Google Project Zero 团队工程师 Ivan Fratric 开发了一个新的模糊测试工具去测试浏览器的 DOM 引擎，DOM 引擎用于读取 HTML 代码，然后将其组织到 DOM (Document Object Model)中。名叫 Domato 的测试工具源代码已经发布在 GitHub 上，它是 Google 工程师创造的第三种开源模糊测试工具，其它两种分别是 OSS-Fuzz 和 syzkaller。Fratric 使用 Domato 测试了五大主流浏览器，发现苹果的 Safari 浏览器 DOM 引擎有着最多的安全 bug，测试发现了 17 个新 bug，其次是 Edge 发现了 6 个，IE 和 Firefox 发现了 4 个， Chrome 只发现了 2 个。研究人员以 DOM 引擎为目标是因为他们相信在 Flash 插件于 2020 年退役后 DOM 将会成为下一个浏览器漏洞利用目标。

Stack Overflow 在英国调查了 4700 名程序员，发现计算机科学的学士学位并不能给程序员带来相应的投资回报，有学士学位的人比没有学位的人一年多挣 3000 英镑，而为了获得学位每年仅学费就要支出 9000 英镑，学生的贷款平均超过 5 万英镑。调查发现，无高等学位的程序员年薪中位数为 3.5 万英镑，而有学士学位的人是 3.8 万英镑，研究生是 4.2 万英镑。调查还发现，JavaScript 程序员需求最高，其次是 Java、Python、 C# 和 ReactJS。

在上个版本发布一年之后，苹果开发者 Ted Kremenek 宣布 Swift 编程语言发布 4.0 版，改进了稳定性，提供了更强的鲁棒性，保持与 Swift 3.0 的源码兼容，改进了标准库，引入了新功能如归档和序列化。语言方面的变化包括：更快更易于使用的 String 实现，维持 Unicode 正确性，加入支持创建、使用和管理字串；改进 Collection 类型的创建、使用和管理，等等。包管理器引入了新的工作流特性和更完整的 API。更多可浏览发布公告。

德国 IT 安全机构 X41 D-Sec 的研究人员分析了（PDF） Google Chrome、Microsoft Edge 和 Internet Explorer 在企业使用场景下的安全性，发现 Chrome 最能抵御攻击。这项研究得到了 Google 的资助，但研究人员声称搜索巨人并没有干预其研究。这项研究没有测试 Firefox、Safari 和 Opera 等浏览器。研究人员发现，IE 因为其弱沙盒而安全性较差，Edge 因为使用了更强的沙盒技术不存在遗留的技术而更能抵御利用，Chrome 因严锁组件和职责分隔而最能抵御攻击，但它支持更多的现代 Web 技术而增加了攻击面。

从明年一月开始，Google Chrome 将不再自动播放有声内容，Chrome 将只会自动播放没有声音的媒体或用户明显表达兴趣的内容。上个月，Chrome 团队透露了一项新功能，让用户永久性给个别网站静音，浏览器会记住你上一次选择静音的网站，你再次访问时静音会自动启用。这项功能将在 Chrome 63 中引入，而 Chrome 64 将把这项控制提升到新的高度：浏览器将只会自动播放用户想要播放的媒体内容。网站静音功能将于今年 9 月引入到 Chrome 63 beta 中，10 月份随正式版提供给所有用户，新的自动播放策略将于 12 月引入到 Chrome 64 beta，明年 1 月提供给所有用户。

苹果计划在下一个版本的 Safari 浏览器中整合 Cookies 屏蔽技术，广告行业组织集体抱怨苹果此举将会破坏互联网的经济模式。六家行业组织 Interactive Advertising Bureau、American Advertising Federation、 Association of National Advertisers 等对苹果的计划表达了“严重关切”。苹果计划在浏览器中用一组苹果控制的标准去覆盖和替代用户 Cookies 偏好。这项功能被称为 Intelligent Tracking Prevention，在定向广告上限制了广告商和网站对用户的跟踪。行业组织声称这会导致广告变得不具有针对性，从而伤害了“用户体验”。

Chrome 不久之后将把 FTP 网站标记为不安全。Chrome 安全团队成员 Mike West 在安全开发者邮件列表上称，他们原计划并没有考虑将 FTP 服务标记为不安全，但因为 FTP 的安全性比 HTTP 还差，虽然 FTP 的全球流量只有 0.0026%，考虑到它对用户的风险，将它标记为不安全似无不妥。今年早些时候，Linux 内核官网 kernel.org 和 Debian 分布宣布关闭 FTP 服务器，但主要原因不是安全，而是因为 FTP 低效。

