Javascript

Die aktuelle Version 12 von Node.js bekommt Langzeitunterstützung und unterstützt erstmals TLS 1.3. Das Team hat außerdem die Heap-Zuweisung verändert, die Startzeiten beschleunigt und einen neuen HTTP-Parser eingepflegt.

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

Aufgrund subtiler Unterschiede beim Parsen von HTML-Code gelang es einem Sicherheitsforscher, gängige Filtermechanismen zu umgehen. Betroffen waren zwei Javascript-Bibliotheken und die Google-Suche.

Eigentlich soll Webassembly eine einheitliche Laufzeitumgebung für das Web bieten. Um auch außerhalb des Browsers zu laufen, soll nun eine standardisierte Systemschnittstelle entstehen. Helfen könnte das Techniken wie Node, die native Software mit Webtechniken verbinden.

Statt jeweils eigene Teile der Javascript-Community und ihrer Projekte zu repräsentieren, schließen sich die Node.js- und JS-Foundation zur OpenJS Foundation zusammen. Die Organisation soll über ihre eigenen Projekte hinaus wirken und das gesamte Web-Ökosystem unterstützen.

Google hat in Chrome eine "echte Zeroday-Chain", also eine bislang unbekannte Sicherheitslücke gefunden. Nutzer des Browsers und seiner Derivate sollten schnellstmöglich ein Update aufspielen.

Das Electron-Projekt hat erstmals einen Release-Kalender veröffentlicht, um mehr Planungssicherheit für künftige Versionen zu schaffen. Das Projekt will sich noch stärker an den Veröffentlichungen von Chromium orientieren.

Mit einer bösartigen E-Mail lässt sich der Exchange Server von Microsoft komplett übernehmen, Windows-Systeme können ebenso über ein DHCP-Paket angegriffen und übernommen werden. Diese und weitere Lücken hat Microsoft mit aktuellen Updates geschlossen.

Die aktuelle Version 4.0 des Javascript-Frameworks Electron bringt Updates für seine Grundlagen Chromium, V8 und Nodejs. Darüber hinaus kann das Remote-Modul zur Interprozesskommunikation aus Sicherheitsgründen deaktiviert werden.

Microsoft will seinen Browser Edge generalüberholen und mit Chromium als Basis neu entwickeln. EdgeHTML als Microsofts proprietärer HTML-Renderer wird damit abgelöst.

Ein Entwickler des Javascript-Pakets event-stream interessierte sich nicht mehr für das Projekt und übergab die Entwicklung an eine unbekannte andere Person. Daraufhin wurde über das Modul Schadsoftware verteilt, die offenbar auf Bitcoin-Wallets abzielt.

Mit einem Fonds über 200.000 US-Dollar will das Chrome-Team von Google die Entwicklung von Javascript-Frameworks sponsern. Der Fokus soll dabei auf einer verbesserten Leistung der Frameworks liegen.

Alexander U. hat das Forum betrieben, über das die Waffe für den Amoklauf in München verkauft wurde. BKA-Ermittler schildern vor Gericht, wie sie ihm auf die Schliche kamen.
Von Hakan Tanriverdi

Der Webseiten-Statistikanbieter Statcounter wurde gehackt. Dabei fügten die Angreifer Javascript-Code ein, der auf Kunden der Bitcoin-Plattform Gate.io abzielte.

Um Nutzer vor eventuellen Angriffen zu schützen, führt Google einen Prüfalgorithmus ein, der vor der Anmeldung mit dem Konto ausgeführt wird. Das erfordert jedoch, dass Kunden dazu Javascript einschalten.

Webassembly ist eine der vielversprechendsten Webtechnologien, doch noch fehlen wichtige Features. Die Mozilla-Entwicklerin Lin Clark erklärt, welche Entwicklungen bevorstehen.
Ein Bericht von Moritz Stückler

Der neue Botschutz Recaptcha v3 blendet keine Bildabfragen mehr ein. Stattdessen läuft das auf Javascript basierende Tool im Hintergrund und analysiert Nutzerverhalten - es ist keine Interaktion mehr notwendig. Allerdings könnte ein so verstecktes System auf Misstrauen stoßen.

Gehackte Proxy-Server der Firma Mikrotik, die von Internet-Zugangsprovidern genutzt werden, fügen Kryptominer-Code in unverschlüsselte HTTP-Anfragen ein. Die entsprechende Lücke wurde bereits im März behoben, doch weiterhin sind hunderte Proxies aktiv.

Bisher repräsentieren sowohl die Node.js-Foundation wie auch die JS-Foundation jeweils einen eigenen Teil der Javascript-Community und ihrer Projekte. Die Organisationen planen jedoch, die Community künftig zusammenzuführen.

Die aktuelle Version 11 der Java-Plattform erhält Langzeitunterstützung, jedoch anders als bisher, da Oracle sein Supportmodell ändert. Zu den Neuerungen gehören bessere Kryptofunktionen, eine neue HTTP-Client-API sowie experimentelle Garbage Collector. Alte Java-Bestandteile fliegen außerdem raus.

Python, C, C++, Javascript, HTML, CSS, Java, Ruby oder PHP? Einsteiger tun sich oft schwer mit der Entscheidung, welche Programmiersprache sie als Erstes lernen sollen. Der Weg zur Antwort führt über jede Menge weitere Fragen.
Von André Schade

Eine Runderneuerung des Tor Browsers macht eine Sicherheitslücke wertlos. Der Sicherheitslücken-Händler Zerodium veröffentlicht sie nun auf Twitter - nachdem er Monate von ihr wusste.

Eine Sicherheitslücke im Anwaltspostfach BeA konnte nicht behoben werden, da es sich um ein grundlegendes Designproblem handelt. Die Bundesrechtsanwaltskammer hat das gelöst, indem sie das Problem wegdefinierte - mit einer abenteuerlichen Begründung: Der Schutz der Nachrichten ist nicht so wichtig, nur die Anhänge müssen geschützt sein.

Drei Jahre nach Version 6 ist nun Babel 7 erschienen. Der Javascript-Compiler verwandelt modernes Javascript in altes, damit das auch für betagte Browser ausführbar wird. Das Team hat das Projekt aufgeräumt, Support für alte Abhängigkeiten entfernt und unterstützt neue Syntax.

Die aktuelle Version 1.26 der Programmiersprache Rust liefere die meisten neuen Funktionen seit Version 1.0, sagt das Team. Dazu gehören Verbesserungen bei Traits, dem Match-Operator, Iteratoren und der Main-Methode.

Build 2018 Microsoft gibt Excel-Entwicklern neue Werkzeuge an die Hand, um die Software noch umfangreicher zu machen. Javascript-Funktionen können Informationen von Webseiten integrieren, maschinelles Lernen kann aus Tabellen Schlüsse ziehen. Auch die Visualisierung wird durch neue Diagramme möglich.

Babylon.js bekommt mehr WebGL-Funktionen und Klassen, die in Javascript als modern gelten. Microsoft arbeitet auch an besseren Animationen von 3D-Objekten. Das Ziel soll sein, dass das System auf möglichst vielen Geräten flüssig läuft.

In Rust geschriebene Software lässt sich nach Webassembly kompilieren und so im Browser nutzen. Mozilla erstellt hierfür ein einfaches Packwerkzeug, das das Paket zur Weiternutzung in der NPM-Registry veröffentlicht.

Auch auf Googles Videoplattform sind nun offenbar Werbeanzeigen mit versteckten Mining-Skripten aufgetaucht. Auf Youtube lohnt sich der Missbrauch der Rechenleistung von Nutzern besonders.

Die aktuelle Version 64 von Googles Browser Chrome stärkt den Schutz gegen den Spectre-Angriff, setzt erste Teile des integrierten Werbeblockers um und beginnt bestimmte Autoplay-Inhalte zu blockieren.

Für die aktuelle Version 58 von Firefox hat Hersteller Mozilla weitere Grundlagen verbessert, um den Browser zu beschleunigen. Außerdem ändert das Team die Profilstruktur und weist auf Probleme mit altem Intel-Mikrocode hin.

Neben den Kernelentwicklern haben auch die großen Browserhersteller Notfallpatches bereitgestellt, die auf Spectre basierende Javascript-Angriffe verhindern sollen. Nutzer sollten ihre Browser aktualisieren.

Das Update 52.5.2 behebt einen Fehler, der zum Absturz des E-Mail-Programms führen kann. Windows-Nutzer sollten sich das Update installieren. Auch mehrere Sicherheitslücken im RSS Feed werden behoben - das gilt für alle Betriebssysteme.

Unternehmen, die ein Chat-Widget zum Kundensupport nutzen, haben in den vergangenen Tagen heimlich bei den Kunden die Kryptowährung Monero geschürft. Betroffen waren auch der Speicherhersteller Crucial und der Sportanbieter Everlast.

