Mozilla Firefox 开始支持 Web 组件技术；区块链平台 EOS 现史诗级漏洞，可完全控制虚拟货币交易

2018 年 5 月 30 日 技术最前线

（点击上方蓝字，快速关注我们）

转自：开源中国、solidot、cnBeta、腾讯科技等

0、Mozilla Firefox 开始支持 Web 组件技术

周一的时候，Mozilla 在新版 Firefox 中启用了“Web 组件”技术，旨在让网站的构建变得更加轻松。对于普通用户来说，这一技术层面的变化不会给我们造成任何影响。但是对于复杂网站的构建者，这项技术会让他们欣喜不已，因为它可以带来更少的问题、减少加载时间、以及更迅速的改进。需要指出的是，Google Chrome 团队早在五年前就开始推动“Web 组件”技术了。

一张火狐贴纸（Stephen Shankland/CNET）

在谷歌之后，苹果 Safari 在 2016 / 2017 年作出了跟进。至于微软，暂不清楚该公司给 Edge 浏览器定下了什么计划。

在此之前，浏览器制造商们只是惯例地接受了‘影式文档对象模型’（Shadow DOM）和‘自定义元素’（Custom Elememts）两种。

前者允许隔离代码块，从而不对网站程序的其它部分造成干扰；后者则允许程序员自定义创建其网站的基础。

Firefox 支持自定义元素，但周一的时候，影式文档对象模型支持也悄然落户测试通道的‘每夜构建版’（Nightly Build）。

对于简单的网站来说，动用 Web 组件显然属于‘杀鸡用牛刀’。但是那些先进而复杂的网站将最为受益，比如 YouTube 站点早就启用了对 Web Components 的支持。

如果你访问一个不支持 Web 组件特性的网站，那体验可能变慢或受限。

Mozilla 首席产品官 Mark Mayo 表示：“Web 开发变得超级困难，是时候让它变得更加简单，所以我们应该看到更好、更迅捷的网页”。

借助 Web 组件，开发人员可以创建网站的构建模块，然后广泛而重复地使用它们、且无需担心会导致阻止使用该网站的问题。

举例来说，网站通常配备了表示不同部分的选项卡，而 Web 组件让开发人员可以更轻松地创建这些页面、在另一个项目上重复使用它、甚至可以从其它已经搞清爽的网站上复制过来。

多年来一直致力于 Web 现代化的 Chrome 资深程序员 Alex Russell 表示：“对于拥有众多团队和复杂产品的大公司来说，这会是一项特别巨大的优势”。

Web 组件技术特别有助于大型预编写的‘框架软件库’，这些软件在当今的 Web 编程中被广泛使用，比如来自 Facebook 的 React、以及来自 Google 的 Angular 框架。

它们可以让网站的构建变得更加容易，但是一个框架的某些部分、不能与另一个框架的某些部分一起使用，导致 Web 编程遇到了‘孤岛’问题。

Mozilla 的 Mayo 也认为，Web 组件技术是一项重大的进步：“你无法一下子把这三方面都提升得很好，但它让 Web 有了更加安全、迅捷、高效的基础开发模式”。

1、区块链平台 EOS 现史诗级漏洞，可完全控制虚拟货币交易

5 月 29 日，据 360 安全卫士官方发布，360 Vulcan（伏尔甘）团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证，其中部分漏洞可以在 EOS 节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管 EOS 上运行的所有节点。由于已经完全控制了节点的系统，攻击者可以“为所欲为”，如窃取 EOS 超级节点的密钥，控制 EOS 网络的虚拟货币交易

在 29 日凌晨，360 已将该类漏洞上报 EOS 官方，并协助其修复安全隐患。对此，EOS 网络负责人表示，在修复这些问题之前，不会将 EOS 网络正式上线。查阅更多漏洞详情可点击：《区块链现史诗级漏洞，可完全控制虚拟货币交易》

2、Python 新功能：或将允许安全工具查看运行时操作

针对 Python 编程语言的新功能提议之一是希望为运行时添加“透明度”，并让安全和审计工具查看 Python 何时可能运行潜在危险的操作。

在当前的形式下，Python 不允许安全工具查看运行时正在执行的操作。除非这些操作之一产生可能引起警报的特定错误，否则安全和审计工具就会视而不见，攻击者可能正在使用 Python 在系统上执行恶意操作。

3、Gitlab 10.8.2 发布

Gitlab 10.8.2 发布了，此版本作了一些安全更新：

● 不提供之前的密码，防止更改用户密码。

● 修复 API 以从项目中删除部署密钥，而不是完全删除它

● 修正了导入任意项目属性的错误。

● ......（详情：https://github.com/gitlabhq/gitlabhq/blob/master/CHANGELOG.md）

4、基于 V8 的 JavaScript 运行时 Node.js 10.3.0 发布

Node.js 10.3.0 发布了，此次更新内容如下：

● deps:

更新 npm 到 6.1.0 (Rebecca Turner) #20190

● fs:

修复 pos > 4GB 的读取 (Mathias Buus) #21003

● ......（详情：https://github.com/nodejs/node/blob/master/doc/changelogs/CHANGELOG_V10.md#10.3.0）

5、多协议消息代理 RabbitMQ 3.6.16-rc.1 发布

RabbitMQ 3.6.16-rc.1 发布了，此次更新包含如下内容：

● 所有级别都实施了最高255的优先级上限

● 现在默认的 rabbit.channel_max 值大约是2K，比以前使用的65K更安全

● 默认的空闲 LDAP 连接超时现在是300秒而不是无穷大

● ......（详情：https://github.com/rabbitmq/rabbitmq-server/releases/tag/rabbitmq_v3_6_16_rc1）

6、Facebook 宣布开源 Katran，高性能第 4 层负载平衡器

Facebook 宣布开源 Katran，一个可扩展的网络负载平衡器，并概述了其工具来自动化网络工作流程。Facebook 建立了 Katran 开发一个转发平台，为后端服务器提供更多的灵活性，同时改善网络平衡。Katran 提供了一个软件解决方案，用于使用称为 eXpress Data Path 和 eBPF 虚拟机的最新内核工程开发进行负载平衡。 Katran 被部署在 Facebook 的网络中。（详情：https://code.facebook.com/posts/1906146702752923）

7、国家出资支持国产芯片研发，阿里、腾讯也开始行动

中国是全球最大的半导体消费国，但自主研发芯片只占 10%。“中兴”事件发生后，美国商务部禁止美国公司向中兴通讯供应零部件，导致中兴濒临倒闭，因为芯片是该公司制造业务的命脉。腾讯董事长马化腾认为，中兴通讯的濒死经历给中国敲响了一记警钟。中兴事件凸显出中国迫切需要发展自己的芯片制造行业。