Здравствуйте, Sinclair, Вы писали:


S>Позволю себе напомнить, что яваскрипт имеет весьма ограниченный доступ к локальным ресурсам. Поэтому банальную аплоадилку картинок на нем ты не сделаешь. Никак. Поэтому смысл в активХэ таки есть.

Тогда я позволю себе напомнить, что доступ к локальным ресурсам есть и у JVM, но, в отличие от ActiveX, он контролируем, причем очень даже гранулированно.

А по поводу аплоадилки картинок какой-то неудачный пример... Все тут как-то без ActiceX обходятся.
Да и вообще, чтоб я дал какому-то сайту с помошью FSO мой диск шерстить...

Здравствуйте, DOOM, Вы писали:
DOO>Тогда я позволю себе напомнить, что доступ к локальным ресурсам есть и у JVM, но, в отличие от ActiveX, он контролируем, причем очень даже гранулированно.
Я в курсе. Просто поставить ActiveX на основную платформу гораздо проще, чем JVM+Applet.
DOO>А по поводу аплоадилки картинок какой-то неудачный пример... Все тут как-то без ActiceX обходятся.
Да ну правда што ли? Ну-ка, покажи мне таки удачную реализацию multiple image upload без ActiveX. Чтобы я мог прямо тыком мыши выбрать цельный фолдер. Я даже не настаиваю на таких мелочах, как автоматический ресамплинг на стороне клиента.

DOO>Да и вообще, чтоб я дал какому-то сайту с помошью FSO мой диск шерстить...
Ну вот поэтому-то на FSO ничего и не построишь. А ActiveX, в отличие от javascript, подписывается ЭЦП, что дает единственную надежду на безопасность.

Здравствуйте, Sinclair, Вы писали:

S>Здравствуйте, DOOM, Вы писали:
DOO>>Тогда я позволю себе напомнить, что доступ к локальным ресурсам есть и у JVM, но, в отличие от ActiveX, он контролируем, причем очень даже гранулированно.
S>Я в курсе. Просто поставить ActiveX на основную платформу гораздо проще, чем JVM+Applet.
Ага. Как быстро все забывается... Я ведь раньше (до XP) JVM шла в комплекте с ОС...
К тому же, мне сложно представить более-менее активного пользователя интернета без JVM на борту...
Дак а что мешало MS'ам также поместить ActiveX в какую-нибудь песочницу? И почему такую неудачную технологию, с точки зрения безопасности, надо еще и реплицировать в других браузерах.

S>Да ну правда што ли? Ну-ка, покажи мне таки удачную реализацию multiple image upload без ActiveX. Чтобы я мог прямо тыком мыши выбрать цельный фолдер. Я даже не настаиваю на таких мелочах, как автоматический ресамплинг на стороне клиента.
Ты хочешь странного, честно говоря. С такими замахами — зачем тебе вообще web? Делай нормальный клиент-сервер...


DOO>>Да и вообще, чтоб я дал какому-то сайту с помошью FSO мой диск шерстить...
S>Ну вот поэтому-то на FSO ничего и не построишь.
А FSO это не ActiveX? Типа раз нет гуя, то это уже таковым не считается?

S>А ActiveX, в отличие от javascript, подписывается ЭЦП, что дает единственную надежду на безопасность.
Да вот именно что единственную и совсем даже ненадежную. В подписанном коде уязвимости не исчезают сами собой.

Здравствуйте, Sinclair, Вы писали:

DOO>>А по поводу аплоадилки картинок какой-то неудачный пример... Все тут как-то без ActiceX обходятся.
S>Да ну правда што ли? Ну-ка, покажи мне таки удачную реализацию multiple image upload без ActiveX. Чтобы я мог прямо тыком мыши выбрать цельный фолдер. Я даже не настаиваю на таких мелочах, как автоматический ресамплинг на стороне клиента.
Да без проблем, за примерно $1500 напишем вам в виде Java-апплета (сертефикат — за ваши деньги).

DOO>>Да и вообще, чтоб я дал какому-то сайту с помошью FSO мой диск шерстить...
S>Ну вот поэтому-то на FSO ничего и не построишь. А ActiveX, в отличие от javascript, подписывается ЭЦП, что дает единственную надежду на безопасность.
Лет 5 назад на всяких сайтах с краками было полно (подписаных!) ActiveX'ов, которые ставили малварю. Причем, если ты помнишь, IE5/6 ставили подписаные ActiveXы вообще без вопросов.

Поэтому ActiveXы и ушли в морг, оставшись в определенных нишах (типа Интернет-банкинга), примерно на одном уровне распространения с апплетами.

