Сообщение Re[21]: Progressive Web Apps + WebAssembly = новый способ дл от 05.01.2019 1:27
Изменено 05.01.2019 1:28 k0d3r
Re[21]: Progressive Web Apps + WebAssembly = новый способ дл
Здравствуйте, k0d3r, Вы писали:
K>Здравствуйте, Sharowarsheg, Вы писали:
K>>>Эта штука защищает диск пользователя от малварей и спайварей.
S>>Нет.
K>То есть, по вашему, малварь из PWA может любые файлы на диске пользователя изменять? Расскажите как это сделать?
K>>>Малвари и спайвари которые не имеют доступа к диску пользователя — гораздо менее опасны.
S>>Мы уже долго обсуждали, что не нужен доступ ко всему диску пользователя. Ценность разных файлов (и вообще, разных данных) сильно разная.
K>Безусловно. Но это явное преимущество перед нативными программами. Теперь можно спокойно запускать любой софт на PWA без страха что там будет какой-нибудь троян, который сотрёт ваши данные на диске. Заметьте, не нужны даже антивирусы!
K>>>Эта штука обеспечивает на множестве платформ тот МИНИМУМ безопасности для пользователя, который до сих пор без монопольного стора не был доступен.
S>>Этот минимум безопасности еще со времен Windows XP обеспечивается набором простых правил — не суйся в интернет с прямым IP, ставь апдейты, не качай всякого дерьма, не лазь по левым сайтам, и пользуйся адблоком. И всё.
K>А на PWA уже не будет этого страха (скачать дерьмо). Потому что даже дерьмовый софт ничем не угрожает.
K>Нативный софт на важных местах обычно инсталлируется с большой осторожностью и зависит от репутации разработчиков, именно поэтому в Windows была введена система цифровой подписи экзешников, чтоб хоть как-то навести порядок в софтверном гадюшнике.
K>>>И что? То что Фейсбук у себя на серверах накосячил — это по вашему аргумент?
S>>Да, конечно. Это же самая мякотка — денежки. Специалисты по безопасности склонны думать про всякие технологические фичи, и забывать про денежки и прочие человеческие пороки. Фалко, без сомнения, может рассказать об этом с соответствующими цитатами, и будет прав. И здесь важно, что Фейсбук не косячил. Они сделали ровно то, что хотели сделать.
K>Так дурить людей можно по-разному, это уже вопрос психологии, техническими средствами психологические вопросы не решить.
K>PWA — обеспечивает минимальную защиту от дурака. То есть, хотя бы диск не трогайте, и на том спасибо.
K>>>Гугл и Майкрософт — отдельная тема. Это монопольные держатели платформ, которые могут собирать вообще всё что хочешь. Но при чём здесь PWA?
S>>При том, что PWА защищает от угроз, которые кончились десять лет назад, типа вируса "Петя".
K>Откуда вы знаете что угроз от нативных спайварей нет? Некоторые даже зарабатывает на адваре/спайваре пер инсталл, потому что тема до сих пор актуальна, а вы говорите о том что якобы проблема закончилась десять лет назад. Сказки не рассказывайте, пожалуйста.
K>>Ну объясните как можно украсть биткоины с диска пользователя через PWA?
S>1. затроянить библиотеку, которая реализует Stream,
S>2. дождаться, пока она будет включена в программу кошелька биткоина,
S>3. собрать пароли, номера кошельков, или что там нужно.
Видите как сложно? Вам надо рыбу ловить и выжидать, авось да кабы. А разрабы окажутся не дебилами и проверят библиотеку перед включением, и вся ваша затея накроется медным тазом.
Из своего написанного приложения PWA вы биткоины пользователя с диска украсть не сможете. А из приложения C++ это делается элементарно. Вот принципиальная разница.
S>>Смысл разговора состоит в том, что ты рекламируешь достоинство технологии, которого нет. А я тебе на примерах объясняю, что технология защищает (хорошо защищает, да) от атак, которые были актуальны примерно десять лет назад.
K>Ну хорошо хоть признали что хорошо защищает.
K>Тема адваре/спайваре сейчас актуальна, как и раньше.
S>>И много народу, практически, видело когда-то валидатор для PSD?
