Javascript

Der Chrome-Browser könnte bald Javascript-Funktionen im Hintergrund schlafen legen. Das soll die Akkulaufzeit von Laptops verbessern.

Kunden- und Kreditkartendaten eines Woocommerce-Onlineshops wurden über Bilder ausgelesen.

Die Entwickler des Javascript-Servers haben außerdem die Streams-APIs geändert und das Diagnose Reporting stabilisiert.

Nach einem turbulenten Jahr wechselt die Javascript-Registry NPM zum Codehoster Github. Der Dienst soll kostenfrei bleiben und integriert werden.

Der Antivirensoftware-Hersteller Avast reagiert auf eine schwerwiegende Sicherheitslücke, die von Googles Project Zero entdeckt wurde.

Ein Hacker überlistet die Domain-Validierung von Google dank einer kaputten Regex. Die stammt offenbar aus einem IETF-Standard.

Eine Sicherheitslücke in den Paketmanangern für Node.js, NPM und Yarn, ermöglicht das Unterschieben und Manipulieren von Binärdateien auf dem Client-System. Updates stehen bereit.

Die Entwickler von Node.js-Paketen können in deren Metadaten nun URLs zur Finanzierung ihrer Arbeit hinterlegen und der NPM-Client wertet diese aus. Im Sommer hatte ein Entwickler Werbung in sein Paket integriert.

Nach nicht einmal einem Jahr Dienstzeit ist der Chef von NPM zurückgetreten. Das Unternehmen mit dem gleichnamigen Javascript-Paketmanager hat in diesem Jahr einige Mitarbeiter verloren, Arbeitnehmerklagen verhandeln müssen und eine aussichtsreiche Konkurrenz bekommen.

"Die Sponsorenschaft finanziert direkt unsere Wartungsarbeitszeit": Die Entwickler des Tools Standard führen mit der Version "standard 14" Werbebanner ein. Einige Nutzer verstehen die Entscheidung, viele andere halten die Idee für falsch.

Die kommende Version 6 des UI-Frameworks Qt soll mehr Evolution als Revolution werden. Wichtige Baustellen werden eine Runderneuerung von QML und der Fokus auf neue Grafikschnittstellen sein.

Die Kollaborationssoftware Owncloud bekommt unter dem Projektnamen Infinite Scale eine komplett neue Architektur. Statt auf PHP setzen die Entwickler nun auf Go. Auch das Frontend haben die Entwickler von Grund auf neu gestaltet und teilweise die Lizenz gewechselt.

Um das Framework React Native zu beschleunigen, hat Facebook die Javascript-Engine Hermes erstellt. Damit sollen Android-Apps, die Javascript nutzen, deutlich schneller laufen als bisher.

Basierend auf Google Home und der Sprache Javascript bietet Google ein Software Development Kit für das heimische Smart Home in der Preview an. Das Local Home SDK funktioniert nach der Einrichtung auch ohne Cloud-Anbindung. Diese kann aber als Rückfallebene einspringen.

Firefox-Hersteller Mozilla hat binnen weniger Tage eine zweite schwere Sicherheitslücke behoben. Die Lücken sind offenbar beide für einen Phishing-Angriff auf Mitarbeiter einer Kryptobörse genutzt worden.

Firefox-Hersteller Mozilla hat eine kritische Sicherheitslücke in seinem Browser geschlossen, die wohl aktiv ausgenutzt wird. Updates stehen bereit und werden von Mozilla bereits verteilt.

Einem Medienbericht zufolge wird es wohl keine Einigung im Streit von NPM mit entlassenen Mitarbeitern geben. Zusätzlich dazu häufen sich Beschwerden und Kritik an der Unternehmensführung und die Konkurrenz für das Unternehmen wird größer.

Die aktuelle Version 75 des Chrome-Browsers bringt einen Lesemodus ähnlich dem im Firefox. Web-Apps können nun Dateien teilen, die Canvas-Synchronisation kann teilweise ausgesetzt werden, das Javascript-Parsing ist beschleunigt worden und die Mobil-Version bekommt einen besseren Umgang mit Passwörtern.

In einer Kooperation arbeiten Mozilla, Cloudflare, Facebook und Bloomberg an dem Projekt BinaryAST. Damit soll Javascript schon in einer aufbereiteten Form zum Browser gelangen und so schneller von der Engine ausgeführt werden können.

Build 2019 Mit React Native können Entwickler Javascript-Apps für Windows erstellen. Microsoft überarbeitet seinen Port nun aber grundlegend und wechselt von C# auf C++, um stärker mit dem Original von Facebook interagieren zu können.

Nach einem Managementwechsel beim Unternehmen NPM und einigen Kündigungen sollen sich mehrere Konkurrenz-Produkte zur NPM-Registry in Entwicklung befinden. Das könnte der Open-Source-Community eine freie alternative Quelle für Javascript-Pakete ermöglichen.