В JS уже хорошо то, что он сейчас практически безопасен (не считая изредка появляющихся дырок). Добавить в JS возможность делать определенные операции с FS можно без особых проблем (в IE для этого MS просто должен написать COM-объект и выставить его в контекст JS, для FF — сделать просто адд-он). А вот сделать ActiveX безопасным — нереально.

Sinclair однажды (26 ноября 2007 [Понедельник] 07:15) писал:

> Позволю себе напомнить, что яваскрипт имеет весьма ограниченный доступ к локальным ресурсам. Поэтому банальную аплоадилку картинок на нем ты не сделаешь. Никак. Поэтому смысл в
> активХэ таки есть.

Позволю себе напомнить, что чем меньше имеет удаленный ресурс доступа к локальному компу, тем лучше для пользователя в плане безопасности.

--
...belive in the matrix...

Sinclair однажды (26 ноября 2007 [Понедельник] 07:49) писал:

> Я даже не настаиваю на таких мелочах, как автоматический ресамплинг на стороне клиента.
Это не клиента дело — ресамплинг.

> DOO>Да и вообще, чтоб я дал какому-то сайту с помошью FSO мой диск шерстить...
> Ну вот поэтому-то на FSO ничего и не построишь. А ActiveX, в отличие от javascript, подписывается ЭЦП, что дает единственную надежду на безопасность.

Правильно говориш — Надежду.

--
...belive in the matrix...

DOOM однажды (26 ноября 2007 [Понедельник] 08:04) писал:

> S>Да ну правда што ли? Ну-ка, покажи мне таки удачную реализацию multiple image upload без ActiveX. Чтобы я мог прямо тыком мыши выбрать цельный фолдер. Я даже не настаиваю на
> таких мелочах, как автоматический ресамплинг на стороне клиента. Ты хочешь странного, честно говоря.
> С такими замахами — зачем тебе вообще web? Делай нормальный клиент-сервер...

Да тут большая часть форума хочет странного.
Как почитаеш — диву даешся....

--
...belive in the matrix...

Здравствуйте, DOOM, Вы писали:

DOO>Здравствуйте, Sinclair, Вы писали:

S>>Здравствуйте, DOOM, Вы писали:
DOO>>>Тогда я позволю себе напомнить, что доступ к локальным ресурсам есть и у JVM, но, в отличие от ActiveX, он контролируем, причем очень даже гранулированно.
S>>Я в курсе. Просто поставить ActiveX на основную платформу гораздо проще, чем JVM+Applet.
DOO>Ага. Как быстро все забывается... Я ведь раньше (до XP) JVM шла в комплекте с ОС...
DOO>К тому же, мне сложно представить более-менее активного пользователя интернета без JVM на борту...
У 99% никакой JVM на борту нету. Зачем она более-менее активному пользователю интернет?
В популярные дистрибутивы линуксов она не входит; в винде приложений, которые бы хотели JVM нету.

DOO>Дак а что мешало MS'ам также поместить ActiveX в какую-нибудь песочницу? И почему такую неудачную технологию, с точки зрения безопасности, надо еще и реплицировать в других браузерах.
Шутишь? Неуправляемый код, в общем случае, в песочницу поместить невозможно. На уровне ОС песочницей является процесс, а доступ определяется пользовательскими привилегиями.
Поэтому нормальная песочница возможна только для Java/.Net/JavaScript.

S>>Да ну правда што ли? Ну-ка, покажи мне таки удачную реализацию multiple image upload без ActiveX. Чтобы я мог прямо тыком мыши выбрать цельный фолдер. Я даже не настаиваю на таких мелочах, как автоматический ресамплинг на стороне клиента.
DOO>Ты хочешь странного, честно говоря. С такими замахами — зачем тебе вообще web? Делай нормальный клиент-сервер...
Не понимаю, в чем странность. Ты, наверное, в какой-то другой реальности живешь. Вот смотри: веб уже есть. Его нельзя обратно "разизобрести". Есть, допустим, сервисы типа fotki.com. Как закачивать на них фотографии? Я могу конечно изобрести специального клиента. Более того, это тоже стандартная практика.
Но я не вижу никакого преимущества толстого клиента перед активХ. Сплошные недостатки:
1. Его надо ставить. Все-таки ActiveX в браузере ставится гораздо ровнее. Безо всяких там "давай посохраняем", "давай поставим".
2. Он не может использовать существующую сессию браузера. ActiveX может получить от странички нужный контекст, и пользователю не потребуется логиниться второй раз.


