Firefox 33 的 OpenH264

Slashdot 上看到的,Firefox 33 將當初 Cisco 所提供的 OpenH264 binary 給納進來了:「Firefox 33 Integrates Cisco's OpenH264」。

這樣一來,主流的瀏覽器都 (將會) 支援 H.264,可以參考「Can I use the MPEG-4/H.264 video format?」這邊的資料。

Mozilla 推出 mozjpeg 2.0

othree 前天已經寫過:「mozjpeg 2.0」,不過因為這類性的研究其實對全世界幫助頗大,所以就再提一次...

原文在「Mozilla Advances JPEG Encoding with mozjpeg 2.0」這邊,主要的成果:

With today’s release, mozjpeg 2.0 can reduce file sizes for both baseline and progressive JPEGs by 5% on average compared to those produced by libjpeg-turbo, the standard JPEG library upon which mozjpeg is based [1]. Many images will see further reductions.

文章內也出現了一些關鍵字:

We’ve added options to specifically tune for PSNR, PSNR-HVS-M, SSIM, and MS-SSIM metrics.

PSNR 是最常聽到的,其他幾個 keyword 剛好可以拿來當 entry point。在「Video quality」這邊的 See also 部份也有不少 keyword 可以查...

SIMD in JavaScript

SIMD in JavaScript」是 IntelMozilla 以及 Google 的計畫,希望在 EMCAScript 裡面增加規格,讓 EMCAScript 可以利用 CPU 的 SIMD 能力加速計算。

另外讓我想到的是 asm.js 也是用類似的技術想法 (做不同的方向),而且已經被 Firefox 22+ 以及 Google Chrome 28+ 支援了,效果相當好...

之後大家想要在 browser 上面做什麼事情,應該都會用類似的技術來做吧 (先檢測系統有沒有原生支援,沒有原生支援時用 plain javascript 模擬)。

Mozilla 推薦的 jsDelivr?

Mozilla 在「jsDelivr – The advanced open source public CDN」這篇文章裡面推薦 jsDelivr 這個服務:

Similar to Google Hosted Libraries, jsDelivr is an open source CDN that allows developers to host their own projects and anyone to link to our hosted files in their websites.

GitHub 當作 origin server,前端目前利用 CloudFlareMaxCDN,配合 Cedexis 的 openmix 服務,綜合這兩家 CDN 提供服務。

既有的 cdnjs.com 是由 CloudFlare 贊助的服務,那 jsDelivr 呢?

看了老半天得到這些訊息:jsDelivr 是由 @jimaek 所發起的服務,而 @jimaek 受雇於 MaxCDN。再加上 Mozilla 上的文章也是 @jimaek 發表,而且只發表過這一篇 (參考 Articles by Dmitriy Akulov),這邊的目的也太明顯...

應該可以每幾天就看一下下面的 comment,不知道什麼時候會引爆利益衝突的問題...

法國政府 ANSSI 偽造 Google 的 SSL 憑證被抓到...

GoogleGoogle Chrome 裡面有放一段 SSL 白名單 (transport_security_state_static.json),針對某些特定 domain 只允許特定的 CA 所發出來的 SSL 憑證,另外當發現異常時也會回報。

這個機制可以保證在白名單內的網域比較不容易被 CA 搞到。

前幾天 Google 偵測到法國政府 ANSSI 的一個中介憑證發行單位 (Intermediate certificate authorities) 發出 Google 所擁有網域的 SSL 憑證:「Further improving digital certificate security」。

這也是繼一年前 TURKTRUST 發出的 *.google.com 以來再次被這個機制抓到的案例:「這次 TURKTRUST 誤發 *.google.com SSL 憑證...」。

同時,這也是首次政府機關相關的 CA 搞 MITMA (Man-in-the-middle attack)。

ANSSI 官方的說法是「誤發」:「Revocation of an IGC/A branch」,不過可信度... XD

Google 後來在 12/12 再次更新公告文章,決定把 ANSSI 的 CA 信任範圍限縮到法國相關的網域,共 13 個。(*.fr*.gp*.gf、...)

