Connection Allowlist is a new WICG browser security proposal currently in Chrome origin trial (Chrome 148–151) that lets a document declare an explicit allowlist of network destinations. Any outbound connection not on the list is blocked at the network layer before leaving the machine, covering fetch/XHR, WebSocket, WebTransport, DNS prefetch, navigations, redirects, and WebRTC. Unlike CSP's directive-based approach, Connection Allowlist applies a single unified boundary to all outbound connections. Redirects and WebRTC are blocked by default and require explicit opt-in. The mechanism complements CSP rather than replacing it: CSP controls content and execution, while Connection Allowlist limits where a page can send data. Violations are reported via the Reporting API using a Report-Only header for safe deployment. Report URI already collects these reports in beta.
Nguồn: https://scotthelme.ghost.io/connection-allowlist-a-network-firewall-built-into-the-browser. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
ECMA International vừa phê duyệt ECMAScript 2026 (ES2026) vào ngày 30/6, phiên bản thứ 17 …
Các nhà nghiên cứu phát hiện lỗ hổng tấn công "HalluSquatting" dựa trên kỹ thuật prompt injection, lợi dụng khả năng "ảo giác" (hallucination) của các mô hình ngôn ngữ lớn (LLMs) trong trợ lý lập trình AI để lây nhiễm hàng loạt máy thông qua các gói giả mạo. Chín công cụ lập trình AI phổ biến, bao gồm Cursor, Gemini CLI, GitHub Copilot, đang bị khai thác để xây dựng botnet quy mô lớn.
Lập trình viên nên đọc bài này để hiểu cách bảo mật mã nguồn của mình chống lại những cuộc tấn công mới như HalluSquatting, có thể lây lan rộng rãi qua các công cụ AI hỗ trợ lập trình mà họ đang sử dụng hàng ngày.
Nhà phát triển Mike Wing tạo ra trang web Steam Sales Simulator mô phỏng giao diện Steam, cho phép người dùng "mua" game và nhận thành tựu miễn phí. Trang web còn có chợ cộng đồng ảo để trao đổi vật phẩm bằng tiền ảo, nhưng game đã "mua" không thể chơi được.
Bài viết này hữu ích cho lập trình viên muốn khám phá cách xây dựng các giải pháp tương tác và gameplay giả lập, từ đó học cách thiết kế hệ thống giao diện người dùng và cơ chế kinh doanh trong game không cần chi phí thực tế.
Phiên bản pnpm 11.10 bổ sung tính năng _auth ràng buộc credential vào host URL, ngăn chặn việc chuyển hướng token tới registry độc hại. Bản cập nhật cũng khắc phục lỗi hồi quy từ tháng 6 liên quan đến biến môi trường trong registry private, đồng thời tăng cường bảo mật cho pnpm deploy và pnpm pack-app cùng nhiều cải tiến khác. Ngoài ra, người dùng có thể trải nghiệm pnpm v12 (viết bằng Rust) thông qua lệnh pnpm self-update next-12.
Lập trình viên nên đọc vì pnpm 11.10 nâng cấp bảo mật và hiệu suất bằng cách khóa xác thực đăng nhập registry theo URL, khắc phục lỗi bảo mật và hiệu suất trong các dự án sử dụng registry riêng, đồng thời giới thiệu tính năng chuẩn bị cho phiên bản Rust (v12) với tốc độ cao hơn.
GitHub triển khai tính năng public monitoring cho Secret Scanning, giám sát toàn bộ bề mặt công khai của github.com (bao gồm nội dung git, pull request, issues) để phát hiện các bí mật doanh nghiệp bị rò rỉ theo thời gian thực, nhưng vẫn tồn tại những hạn chế như không phát hiện được bí mật bị đánh cắp tới hạ tầng kiểm soát của kẻ tấn công, không quét logs workflow, và chỉ phát hiện sau khi xảy ra sự cố. Doanh nghiệp nên kết hợp tính năng này với các biện pháp kiểm soát egress runtime (như Harden-Runner) để ngăn chặn rò rỉ bí mật ngay từ lớp mạng.
Lập trình viên nên đọc bài này để hiểu cách bảo mật các mã nguồn công khai trên GitHub bị lộ thông qua các công cụ mới và hạn chế của chúng, giúp họ xây dựng chiến lược phòng thủ đa lớp (layered defense) hiệu quả hơn.
ProMe là ứng dụng hỗ trợ (companion app) cho trò chơi nhập vai solo The Protector's Memories, được xây dựng bằng Next.js dưới dạng PWA với tính năng offline nhờ Serwist và lưu trữ cục bộ (local-first) đồng bộ lên Netlify DB (Neon). Ứng dụng tích hợp nhiều công nghệ như bản đồ lục giác CSS, hệ thống nhật ký Markdown nâng cao, âm thanh cross-fading bằng Howler.js, cùng cơ chế đồng bộ hai chiều giữa local và cloud kèm xử lý xung đột.
Lập trình viên cần đọc bài này để khám phá cách xây dựng một ứng dụng PWA toàn diện với Next.js, từ thiết kế giao diện độc đáo đến giải quyết vấn đề đồng bộ hóa dữ liệu và xung đột trong hệ thống local-first, giúp hiểu rõ cách tối ưu hóa hiệu suất và trải nghiệm người dùng trong ứng dụng game.
Lỗ hổng bảo mật chưa được vá trong Argo CD cho phép kẻ tấn công thực thi mã từ xa không cần xác thực và chiếm quyền kiểm soát toàn bộ cụm Kubernetes. Lỗ hổng nằm ở giao diện gRPC không có cơ chế xác thực của thành phần repo-server, cho phép kẻ tấn công tiêm mã độc KustomizeOptions nếu đã xâm nhập vào cụm.
Lập trình viên cần đọc bài này để hiểu cách bảo mật Kubernetes bị lỗ hổng nghiêm trọng trong Argo CD, từ đó cập nhật kiến thức về các rủi ro mới và cách phòng ngừa, đặc biệt khi sử dụng công cụ GitOps trong môi trường sản xuất.
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho …