Archive for the Category »Javascript «

Chrome blockiert Code von Drittanbietern

Zwei von drei Chrome-Nutzern verwenden unter Windows Software, die mit dem Browser interagiert und sich dabei in dessen Prozesse einklinkt, hat Google festgestellt.

Als bestes Beispiel dafür nennt der Chrome-Hersteller Virenschutzprogramme, die ihren Code direkt in den Chrome-Browser „injizieren“, um die Nutzer dadurch besser vor Malware zu schützen.

Allerdings verschärfen genau solche Verfahren ein Problem verschärft: Durch den injizierten Fremdcode steigt nämlich die Absturzrate des „Wirts-Browsers“ Chrome um satte 15 Prozent, schreibt Chris Hamilton vom Chrome-Stabilitätsteam. In Zukunft sieht er Chrome-Erweiterungen und das Native-Messaging-API als modernere und absturzsicherere Alternativen zur Code-Injektion.

Dreistufige Absturzvermeidung

Um die hohe Absturzrate des aktuellen Platzhirschen unter den Browsern auf dem Markt merklich zu senken, will Chrome ab Juli 2018 Drittanbieter daran hindern, ihren Code in den Chrome-Browser unter Windows zu einzufügen.

Der Plan ist dreistufig: Ab April zeigt Chrome 66 nach einem solchen Absturz nur einen Warnhinweis an, der dem Nutzer erläutert, dass der Code eines Drittanbieters Ursaches des Crashs war. Außerdem empfiehlt der Browser dann, die betroffene Software upüzudaten– oder aber zu deinstallieren.

Ab Juli wird es dann wirklich ernst, denn ab dann hindert Chrome 68 die Programme Dritter daran, Code in einen Chrome-Prozess zu injizieren. Falls diese Blockierung dann aber den Start des Browsers verhindern sollte, wird Chrome das Einschleusen des Codes dann doch noch erlauben.

Auch in diesem Fall bekommt der Nutzer wieder einen Warnhinweis. In der dritten Stufe wird Chrome 72 ab Januar 2019 dann solchen externen Code komplett blockieren. Es soll dabei jedoch einige Ausnahmen geben. Dazu gehören beispielsweise von Microsoft-signierter Code, Software für barrierefreies Arbeiten und Eingabeprogramme (IME), die davon nicht betroffen sind.

Chat-Widget mit Nebentätigkeit

Viele Unternehmen setzen zum Online-Kundensupport Chat-Widgets ein, über die sie den Kontakt mit ihren Kunden auf der Webseite pflegen können. Das bekannte Tool Live Help Now ist nun bei einer ungenehmigten Nebentätigkeit erwischt worden:

In das Programm war das Krypto-Mining-Script Coinhive integriert, das im Betrieb die Leistung der beteiligten Rechner missbrauchte um darauf Kryptogeld zu schürfen. Dieses Chat-Tool wird von etwa 1.500 Websites benutzt. Sollten Sie als Webworker das Widget ebenfalls benutzt haben, wäre eine Prüfung der entsprechenden Internetpräsenzen dringend anzuraten.

Es ist noch nicht ganz klar, ob die Entwickler des Dienstes das Skript vielleicht vorsätzlich eingebaut haben oder ob sie selbst Opfer eines Angriffes von Dritten geworden sind. Sie waren wegen Thanksgiving (Feiertag) und Black Friday in den USA nicht auf Anhieb zu erreichen.

Nach vorliegenden Screenshots steigt die CPU-Auslastung nach Einbau des Skriptes mit  dem Mining-Code stark an. Die ca. 1.500 Webseiten, die das Widget aktuell nutzen, trugen damit unwissentlich zu einer deutlich höheren Leistungsaufnahme der PCs ihrer Kunden bei.

Bei einem aktuellen Test vor 2 Tagen konnte Golem den Coinhive-Code in dem Widget nicht mehr feststellen.