跨平台源码编辑器 Sublime Text 释出了 3.0 版。Sublime Text 作者 Jon Skinner 称他想要突出一些相比 2.0 版的主要变化，发现非常困难，因为从某种程度上新版编辑器几乎每一个方面都有改进，如果要列出主要变化这个名单将会非常长。3.0 版的新特性包括：Goto Definition，新的语义高亮引擎，新 UI，扩展过的 API，改进拼写检查和自动缩进，支持高 DPI 显示屏，Goto Anything 更智能，等等。3.0 版的速度也更快，此外 Windows 版支持触控输入，macOS 版支持 Touch Bar，Linux 支持 apt/yum/pacman。

因为发现赛门铁克签发了大量有问题的证书，Google 官方博客公布了 Chrome 浏览器不信任赛门铁克证书的时间表：2017 年 10 月发布的 Chrome 62 将在 DevTools 中加入对即将不受信任的赛门铁克证书的警告；2017 年 12 月 1 日，DigiCert 将接手赛门铁克的证书签发业务；2018 年 4 月 17 日发布的 Chrome 66 将不信任 2016 年 6 月 1 日之前签发的证书；2018 年 10 月 23 日发布的 Chrome 70 将停止信任赛门铁克的旧证书。受影响的赛门铁克 CA 品牌包括 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL，几个独立运作密钥不受赛门铁克控制的次级 CA 得到了豁免，其中包括了苹果和 Google。Google 建议使用赛门铁克证书的网站及时更新到受信任证书。

Google Chrome 63 将引入探测中间人攻击的新安全功能。在用户浏览器和目标网站服务器之间的恶意第三方可能会尝试拦截加密链接，但在大部分情况下攻击者未能正确重写加密链接，导致了浏览器能检测到的 SSL 错误。当浏览器探测到在短时间内发生了此类的大量 SSL 错误，它会弹出中间人攻击警告。Chrome 63 预计于 12 月 5 日发布，用户已能通过开发分支测试该功能。

Mozilla 将在用户界面上再次模仿它的主要竞争对手 Chrome。预计于 11 月 14 日发布的 Firefox 57 默认将隐藏搜索框，统一搜索框和地址栏为单一输入栏——就像 Chrome 那样。调整搜索框是代号为 Photon 的新用户界面的一部分。Mozilla 并没有取消搜索框，想要继续使用搜索框的用户可以通过修改设置恢复原 UI，方法是“选项——搜索——搜索框”，选择第二个选项。地址栏已经包含了搜索框的功能，因此它被认为有点多余。但对用户来说，他们非常讨厌这种将 UI 调整来调整去的做法。

LLVM 项目释出了最新的 5.0.0 版。LLVM 前不久改变了版本方案，每发布一个大版本将增加一个版本号，小版本号变化主要是同一分支的更新。上个大版本是在半年前发布的 4.0.0 版。5.0.0 版新变化包括：C++17 支持，协同例程，改进优化，新的编译器警告，bug 修正，等等。详细变化可浏览发布公告。开发者表示他们的重心正转向 LLVM 6。

匿名懦读者 写道 "火狐紧跟谷歌的步伐，将取消对沃通和 StartCom 的所有证书的信任。今天谷歌发布了 Chrome 61，已经取消了沃通和 StartCom 颁发所有证书的信任，不留任何白名单。" Chrome 61 的主要特性包括：原生支持 JavaScript 模块，开发者只需声明脚本的依赖，而浏览器则能并行获取粒度依赖，利用缓存，避免跨页重复，确保脚本按正确次序执行；支持 WebUSB API，允许 Web 应用在用户许可下直接访问 USB 设备；V8 JavaScript 引擎升级到 6.1，等等。

Opera 的联合创始人谭咏文（Jon Stephenson von Tetzchner）通过官方博客公开呼吁 Google 不要作恶。不作恶曾经是 Google 的信条，但最近改成了“做正确的事”。谭咏文谈论了在 Chrome 统治的浏览器市场， Opera 以及他现在开发的 Vivaldi 的无奈之举：为了让 Google 服务能在浏览器上正常工作，Opera 和 Vivaldi 都不得不隐藏浏览器身份，即使 Vivaldi 是基于 Chrome 的 WebKit 和 KHTML。但现在 Vivaldi 遇到的一个更大问题是其 Google AdWords 账号在没有任何警告的情况下被暂停了。而在账号暂停前，谭咏文在《连线》上发表文章对 Google 和 Facebook 的数据收集和定向广告策略表达了担忧，认为这是一个威胁到民主的严重问题。在他的文章发表两天之后，Vivaldi 的广告账号被暂停，他认为这不是什么巧合，而更像是某种警告信号。Google 垄断了搜索和广告，它表现出对滥用权力无法抗拒。

根据 LinkedIn 的薪水报告（需要登录），薪水最高的工作仍然属于医生，奖金最高的职业则在金融业，薪水最高的入门和中级工作也在金融业，但从教育上看计算机科学专业的平均薪水最高，为 92,300 美元，其次是视觉艺术、社会学和工业工程。软件和 IT 服务的薪酬中位数有 104,700 美元。

流行广告屏蔽扩展 uBlock Origin 正式释出了 WebExtension 版本。uBlock Origin 是 Firefox 上最受欢迎的扩展之一，用户数量超过 370 万。Firefox 计划在今年 11 月发布 Firefox 57 时淘汰 XUL 扩展只支持 WebExtension 扩展，因此现有的 XUL 扩展都必须重写才能工作在 Firefox 57 及之后版本上，这一转变将会影响到所有扩展，而许多扩展可能不会释出 WebExtension 版本。用户使用 WebExtension 版本 uBlock Origin 可能会遇到问题，扩展作者 Raymond Hill 建议 32 位浏览器用户在问题解决前继续使用旧版本。

Stack Overflow 的数据科学家 David Robinson 发现，软件行业的分工让不同发达地区的程序员依赖于不同的编程语言。软件已经是一个全球性的行业，也有高端低端之分，最高端的是数据科学，通常利用到编程语言如 Python 和 R。Robinson 发现，高收入国家访问 Python 和 R 语言相关问题的流量是其它地区的 2 倍和 3 倍。高收入国家也更可能访问 C/C++ 相关的问题，原因可能与教育有关，美国大学访问这些问题的流量不成比例的高。访问 PHP 和 Android 问题的流量更可能来自低收入国家，其中流行 PHP 开源框架 CodeIgniter 在低收入国家中最受欢迎，可能是因为它是外包公司构建网站常用的工具。

在这个单页浏览时代，网站恨不得把所有内容都展示给你，包括自动播放视频和音频，而且这种自动播放经常还是连续的。对许多用户来说，这种做法相当恼人，突如其来的声音有时候会吓你一跳。Firefox 等浏览器开始向用户提供选项让用户直接在标签页点击静音，关闭烦人的声音。但如果你经常访问的网站内置自动播放，每次点击静音也是一件麻烦的事。现在 Chrome 浏览器团队正在试验一项功能，让用户永久性给网站静音，也就是浏览器会记住你上一次选择静音的网站，你再次访问时静音会自动启用。

构建 Web 应用的流行开源跨平台运行时环境 Node.js 再次发生了分裂，上一次开发者创建了 io.js（后来合并了），这一次他们创建了分支 Ayo，将仍然会采用开放治理模式管理。这一次引发众多开发者不满的人是技术指导委员会成员 Rod Vagg。Vagg 最近转推了一篇反对行为规范的右翼 文章，导致了一些人向技术指导委员会投诉。8 月 21 日，技术指导委员会投票是否移除 Vagg。10 名委员有 6 名反对移除，6 名反对要求 Vagg 自愿辞职。这一结果导致一名委员 Myles Borins 辞职抗议，他认为保留 Vagg 的决定将会破坏 Node.js 项目的行为规范，吓跑潜在的贡献者，破坏了委员会的治理能力。 Rod Vagg 已经发表了文章回应了这一事件，澄清他并没有反对行为规范，而是支持言论自由。

Firefox 的遥测数据收集是在询问用户同意后才进行的，也就是收集默认不启用。Mozilla 工程师抱怨现有的数据收集方式没有提供可用的数据，无法代表用户的真实使用。因此他们在邮件列表上讨论采用默认启用可选择退出的遥测数据收集方式。遥测选项默认启用，但用户可以选择退出。