Die aktuelle Version 12 von Node.js bekommt Langzeitunterstützung und unterstützt erstmals TLS 1.3. Das Team hat außerdem die Heap-Zuweisung verändert, die Startzeiten beschleunigt und einen neuen HTTP-Parser eingepflegt.

Aufgrund subtiler Unterschiede beim Parsen von HTML-Code gelang es einem Sicherheitsforscher, gängige Filtermechanismen zu umgehen. Betroffen waren zwei Javascript-Bibliotheken und die Google-Suche.

Eigentlich soll Webassembly eine einheitliche Laufzeitumgebung für das Web bieten. Um auch außerhalb des Browsers zu laufen, soll nun eine standardisierte Systemschnittstelle entstehen. Helfen könnte das Techniken wie Node, die native Software mit Webtechniken verbinden.

Statt jeweils eigene Teile der Javascript-Community und ihrer Projekte zu repräsentieren, schließen sich die Node.js- und JS-Foundation zur OpenJS Foundation zusammen. Die Organisation soll über ihre eigenen Projekte hinaus wirken und das gesamte Web-Ökosystem unterstützen.

Google hat in Chrome eine "echte Zeroday-Chain", also eine bislang unbekannte Sicherheitslücke gefunden. Nutzer des Browsers und seiner Derivate sollten schnellstmöglich ein Update aufspielen.

Das Electron-Projekt hat erstmals einen Release-Kalender veröffentlicht, um mehr Planungssicherheit für künftige Versionen zu schaffen. Das Projekt will sich noch stärker an den Veröffentlichungen von Chromium orientieren.

Mit einer bösartigen E-Mail lässt sich der Exchange Server von Microsoft komplett übernehmen, Windows-Systeme können ebenso über ein DHCP-Paket angegriffen und übernommen werden. Diese und weitere Lücken hat Microsoft mit aktuellen Updates geschlossen.

Die aktuelle Version 4.0 des Javascript-Frameworks Electron bringt Updates für seine Grundlagen Chromium, V8 und Nodejs. Darüber hinaus kann das Remote-Modul zur Interprozesskommunikation aus Sicherheitsgründen deaktiviert werden.

Microsoft will seinen Browser Edge generalüberholen und mit Chromium als Basis neu entwickeln. EdgeHTML als Microsofts proprietärer HTML-Renderer wird damit abgelöst.

Ein Entwickler des Javascript-Pakets event-stream interessierte sich nicht mehr für das Projekt und übergab die Entwicklung an eine unbekannte andere Person. Daraufhin wurde über das Modul Schadsoftware verteilt, die offenbar auf Bitcoin-Wallets abzielt.

Mit einem Fonds über 200.000 US-Dollar will das Chrome-Team von Google die Entwicklung von Javascript-Frameworks sponsern. Der Fokus soll dabei auf einer verbesserten Leistung der Frameworks liegen.

Der Webseiten-Statistikanbieter Statcounter wurde gehackt. Dabei fügten die Angreifer Javascript-Code ein, der auf Kunden der Bitcoin-Plattform Gate.io abzielte.

Um Nutzer vor eventuellen Angriffen zu schützen, führt Google einen Prüfalgorithmus ein, der vor der Anmeldung mit dem Konto ausgeführt wird. Das erfordert jedoch, dass Kunden dazu Javascript einschalten.

Der neue Botschutz Recaptcha v3 blendet keine Bildabfragen mehr ein. Stattdessen läuft das auf Javascript basierende Tool im Hintergrund und analysiert Nutzerverhalten - es ist keine Interaktion mehr notwendig. Allerdings könnte ein so verstecktes System auf Misstrauen stoßen.

Gehackte Proxy-Server der Firma Mikrotik, die von Internet-Zugangsprovidern genutzt werden, fügen Kryptominer-Code in unverschlüsselte HTTP-Anfragen ein. Die entsprechende Lücke wurde bereits im März behoben, doch weiterhin sind hunderte Proxies aktiv.

Bisher repräsentieren sowohl die Node.js-Foundation wie auch die JS-Foundation jeweils einen eigenen Teil der Javascript-Community und ihrer Projekte. Die Organisationen planen jedoch, die Community künftig zusammenzuführen.

Die aktuelle Version 11 der Java-Plattform erhält Langzeitunterstützung, jedoch anders als bisher, da Oracle sein Supportmodell ändert. Zu den Neuerungen gehören bessere Kryptofunktionen, eine neue HTTP-Client-API sowie experimentelle Garbage Collector. Alte Java-Bestandteile fliegen außerdem raus.

Eine Runderneuerung des Tor Browsers macht eine Sicherheitslücke wertlos. Der Sicherheitslücken-Händler Zerodium veröffentlicht sie nun auf Twitter - nachdem er Monate von ihr wusste.