Swift: Eine Schwalbe macht noch keinen Sommer


Ihren Hype hat die Apple-Programmiersprache Swift offenbar hinter sich, wie aus der Oktober-Ausgabe des monatlichen Sprachen-Index von TIOBE hervorgeht. Obwohl sich Swift Anfang des Jahres noch in den Top-10 platzieren konnte, rutschte die Sprache jetzt auf Rang 16 ab und liegt damit nur noch einen Platz über ihrem Vorgänger Objective-C.
TIOBE erklärt das Abrutschen dadurch, dass Entwickler bis vor kurzem Android-Apps in Java und iOS-Apps in Swift/Objective-C programmierten, was natürlich entsprechend aufwändig ist, weil sie zwei verschiedene Codebasen verwalten mussten.
Mit zunehmender Popularität von Xamarin, Apache Cordova und Ionic gibt es inzwischen aber Alternativen, die es erlauben, hybride Mobile-Apps zu entwickeln. Das erklärt sowohl den Popularitätsverlust von Swift als auch die Einbußen von Java im aktuellen Index.
Auch die Programmiersprache Go, die noch 2016 von TIOBE noch zur Sprache des Jahres 2016 gekürt wurde, ist inzwischen auf einem ähnlichen Sinkflug wie Swift. Dafür bietet TIOBE bisher aber keine plausible Erklärung an.

Kostenlose Google-IDE Android Studio für Apps

Zum Schreiben der Apps genannten Programme für Android-Geräte stehen den Entwicklern viele unterschiedliche Werkzeuge zur Verfügung. Schon seit 2013 bietet Google auch eine eigene Umgebung zu diesem Zweck:Die IDE Android Studio.

Nach einem Testbericht in der Zeitschrift iX fallen im praktischen Einsatz keine ausgesprochen drastischen Schwächen des kostenlosen Entwicklungswerkzeugs auf.

Ganz im Gegenteil: Mit einer nachvollziehbaren Aufteilung der grafischen Oberfläche, vielen Vorlagen und Beispielen, einem hilfreichen Assistenten und auch Übersetzungsfunktionen können angehende Entwickler recht schnell ihre erste Anwendung für Smartphones und Tablets unter Android erstellen.

Auch Tools für Profis

Für erfahrenere Programmierer erlaubt das direkte Debugging im Emulator, Fehler einzugrenzen und zu beseitigen. Dabei können sie gleichzeitig die Auslastung des Prozessors, des Grafikchips oder des Arbeitsspeichers beobachten – hilfreich zum Erstellen von Apps ohne Ruckeln oder Wartezeiten.

Wenn die Anwendung dann fertig ist, könnte eine wichtige Funktion die IDE noch deutlich verbessern: Die erstellte App können Entwickler nämlich bisher nicht ohne eine zusätzliche Erweiterung direkt aus der IDE heraus in Googles Play Store veröffentlichen – hier könnte der Hersteller noch nachlegen!.

Die kommende Version 3.0 (getestet wurde Version 2.3.3) hat sich Google einige weitere praktische Neuerungen ausgedacht, wobei die direkte Unterstützung der Sprache Kotlin wohl das Highlight ist. Eine detaillierte Einführung in die Stärken und Schwächen von Android Studio finden Interessierte in dem iX-Artikel.

Google gibt Go 1.9 frei

Soeben hat Google die Version 1.9 seiner Programmiersprache Go freigegeben.

Der Schwerpunkt der Neuerungen liegt wohl in der Verbesserung von Laufzeitumgebung und Tools, das Update bringt aber auch Neuerungen in der Standardbibliothek und der Sprache selbst.

Die wichtigste Neuerung sind wohl die Type Aliases, die besonders für Refactoring-Aufgaben hilfreich sein können. Dadurch wird es möglich, Aliase für Typen zu vergeben, wie beispielsweise byte als anderen Namen für uint8.

Neues bei den Tools

Deutlich mehr Änderungen gibt es bei den Tools zur Sprache. Der Go-Compiler unterstützt ab Go 1.9 das parallele Kompilieren der Funktionen eines Paketes. Dabei werden mehrere Rechenkerne gleichzeitig benutzt, was man schon bisher für die parallele Kompilierung unterschiedlicher Pakete nutzen kann. Die parallele Kompilierung ist als Voreinstellung aktiviert, kann aber manuell deaktiviert werden.