Wo kann eine Webseite optimiert werden? Sonar scannt Domains auf eventuelle Fehler oder Designschwächen im Quellcode und bietet Lösungsvorschläge an. Das Tool kann kostenlos im Browser oder in der Kommandozeile verwendet werden.

Die Macher von Firebug verabschieden sich von ihrem Tool. Mit Firefox 57 endet die Unterstützung für alte Addons, deswegen wird das Werkzeug nicht mehr weiterentwickelt. Die Funktionen sind aber heute in den Developer-Tools bereits enthalten.

Immer mehr Webseiten nutzen heimliches Kryptomining. Neben dem Plugin von Coinhive gibt es jetzt weitere Anbieter. Bekannte Webseiten aus den Alexa Top 100.000 sollen gemeinsam auf eine Reichweite von einer halben Milliarde Nutzer kommen.

Drei Klassen und eine Webcam: Teachable Machine ist ein kleines Programm von Google, mit dem Nutzer das Konzept von maschinellem Lernen verstehen sollen. Es nutzt dazu die quelloffene Bibliothek Deeplearn.js. Das Besondere: Es funktioniert lokal im Browser statt über die Cloud.

Die Community beschwert sich, Facebook bleibt zunächst stur und verzichtet letztlich doch noch auf die eigene Patent-Lizenz für das Javascript-Framework React. Das macht aber nichts besser, sondern eher schlechter für alle.
Eine Analyse von Sebastian Grüner

Domains von Webservices, die aufgegeben wurden, können ein Sicherheitsrisiko für Webseiten darstellen. Mittels einer nicht mehr genutzten Azure-Subdomain hätte der Autor des Artikels die Kontrolle über zahlreiche Webseiten erlangen können.
Von Hanno Böck

Das Machine-Learning-Team von Google will diesen Bereich der Informatik einfacher zugänglich machen und hat Deeplearn.js erstellt. Die Javascript-Bibliothek läuft komplett im Browser und benötigt kein Backend.

Der VPN-Provider Hotspot soll seine Nutzer durch Javascript-Elemente und Werbung ausspionieren - obwohl er genau das Gegenteil behauptet. Das wirft eine US-Bürgerrechtsorganisation dem Unternehmen vor und hat Beschwerde bei der FTC eingereicht.

An vier verschiedenen Punkten soll ein Angreifer immer noch Schadcode über Ciscos Konferenzsoftware Webex ausführen können. Google-Mitarbeiter Travis Ormandy spricht von mehr als 20 Millionen betroffenen Nutzern - Cisco arbeitet an einer Lösung.

Eine Schwachstelle in FritzOS ermöglicht es Angreifern, über in Webseiten eingebettetes Javascript sicherheitsrelevante Informationen über das lokale Netzwerk abzugreifen. AVM hat ein Update angekündigt, stuft die Gefahr aber als gering ein.

Die aktuelle Version 8 von Node.js enthält die neuen Compiler der Javascript-Engine V8. Für Experimentierfreudige gibt es eine neue API für native Addons und Node 8 wird bis Ende 2019 unterstützt. Dabei soll es auch V8-Updates geben.

Die Javascript-Engine V8 nutzt künftig standardmäßig den neuen Interpreter Ignition und den neuen Compiler Turbofan. Profitieren sollen davon alle Nutzer des Chrome-Browsers und von Node.js.

Googles Project Zero hat eine schwerwiegende Sicherheitslücke in der Anti-Viren-Engine von Microsoft entdeckt. Schuld daran ist die simulierte Ausführung von Javascript-Code ohne Sandbox.
Von Hanno Böck

Ein Computerspiel als Informatiklehrer: Microsoft will sein Klötzchenspiel Minecraft noch stärker in Schulen etablieren und hat ein Addon dafür vorgestellt. Damit lernen Schüler das Programmieren - Anfänger per Drag-and-Drop, Fortgeschrittene per Javascript.

Golem.de-Wochenrückblick Elektroautos fehlt der Strom, neuen Top-Smartphones die Besonderheit und der Bundesregierung fehlen die Beispiele. Sieben Tage und viele Meldungen im Überblick.

Interessierte wissen es schon länger, nun stellt Facebook es auch auf seiner Entwicklermesse F8 vor: Die Javascript-Bibliothek React wird intern komplett umgebaut. Das Rendering soll künftig inkrementell durchgeführt werden, was Apps beschleunigt.