K>Сейчас он просто не нужен. Если Adobe понадобится переписать всё на яваскрипт, то запилить подобный валидатор для них будет не проблема.
K>Здравствуйте, Sharowarsheg, Вы писали:
K>>>Эта штука защищает диск пользователя от малварей и спайварей.
S>>Нет.
K>То есть, по вашему, малварь из PWA может любые файлы на диске пользователя изменять? Расскажите как это сделать?
K>>>Малвари и спайвари которые не имеют доступа к диску пользователя — гораздо менее опасны.
S>>Мы уже долго обсуждали, что не нужен доступ ко всему диску пользователя. Ценность разных файлов (и вообще, разных данных) сильно разная.
K>Безусловно. Но это явное преимущество перед нативными программами. Теперь можно спокойно запускать любой софт на PWA без страха что там будет какой-нибудь троян, который сотрёт ваши данные на диске. Заметьте, не нужны даже антивирусы!
K>>>Эта штука обеспечивает на множестве платформ тот МИНИМУМ безопасности для пользователя, который до сих пор без монопольного стора не был доступен.
S>>Этот минимум безопасности еще со времен Windows XP обеспечивается набором простых правил — не суйся в интернет с прямым IP, ставь апдейты, не качай всякого дерьма, не лазь по левым сайтам, и пользуйся адблоком. И всё.
K>А на PWA уже не будет этого страха (скачать дерьмо). Потому что даже дерьмовый софт ничем не угрожает.
K>Нативный софт на важных местах обычно инсталлируется с большой осторожностью и зависит от репутации разработчиков, именно поэтому в Windows была введена система цифровой подписи экзешников, чтоб хоть как-то навести порядок в софтверном гадюшнике.
K>>>И что? То что Фейсбук у себя на серверах накосячил — это по вашему аргумент?
S>>Да, конечно. Это же самая мякотка — денежки. Специалисты по безопасности склонны думать про всякие технологические фичи, и забывать про денежки и прочие человеческие пороки. Фалко, без сомнения, может рассказать об этом с соответствующими цитатами, и будет прав. И здесь важно, что Фейсбук не косячил. Они сделали ровно то, что хотели сделать.
K>Так дурить людей можно по-разному, это уже вопрос психологии, техническими средствами психологические вопросы не решить.
K>PWA — обеспечивает минимальную защиту от дурака. То есть, хотя бы диск не трогайте, и на том спасибо.
K>>>Гугл и Майкрософт — отдельная тема. Это монопольные держатели платформ, которые могут собирать вообще всё что хочешь. Но при чём здесь PWA?
S>>При том, что PWА защищает от угроз, которые кончились десять лет назад, типа вируса "Петя".
K>Откуда вы знаете что угроз от нативных спайварей нет? Некоторые даже зарабатывает на адваре/спайваре пер инсталл, потому что тема до сих пор актуальна, а вы говорите о том что якобы проблема закончилась десять лет назад. Сказки не рассказывайте, пожалуйста.
K>>Ну объясните как можно украсть биткоины с диска пользователя через PWA?
S>1. затроянить библиотеку, которая реализует Stream,
S>2. дождаться, пока она будет включена в программу кошелька биткоина,
S>3. собрать пароли, номера кошельков, или что там нужно.
Видите как сложно? Вам надо рыбу ловить и выжидать, авось да кабы. А разрабы окажутся не дебилами и проверят библиотеку перед включением, и вся ваша затея накроется медным тазом.
Из своего написанного приложения PWA вы биткоины пользователя с диска украсть не сможете. А из приложения C++ это делается элементарно. Вот принципиальная разница.
S>>Смысл разговора состоит в том, что ты рекламируешь достоинство технологии, которого нет. А я тебе на примерах объясняю, что технология защищает (хорошо защищает, да) от атак, которые были актуальны примерно десять лет назад.
K>Ну хорошо хоть признали что хорошо защищает.
K>Тема адваре/спайваре сейчас актуальна, как и раньше.
S>>И много народу, практически, видело когда-то валидатор для PSD?
K>Сейчас он просто не нужен. Если Adobe понадобится переписать всё на яваскрипт, то запилить подобный валидатор для них будет не проблема.
Re[21]: Progressive Web Apps + WebAssembly = новый способ дл
skipped