PNG: Техническое досье
Год рождения: 1996 (как свободный ответ платному GIF).

Суть: Сжатие без потерь (Deflate), поддержка альфа-канала (прозрачности) и чанковая структура. Именно чанки (блоки данных вроде IHDR, IDAT, IEND) — ахиллесова пята формата. Если в чанк записать данных больше, чем ожидает парсер, происходит тот самый баг.

Хронология «дырявого» пикселя
2004 (GDI+): Первая масштабная паника. Кривой парсер Microsoft позволял заражать систему через JPEG и PNG. Тогда мир и узнал, что картинка — это не только котик, но и вектор атаки.

2015, 2019 (Libpng & Android): Череда уязвимостей (CVE-2015-8540, CVE-2019-1986). Хакеры научились использовать ошибки в расчете контрольных сумм и выделении памяти. Массовые заражения компьютеров, падения сетей, финансовые последствия не зафиксированы.

Реакция Google: Они не просто латали дыры. Они внедрили Fuzzer-тестирование (закидывание движка триллионами битых файлов) и жесткую изоляцию процессов в Chromium. В 2026 году шанс пробить «песочницу» через PNG стремится к нулю.

Маразм ситуации:
Масштаб: Vivaldi — это тонкая кожа на мощном скелете Chromium. Решать, что PNG опасен для экспресс-панели, когда сам движок Chromium считает его безопасным для рендеринга всего интернета — это запредельный уровень микроменеджмента безопасности.

Юзабилити vs Паранойя: Запрет на использование PNG на Express Panel в 2026 году выглядит как попытка лечить головную боль гильотиной. Если юзер не может поставить свою иконку из-за «страшных вирусов», это не безопасность, а ограничение свободы.

Почему это глупо для «надстройки»?
Google Chrome — это авианосец с армией инженеров по безопасности. Если они допускают PNG до рендеринга, значит, защита выстроена на уровне архитектуры ядра. Vivaldi же, блокируя этот формат в своем UI, как бы говорит: «Мы не доверяем защите Chromium, поэтому заколотим окна досками».

Итог: Это классический пример «security theater» (театра безопасности). Выглядит грозно, звучит экспертно, но на деле — это глупо и неудобно для пользователя. Пока весь мир спокойно крутит PNG в 8K, Vivaldi продолжает воевать с призраками прошлых лет.

Повторение эпидемии в 2026? Возможно, но дыру найдут в чем-то новом (вроде нейро-кодеков), а не в старом добром PNG, который уже засмотрен антивирусами до дыр.

В 2026 году безопасность — это не просто «заплатка на дыру», а многослойный пирог.

1. Sandboxing (Песочница)
В Chromium (на котором сидит и Vivaldi) процесс отрисовки картинок изолирован. У него нет доступа к твоим паролям, файлам или микрофону. Если парсер «ловит» вирус в картинке, он падает внутри своей тесной клетки, не заражая систему.

2. Rust-революция
Сейчас идет массовый переход на парсеры, написанные на языке Rust. В отличие от старого доброго Си, Rust на уровне архитектуры запрещает ошибки работы с памятью (те самые переполнения буфера). Если данные пытаются вылезти за край — программа просто корректно закрывается, не давая хакеру выполнить свой код.

3. Fuzzing 24/7
Google и другие гиганты гоняют свои парсеры через «мясорубки». Специальные фермы серверов генерируют миллионы мутировавших, «сломанных» PNG и скармливают их парсеру. Если он падает — дыру латают до того, как её найдет какой-нибудь злобный хакер.
Добавление от 03.04.2026 22:30: