metaclass: (Default)
metaclass ([personal profile] metaclass) wrote2010-10-13 09:13 pm
  • Add Memory
  • Share This Entry

Кстати, о Rich web UI

Вот вы тут кроссплатформенность в виде HTML5 и прочего аякса с жаба-скриптами пропагандируете, а потом будете этими руками хлеб естьна уязвимости жаловаться.
Мало им блин всяких дырок во флешах, да PDF, да в браузерах вообще - сейчас еще появятся, в неимоверных количествах. Потому как каждое добавление интерактивности и прочего шевеления к документам означает новые дыры.
Браузеры, ворды и пдфвьюверы уже блин невозможно рассматривать как смотрелки документов, а нужно рассматривать исключительно как рунтайм для запуска потенциально вредоносных кодов.
Flat | Top-Level Comments Only

[identity profile] sorhed.livejournal.com 2010-10-13 09:31 pm (UTC)(link)
Ну, виндузятников-то не жалко, они получают то, что заслуживают. А всякие XSS вроде известно как чинить.

[identity profile] metaclass.livejournal.com 2010-10-13 09:36 pm (UTC)(link)
Я думаю, все кончится тем, что эта пакость будет не только на винде запускаться :)
wizzard: (Default)

[personal profile] wizzard 2010-10-15 09:11 pm (UTC)(link)
Дырки во флеше работают и на андроиде :)

Алсо, как-то недавно пролетал спам про аренду ботнета из айфонов.

Так что линукс спасает полностью и исключительно непопулярность.

[identity profile] lemantar.livejournal.com 2010-10-13 09:33 pm (UTC)(link)
так "HTML5 и прочий аякс" как раз минимизируют эту проблему. что опаснее HTML строка <video> достаточно простая, что бы воткнуть туда бяку или flash activex код (!) плеера непонятно что делающий и имеющий доступ к определенным ресурсам компа?

[identity profile] metaclass.livejournal.com 2010-10-13 09:36 pm (UTC)(link)
В случае флеша его можно просто заблокировать или не ставить плагин.
А вот тэг видео будет обрабатываться в дебрях браузера, не менее непонятно как и что делая.

[identity profile] psilogic.livejournal.com 2010-10-13 09:40 pm (UTC)(link)
ну можно надеяться, что по крайней мере некоторые программисты браузеров не полные идиёты и сделают опцию отключений неведомой хуйни

[identity profile] lemantar.livejournal.com 2010-10-13 09:41 pm (UTC)(link)
код браузера вы получаете с инсталяком браузера, а код плеера невесть откуда - шансов для взлома больше.

как страшно жить

[identity profile] stdray.livejournal.com 2010-10-13 09:53 pm (UTC)(link)
Ну зачем высотки строить? Все равно ведь будут жаловаться, что у них то лифт не работает, то из окна можно насмерть вывалиться...

Re: как страшно жить

[identity profile] vp.livejournal.com 2010-10-14 03:43 am (UTC)(link)
не, речь не об этом. ПДФ тоже мило начинался "как макет книжек". А сейчас страшно отркрыть - а вдруг там внутри видео клонуна с песнями и скриптами
develop7: (Default)

Re: как страшно жить

[personal profile] develop7 2010-10-14 05:17 am (UTC)(link)
Ребе, не читайте советских гойзет пользуйтесь насквозь дырявым говном вроде Adobe Reader. Ну или запретите ему всё, что можно и нельзя, каким-нить apparmorом (или что у вас там в виндах)

[identity profile] korchasa.livejournal.com 2010-10-13 10:30 pm (UTC)(link)
HTML5 в основном не пугает. Какая разница кто будет безопасностью заниматься, mozilla или adobe. Хотя количество атакуемого кода, видимо, возрастет, т.к. реализовывать всякие придется в каждом браузере.

Больше пугает 2D и 3D. Иксы то под рутом. Печаль.

[identity profile] x-a-e-p.livejournal.com 2010-10-13 11:13 pm (UTC)(link)
ну, таки были же успешные попытки завести иксы в userspace, так что можно надеяться

[identity profile] aamonster.livejournal.com 2010-10-14 06:29 am (UTC)(link)
Ну вынесите иксы на отдельную машину =)

[identity profile] korchasa.livejournal.com 2010-10-14 06:39 am (UTC)(link)
В виртуалку!

[identity profile] kiryl.livejournal.com 2010-10-14 06:34 am (UTC)(link)
Есть надежда, что X'ы скоро будут без рута: https://wiki.ubuntu.com/X/Rootless.

[identity profile] korchasa.livejournal.com 2010-10-14 03:25 pm (UTC)(link)
Спасибо за ссылку. Оказываемся локальное счастье не так уж далеко.
develop7: (Default)

[personal profile] develop7 2010-10-14 05:27 am (UTC)(link)
Ребе, лучше покажите пальцем на место в спеках HTML5, где ви предрекаете массовые поимения юзеров.
Идея HTML5, есличо, таки в том, чтобы от браузерных плагинов в теперешнем виде отказаться совсем. За исключением, разве что Native Client (весь огороженный по самое нехочу).
develop7: (Default)

[personal profile] develop7 2010-10-14 08:45 am (UTC)(link)
ребе, эти local storage и indexed database — всего лишь большие печеньки. с точно такими же (если не сильнее) ограничениями, в частности по hostname.

(no subject)

[identity profile] kurilka.livejournal.com - 2010-10-14 08:51 (UTC) - Expand

[identity profile] nivanych.livejournal.com 2010-10-14 07:58 am (UTC)(link)
Тема SVG не раскрыта.
Правда, там и негде поимения устраивать, только со стороны джаба-скрипта.

[identity profile] permea-kra.livejournal.com 2010-10-14 12:20 pm (UTC)(link)
Мне, кстати, интересно: для парса *.svg надо разводить настоящий xml с поддержкой entities|namespaces, или спеки позволяют без этого обойтись?

(no subject)

[identity profile] nivanych.livejournal.com - 2010-10-14 12:23 (UTC) - Expand

(no subject)

[identity profile] nivanych.livejournal.com - 2010-10-14 12:31 (UTC) - Expand

(no subject)

[identity profile] gds.livejournal.com - 2010-10-14 12:25 (UTC) - Expand

(no subject)

[identity profile] permea-kra.livejournal.com - 2010-10-14 13:59 (UTC) - Expand
wizzard: (Default)

[personal profile] wizzard 2010-10-15 09:13 pm (UTC)(link)
В NaCl совсем недавно закрыли чудную дыру, которая слабозаметной опечаткой вырубала ВСЮ верификацию корректности обращения со стеком. Так что вряд ли.

(no subject)

[identity profile] kurilka.livejournal.com - 2010-10-19 09:42 (UTC) - Expand

(no subject)

[identity profile] permea-kra.livejournal.com - 2010-10-19 09:44 (UTC) - Expand

(no subject)

[identity profile] kurilka.livejournal.com - 2010-10-19 09:46 (UTC) - Expand

(no subject)

[identity profile] permea-kra.livejournal.com - 2010-10-19 09:48 (UTC) - Expand

(no subject)

[identity profile] kurilka.livejournal.com - 2010-10-19 09:53 (UTC) - Expand

(no subject)

[identity profile] permea-kra.livejournal.com - 2010-10-19 09:55 (UTC) - Expand

(no subject)

[identity profile] kurilka.livejournal.com - 2010-10-19 09:57 (UTC) - Expand

(no subject)

[identity profile] permea-kra.livejournal.com - 2010-10-19 10:01 (UTC) - Expand

(no subject)

[identity profile] kurilka.livejournal.com - 2010-10-19 10:06 (UTC) - Expand

(no subject)

[identity profile] metaclass.livejournal.com - 2010-10-19 10:14 (UTC) - Expand

(no subject)

[identity profile] kurilka.livejournal.com - 2010-10-19 10:31 (UTC) - Expand

(no subject)

[identity profile] permea-kra.livejournal.com - 2010-10-19 10:16 (UTC) - Expand

(no subject)

[identity profile] kurilka.livejournal.com - 2010-10-19 10:31 (UTC) - Expand

(no subject)

[identity profile] permea-kra.livejournal.com - 2010-10-19 10:54 (UTC) - Expand

(no subject)

(Anonymous) - 2010-10-19 09:58 (UTC) - Expand

[identity profile] sergiej.livejournal.com 2010-10-14 08:17 am (UTC)(link)
Не трогайте своими параноидальными мозгами святую идею чистого и прекрасного HTML5. Дайте ему шанс появиться - а потом уж наежжайте.
Я, например, вижу тут шанс наконец-то получить быструю кросс-платформенную гую. Так как Жаба куплена силами зла (да и кросс-платформенность там в теории), надо получить что-то вместо. Гугл правильной дорогой идёт вощем.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2010-10-21 08:23 am (UTC)(link)
Быструю?!!!

(no subject)

[identity profile] sergiej.livejournal.com - 2010-10-21 19:08 (UTC) - Expand

(no subject)

[personal profile] vitus_wagner - 2010-10-21 19:16 (UTC) - Expand

(no subject)

[identity profile] sergiej.livejournal.com - 2010-10-22 07:37 (UTC) - Expand

(no subject)

[personal profile] vitus_wagner - 2010-10-22 07:41 (UTC) - Expand

(no subject)

[identity profile] sergiej.livejournal.com - 2010-10-22 07:51 (UTC) - Expand

(no subject)

[personal profile] vitus_wagner - 2010-10-22 07:59 (UTC) - Expand

(no subject)

[identity profile] sergiej.livejournal.com - 2010-10-22 08:06 (UTC) - Expand

(no subject)

[personal profile] vitus_wagner - 2010-10-22 08:09 (UTC) - Expand

(no subject)

[identity profile] sergiej.livejournal.com - 2010-10-22 08:23 (UTC) - Expand
Flat | Top-Level Comments Only