Кстати, о Rich web UI

[metaclass]

Вот вы тут кроссплатформенность в виде HTML5 и прочего аякса с жаба-скриптами пропагандируете, а потом будете этими руками хлеб естьна уязвимости жаловаться.
Мало им блин всяких дырок во флешах, да PDF, да в браузерах вообще - сейчас еще появятся, в неимоверных количествах. Потому как каждое добавление интерактивности и прочего шевеления к документам означает новые дыры.
Браузеры, ворды и пдфвьюверы уже блин невозможно рассматривать как смотрелки документов, а нужно рассматривать исключительно как рунтайм для запуска потенциально вредоносных кодов.

Comments

[sorhed.livejournal.com]

Ну, виндузятников-то не жалко, они получают то, что заслуживают. А всякие XSS вроде известно как чинить.

[lemantar.livejournal.com]

так "HTML5 и прочий аякс" как раз минимизируют эту проблему. что опаснее HTML строка <video> достаточно простая, что бы воткнуть туда бяку или flash activex код (!) плеера непонятно что делающий и имеющий доступ к определенным ресурсам компа?

[metaclass.livejournal.com]

В случае флеша его можно просто заблокировать или не ставить плагин.
А вот тэг видео будет обрабатываться в дебрях браузера, не менее непонятно как и что делая.

[metaclass.livejournal.com]

Я думаю, все кончится тем, что эта пакость будет не только на винде запускаться :)

[psilogic.livejournal.com]

ну можно надеяться, что по крайней мере некоторые программисты браузеров не полные идиёты и сделают опцию отключений неведомой хуйни

[lemantar.livejournal.com]

код браузера вы получаете с инсталяком браузера, а код плеера невесть откуда - шансов для взлома больше.

как страшно жить

[stdray.livejournal.com]

Ну зачем высотки строить? Все равно ведь будут жаловаться, что у них то лифт не работает, то из окна можно насмерть вывалиться...

[korchasa.livejournal.com]

HTML5 в основном не пугает. Какая разница кто будет безопасностью заниматься, mozilla или adobe. Хотя количество атакуемого кода, видимо, возрастет, т.к. реализовывать всякие придется в каждом браузере.

Больше пугает 2D и 3D. Иксы то под рутом. Печаль.

[x-a-e-p.livejournal.com]

ну, таки были же успешные попытки завести иксы в userspace, так что можно надеяться

Re: как страшно жить

[vp.livejournal.com]

не, речь не об этом. ПДФ тоже мило начинался "как макет книжек". А сейчас страшно отркрыть - а вдруг там внутри видео клонуна с песнями и скриптами

Re: как страшно жить

[develop7]

Ребе, не читайте советских гойзет пользуйтесь насквозь дырявым говном вроде Adobe Reader. Ну или запретите ему всё, что можно и нельзя, каким-нить apparmorом (или что у вас там в виндах)

[develop7]

Ребе, лучше покажите пальцем на место в спеках HTML5, где ви предрекаете массовые поимения юзеров.
Идея HTML5, есличо, таки в том, чтобы от браузерных плагинов в теперешнем виде отказаться совсем. За исключением, разве что Native Client (весь огороженный по самое нехочу).

[kurilka.livejournal.com]

Вот вроде из последних опасений - http://yro.slashdot.org/story/10/10/11/1236226/HTML5-Draws-Concern-Over-Risks-To-Privacy

[aamonster.livejournal.com]

Ну вынесите иксы на отдельную машину =)

[kiryl.livejournal.com]

Есть надежда, что X'ы скоро будут без рута: https://wiki.ubuntu.com/X/Rootless.

[korchasa.livejournal.com]

В виртуалку!

Re: как страшно жить

[vp.livejournal.com]

100 лет им не пользуюсь.

[nivanych.livejournal.com]

Тема SVG не раскрыта.
Правда, там и негде поимения устраивать, только со стороны джаба-скрипта.

[sergiej.livejournal.com]

Не трогайте своими параноидальными мозгами святую идею чистого и прекрасного HTML5. Дайте ему шанс появиться - а потом уж наежжайте.
Я, например, вижу тут шанс наконец-то получить быструю кросс-платформенную гую. Так как Жаба куплена силами зла (да и кросс-платформенность там в теории), надо получить что-то вместо. Гугл правильной дорогой идёт вощем.

[develop7]

ребе, эти local storage и indexed database — всего лишь большие печеньки. с точно такими же (если не сильнее) ограничениями, в частности по hostname.

[kurilka.livejournal.com]

Дык не спорю, просто вспомнилось из "свежачка", а так, по сути, анонимности в тырнете почти нет, конечно.

[permea-kra.livejournal.com]

Мне, кстати, интересно: для парса *.svg надо разводить настоящий xml с поддержкой entities|namespaces, или спеки позволяют без этого обойтись?

[nivanych.livejournal.com]

А зачем его парсить?
Но вроде бы, там можно попроще, чем "настоящий XML".

[gds.livejournal.com]

спеки не позволяют, нужно честно парсить, как я понял из спек. Может entities не нужны, но namespaces нужны, ровно в той же мере, как при парсинге любого xml (т.е. если их явно не используют -- парсить их не нужно).
А что, в х-е нет парсеров xml настолько, что проще подобное парсить руками?

[nivanych.livejournal.com]

Да, обшибся. Там почти полный XML получается.