另外可以參考 Mozilla 在收到 Google 通知後的公告:「Revoking Trust in one ANSSI Certificate」。

Google 對四個 Cipher 的分析... (以及 ChaCha20-Poly1305)

Google Online Security Blog 上對四種 cipher 的分析:「A roster of TLS cipher suites weaknesses」。

分別是 RC4、AES-CBC、AES-GCM、ChaCha20-Poly1305 四個 cipher。其中 RC4 與 AES-CBC 的問題都很多,而 AES-GCM 與 ChaCha20-Poly1305 是目前還沒有有效攻擊的 cipher。

前面三個都算熟悉,第四個是到是頗意外會出現... 不過 ChaCha20-Poly1305 不只一家打算跳下去實做了:

ChaCha20 與 Poly1305 都是 D. J. Bernstein (djb) 的作品,不知道 OpenSSL 會不會納進去...

在「ChaCha20 and Poly1305 for TLS」這邊有些為什麼有了 AES-GCM 後還要用 ChaCha20-Poly1305 的原因,主要是速度考量。兩者的速度差非常多...

Windows XP 上的瀏覽器...

微軟對 Windows XP 的支援到 2014 年 4 月 8 日:


出自「Support is ending for Windows XP - Microsoft Windows

Google Chrome 也宣佈只支援到 2015 年 4 月 (晚一年):「Extending Chrome support for XP users until April 2015」。

目前 Mozilla 還沒說什麼,不過應該也不會比 Google Chrome 長太久吧,畢竟 Windows 7 的市占率一直在提昇...

Mozilla 推出的定位服務...

Mozilla 推出定位服務:「Introducing the Mozilla Location Service」,也就是 Mozilla Location Service

行動裝置利用收到的 WiFi 以及基地台訊號資訊定位的服務。這也是 GPS 定位以外最常被用到的方法 (尤其是室內與地下)。

維基百科的「Cell ID」這個條目可以看到很多類似的服務,可以看到兩個比較大的:

不過 Mozilla 的名號使得 Mozilla 推出的這個服務成長的相當迅速:

可以看出來 Mozilla 一宣佈後才一個多禮拜就直接 double,不知道要到什麼程度才會趨緩...

目前雖然比起其他的服務還差了一大截,不過有希望在半年一年內成為權威的 Location Service...

Firefox 以 JavaScript 支援 Flash

標題不知道怎麼下比較好...

一樣是在 Zite 上看到的消息,Firefox 將引入內建的 Flash Player,是以 JavaScript 實做的:「HTML5 Flash Player (Shumway ) landed」。

專案在 GitHubmozilla/shumwayMozilla 的 Bugzilla 則是在「Bug 904346 - (shumway) [meta] add built-in SWF support to Firefox with Shumway」這裡。

純 JavaScript 的實做版本,有機會 porting 到 Chrome 上嗎?感覺安全性問題會少很多?(或是被發現安全性問題的時間?)

Firefox 加強對 Cookie 的管制...

Mozilla 官方的 Blog 上說明了 Firefox Nightly 引入了新的 Cookie 機制,預設將不允許以追蹤為目的的 cookie:「Firefox getting smarter about third-party cookies」。

最粗淺的想法是,如果 cookie 是沒有逛過的網站所發出來的就擋掉。所以:(出自 bug 818340 的 comment)

1) if an origin is first-party, it has ordinary cookie permissions
2) if an origin is third-party
	a) if the origin already has cookies, it has ordinary cookie permissions
	b) otherwise, the origin gets no cookie permissions

也就是在 Mozilla Bugzilla 裡的紀錄「Block cookies from sites I haven't visited」,開 bug 的作者是看到 Safari 處理 cookie 的方式而決定要在 Firefox 上也幹類似的事情 :p

所以 google-analytics.com doubleclick.net 的 cookie 永遠不會成立 (因為沒去過這個網站),但 facebook.com 的外掛還是會動... 其他的廣告商就類推... XD

這對於目前的廣告商會很傷 :p 透過 cookie 實作個人化廣告的功能會被廢掉一半的武功,得用其他方法惡搞 :o 可以預期在 Google Chrome 後面的 Google 一定超級不想實作這功能... XD

不過 Google Chrome 好像可以自己阻擋第三方 cookie,然後設定白名單,晚點來研究看看... (反正會保持登入的 social network 沒幾家)