Auf vielfachen Wunsch gibt es beim Vendor Matching eine Änderung: Mit dem Befehl ./… wird es mit Tools, die Paketnamen akzeptieren, nicht mehr erlaubt sein, Pakete innerhalb von vendor-Verzeichnissen aufeinander abzustimmen. Die Funktion wird in Zukunft über den Befehl ./vendor/… verfügbar sein.

Nutzer von JSON können jetzt im ENV-Bereich das neue Flag go env -json nutzen, das einen JSON-Output ermöglicht. Dieses Flag ersetzt das betriebssystemspezifische Output-Format.

Auch das Kommando go test hat jetzt ein neues Flag namens -list. Das nutzt einen regulären Ausdruck als Parameter und gibt in stdout die Namen sämtlicher Tests, Benchmarks und Beispiele aus, ohne sie aber auszuführen.

Alle verfügbaren Informationen zu den neuen Features gibt es im entsprechenden Eintrag zur neuen Sprachversion in der Dokumentation der Programmiersprache Go.

Die Performance von Firefox 55

Firefox-Entwickler Dietrich Alaya berichtet in seinem Blog von der angeblich drastischen Performanceverbesserung des 55er Feuerfuchses. Mit viel Aufwand lädt der Mann ein Profil von ca. 1.700 Internetseiten – allerdings ohne mit dem Internet verbunden zu sein – und freut sich dann, dass das relativ wenig Speicher verbraucht…

Dieser Test zeigt zwar bei den unterschiedlichsten Firefox-Versionen gemäß der Grafik eine Super-Performance an, aber alle üblichen Tests wie beispielsweise Speedometer, Motion Mark oder ARES 6 zeigen nach einem Bericht von ZDNet, dass der Mozilla-Browser nicht wirklich nennenswert an Performance gewonnen hat und Firefox schneidet dabei auch im Vergleich mit Googles Chrome deutlich schwächer ab.

Es bleibt also für Mozilla noch einiges zu tun.

Erstes Update für Firefox Klar

Seit einem Monat ist die Android-Version des Privatsphäre-Browsers Firefox Focus unter dem Namen Firefox Klar veröffentlicht.

Firefox Klar kann man kostenlos bei Google Play (Android) und bei iTunes (iOS) herunterladen. Für die nächsten Monate hat Mozilla weitere “tolle Updates” angekündigt.

Nachdem im letzten Monat schon eine Million Nutzer den Browser heruntergeladen haben, gibt Mozilla jetzt ein Update mit drei von den Usern gewünschten neuen Funktionen heraus.

Nicht für alle, aber für “die meisten Video-Seiten” bietet Firefox Klar einen Vollbild-Videomodus – dummerweise funktioniert das aber ausgerechnet beim weltweit meistgenutzten Video-Portal YouTube noch nicht.

Ein Fehler bei Google stört die Funktion. Sie soll aber nachgebessert werden, sobald Google die nötige Korrektur realisiert hat, verspricht der Hersteller.

Außerdem kann der Browser mit dem Update “alle Arten von Dateien herunterladen”. Die dritte Neuerung sind die jetzt mit einem Shortcut zu Firefox Klar ausgestatteten Benachrichtigungen. Diese kleinen Hinweise erinnern den Benutzer daran, seinen Suchverlauf zu löschen.

Firefox-Browser trackt seine User mit Google Analytics

Ausgerechnet Mozilla mit seinen erklärten hohen Ansprüchen zum Datenschutz seiner User schlampte laut dem Mozilla-Manifest.

In diesem Paper heißt es in Punkt 4: „Die Sicherheit und der Schutz der Daten einer Person im Internet sind von grundlegender Bedeutung und dürfen nicht als optional betrachtet werden.“

Dummerweise nutzte der Mozilla-Browser Firefox aber offenbar Google Analytics, und zwar ohne seine Nutzer darüber zu informieren.

