностей — ластик и инструмент для выделения групп рисунков, которые можно перемещать и, например, уменьшать.

9to5Google

Пока все эти возможности доступны только в приложении из магазина Chrome, в то время как на сайте сервиса они отсутствуют. Особенно полезно нововведение будет для владельцев хромбуков с сенсорными экранами — рисование на них реализовано очень удобно.

До сих пор популярное приложение Visio от Microsoft, предназначенное для создания диаграмм и графиков, наконец-то стало доступно для использования на iOS и через браузеры. Visio появилось на рынке ещё в начале 90-х годов прошлого века — это был продукт компании под названием Shapeware, которая в 1995 году стала называться так же, как и её продукт. В 2000 году Visio была куплена редмондским гигантом за $1,5 млрд — с точки зрения стоимости это приобретение стало одним из пяти самых масштабных за всю историю Microsoft.

Спустя почти 17 лет Visio по-прежнему пользуется популярностью — приложение доступно в рамках пакета Microsoft Office для Windows. Теперь же Visio можно использовать на iPad и через браузер, однако через новые приложения чертежи и графики можно только просматривать и делиться ими — создавать проекты, к сожалению, нельзя.

Если учесть, что Visio теперь можно использовать через браузер, то можно смело заявить, что запустить приложение удастся практически на любом устройстве — в том числе на базе Android. Продукт совместим с Edge, Internet Explorer 9 и выше, Firefox, Safari и Chrome. Другими словами, запустить Visio можно через большинство популярных на сегодняшний день браузеров.

Графики из Visio можно хранить в OneDrive for Business и SharePoint Online и делиться ими с помощью специальной ссылки, которую можно открыть во всех вышеперечисленных браузерах.

В ближайшие месяцы разработчики обещают выпустить приложение Visio для iPhone.

Большинство приложений Chrome представляют собой обычные веб-страницы. Но у Google есть и продвинутые приложения, созданные для работы на настольных системах. Последние могут, например, взаимодействовать с локальным накопителем ПК. На днях Google сообщила, что в 2018 году прекратит поддержку приложений Chrome на Mac, Windows и Linux.

Другими словами, приложения Chrome смогут исполняться только на платформе Chrome OS. Но произойдёт это не сразу. В этом году новые приложения Chrome будут появляться только для пользователей Chrome OS, причём существующие приложения будут оставаться доступными на всех платформах. Во второй половине 2017 года магазин Chrome Web Store перестанет отображать приложения на упомянутых платформах (останутся лишь темы и расширения браузера). Наконец, в 2018-м пользователи окончательно потеряют возможность запускать любые Chrome-приложения на Mac, Windows и Linux.

Google идёт на этот шаг с целью упрощения своего веб-обозревателя. Хотя изменения кажутся весьма существенными, на деле это не совсем так: приложениями Chrome пользуется относительно небольшое количество владельцев этого браузера. Кроме того, большинство Chrome-приложений доступны в виде обычных веб-служб.

Поисковый гигант объясняет, что в прошлом веб-приложения не могли предоставить такие возможности, как работу в офлайн-режиме, отправку уведомлений и взаимодействие с подключаемой периферией. Именно, чтобы закрыть этот недостаток Google и представила концепцию приложений Chrome три года назад. Сегодня веб-дизайнеры могут использовать мощные API, которые позволяют создавать мощные приложения, работающие в разных браузерах.

Возможно, Google также хочет предоставить приложениям Chrome более прямой доступ к оборудованию на Chrome OS, а сохранять те же возможности для открытой веб-среды считает небезопасным?

Компания Google собирается полностью избавить браузер Chrome от функции быстрого запуска приложений (App Launcher) — это касается версий программы для Windows, OS X и Linux. Суть этой функции кроется в иконке в панели задач, которая позволяет получать быстрый доступ к приложениям Chrome — изначально предполагалось, что эта функция приравняет настольные и веб-приложения. Однако, по словам компании, люди предпочитают запускать приложения из самого браузера, поэтому от функции быстрого запуска решили избавиться. Останется она только на Chrome OS, где является важным элементом интерфейса.

Функция быстрого запуска начнёт исчезать из Chrome «в следующие несколько месяцев». В ближайшие недели Google перестанет добавлять её в обновления браузера. А в июле функция исчезнет и у людей, у которых она уже установлена.

Исчезновение App Launcher — это ещё один шаг Google к упрощению и ускорению работы Chrome. В последнее время браузер сильно критикуют за его медленную работу и высокое энергопотребление. Так, в конце прошлого года по той же причине (и потому, что ею никто не пользовался) Google удалила иконку центра уведомлений из настольной версии Chrome.