об безопасность

Как-то одновременно произошло много интересного.

1. Я поставол дома новый дебиан, с третьим гномом. Как водится, обплевался. Пошёл смотреть как вернуть погоду на панельку, а там: - Go on the Weather extension page on extensions.gnome.org, click on the switch ("OFF" => "ON"). Я как человек немного разбирающийся в том как работает интернет поднапрягся - как какая-то extension page из интернета может знать что стоит у меня в гноме?

Оказалось, гном ставит специальный плагин для браузеров, чтобы читать список установленных расширений, менять статус enabled и запускать диалоги установки и настроек из жабоскрипта. Вот полный список методов: http://sources.debian.net/src/gnome-shell/3.4.2-11/browser-plugin/browser-plugin.c?hl=906#L906 (кстати, рекомендую сайтик, там ещё поиск есть). Конечно, это довольно ограниченная функциональность. Конечно, это всё работает только для сайта extensions.gnome.org, и только для https. Но какое-то неясное чувство неправильности всё равно осталось.

2. В андроиде нашли мегадырку. Оказывается, пути в формате zip не уникальны - может быть несколько файлов с одним и тем же именем. И инсталлятор с проверщиком подписи по-разному понимают, который из них использовать: https://plus.google.com/113331808607528811927/posts/GxDA6111vYy

3. Очередной пострадавший от парсера TrueType: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3129