Das brachte kürzlich unter anderem der Nutzer Nicolas Petton per Twitter ans Licht, berichtet unter anderem Ghacks. Zum Tracking mit Analytics kommt es allerdings nur dann, wenn in den Add-ons des Browsers die Registerkarte Add-ons entdecken angeklickt wird.

Mozilla gibt den Fehler zu und verspricht Besserung

Inzwischen bestätigte Mozilla-Mitarbeiter Matthew Riley MacPherson, dass die Add-on-Verwaltung in der Tat einen iFrame mit Inhalten lade, die auf einer Mozilla-Internetpräsenz gehostet seien, in welcher das Google-Analytics-Skript enthalten sei.

Gemäß einer speziellen Vereinbarung mit Google sollen diese Daten allerdings nur anonymisiert an Mozilla weitergegeben worden. Den Nutzern geht es aber weniger um die unberechtigte Nutzung dieser Daten, sondern mehr um den Bruch des Versprechens von Mozilla auf Datensicherheit.

Problem zum Wochenende beseitigt

Firefox bietet zwar eine Option, die Google Analytics deaktivieren soll – den Tracking-Schutz Do Not Track. MacPherson gibt aber in einem Beitrag auf Github zu, dass die Add-ons-Website bisher die Do-Not-Track-Anforderung des Browsers schlichtweg ignoriert habe. „Wir haben heute einen Hotfix für die Add-ons-Website ausgeliefert, der Do Not Track respektiert“, ergänzte Mozilla-Mitarbeiter MacPherson (GitHub-Nick „tofumatt“).

JavaScript ist weiter Nummer Eins bei RedMonk

Weiterhin stehen JavaScript und Java an der Spitze des Programmiersprachen-Rankings der Analysten von RedMonk. Dabei greifen die „Roten Mönche“ zur Bewertung von Verbreitung und Nutzung der Programmiersprache auf Daten der großen Entwickler-Communities StackOverflow und GitHub zurück.

Während die Auswertung der Daten von StackOverflow für die aktuellste Analyse auf unveränderte Art und Weise durchgeführt werden konnte, zwang GitHub dem Report eine deutliche Änderung auf. Bisher wurde dazu die Anzahl der in einer bestimmten Sprache gehaltener Repositories ausgewerten, und bei der Analyse des zweiten Quartals 2017 erfolgte die Analyse jetzt stattdessen anhand der Pull-Requests. Allerdings  korrelieren die Daten laut RedMonk recht gut, so daß eine gewisse Vergleichbarkeit erhalten bleibt.

Hier die Top Twenty der aktuellsten Ausgabe des RedMonk-Rankings:

Oracles Java-9-Modulsystem ohne Mehrheit

Der aktuelle Entwicklungsstand des Java Platform Module System (JPMS) hat in der Abstimmung beim Public Review Ballot  keine Mehrheit bekommen. Oracle, das die Entwicklung des für Java 9 geplanten Modulsytems für die Programmierplattform federführend ist, hat jetzt noch einen Monat Zeit, den zuständigen Java Specification Request JSR 376 zu überarbeiten. Dann wird das Expertengremium innerhalb des Java Community Process (JCP) noch einmal über das Modularisierungsprojekt Jigsaw abstimmen.

Sollte Jigsaw wieder nicht die erforderliche Zweidrittelmehrheit bekommen, muss es nach den Regeln des JCP gestoppt werden, was dann auch das Scheitern des Projektes Jigsaw besiegeln würde.

Nur 10 der 23 Stimmberechtigten sprachen sich gestern für den Vorschlag von Oracle aus. Red Hat und IBM kritisierten, dass Jigsaw zwar erfolgreich bei der Modularisierung von Java selbst funktioniert habe, aber in “echten” Anwendungsszenarien weitgehend ungeprüft sei und viele existierende Java-Anwendungen unter Jigsaw nicht möglich seien oder erhebliche Architekturanpassungen erfordern würden.