DOO>>>Да и вообще, чтоб я дал какому-то сайту с помошью FSO мой диск шерстить...
S>>Ну вот поэтому-то на FSO ничего и не построишь.
DOO>А FSO это не ActiveX? Типа раз нет гуя, то это уже таковым не считается?
Я, честно говоря, не в курсе, является ли FSO ActiveX. Но по-моему ты путаешь причину и следствие:
1. Стороннему ActiveX не нужно пользоваться FSO. Он может тупо сказать CreateFile и поехали — это же обычный win32 код; RTFMSDN и поехали.
2. FSO используется из JavaScript и доступ к нему контролируется политикой безопасности. Если бы он был разрешен, то на его основе построить нужный функционал труда бы не представляло. Увы, нет способа нормально объяснить пользователю "вот я сайт, я хочу полезть туда-то и туда-то, разработан я теми-то и теми-то, так что мне можно доверять. Вот подпись, гарантирующая, что злодеи не внесли в код закладок. Для ActiveX такой способ есть.

S>>А ActiveX, в отличие от javascript, подписывается ЭЦП, что дает единственную надежду на безопасность.
DOO>Да вот именно что единственную и совсем даже ненадежную. В подписанном коде уязвимости не исчезают сами собой.
Чего? Какие еще уязвимости?
Проблема не в уязвимостях активХэ; проблема — в потенциальной злонамерености его разработчика.

Здравствуйте, Cyberax, Вы писали:

C>Да без проблем, за примерно $1500 напишем вам в виде Java-апплета (сертефикат — за ваши деньги).
Спасибо, мы уже написали.

DOO>>>Да и вообще, чтоб я дал какому-то сайту с помошью FSO мой диск шерстить...
S>>Ну вот поэтому-то на FSO ничего и не построишь. А ActiveX, в отличие от javascript, подписывается ЭЦП, что дает единственную надежду на безопасность.
C>Лет 5 назад на всяких сайтах с краками было полно (подписаных!) ActiveX'ов, которые ставили малварю. Причем, если ты помнишь, IE5/6 ставили подписаные ActiveXы вообще без вопросов.
Не надо ля-ля. Ходил я на эти сайты. Там просто в самом названии конторы, на которую выписан сертификат, был текст типа "А вот сейчас нажмите сюды, чтобы подтвердить ваше желание скачать малварю". Против кретинизма технически бороться нельзя. Я вот удивляюсь, почему у нас никто не догадался зарегистрировать партию "ПРОТИВ ВСЕХ". Запросто бы получили думское большинство, потому как идиотов у нас в стране, как и везде, большинство.

А активиксов до сих пор довольно много в тех областях, где нужно взаимодействие с клиентом. Все остальное действительно уехало в Ajax и Flash.

C>Поэтому ActiveXы и ушли в морг, оставшись в определенных нишах (типа Интернет-банкинга), примерно на одном уровне распространения с апплетами.

C>В JS уже хорошо то, что он сейчас практически безопасен (не считая изредка появляющихся дырок). Добавить в JS возможность делать определенные операции с FS можно без особых проблем (в IE для этого MS просто должен написать COM-объект и выставить его в контекст JS, для FF — сделать просто адд-он). А вот сделать ActiveX безопасным — нереально.
COM-объект уже написан и выставлен. Он называется FileSystemObject, сокращенно — FSO.

Sinclair однажды (26 ноября 2007 [Понедельник] 08:40) писал:

все сводится к тому, что сайт можно будет смотреть и пользовать тока в ie. Не думаеш ли ты, что похож на тех перцев, которых ругал в корне дерева?

--
...belive in the matrix...

Здравствуйте, Sheridan, Вы писали:

S>Sinclair однажды (26 ноября 2007 [Понедельник] 07:49) писал:

>> Я даже не настаиваю на таких мелочах, как автоматический ресамплинг на стороне клиента.
S>Это не клиента дело — ресамплинг.
О-о! Молодец. Ты же вроде там за какой-то перформанс воевал...
Типичное разрешение современной мыльницы — около 7Mpix. Вес типичной jpeg-фотки — 3-4MB.
В веб выкладывать картинки более 1024*768 — блажь. Для большинства применений достаточно 800*600. Типичный вес картинки после ресамплинга — 300-400Kb. Это в отличном качестве; зачастую можно и сильнее пожать.
Ты точно уверен, что предлагаешь лить на сервер в 10 раз больше данных, чем надо?
Учитывая то, что upload канал как правило тоньше чем download? Да клиент устанет ждать, пока его гигабайт на сервер уедет!

Здравствуйте, Sheridan, Вы писали:

S>Позволю себе напомнить, что чем меньше имеет удаленный ресурс доступа к локальному компу, тем лучше для пользователя в плане безопасности.
Есть такое понятие — юзабилити. Если у ресурса юзабилити не дотягивает до минимально необходимого уровня, то на его безопасность никто даже не посмотрит.
Поэтому, например, сервисы фотопечати в основном предлагают скачать и поставить локальную программку. Потому как upload фоток по одной отпугнет клиентов эффективнее, чем отряд ОМОН.

Здравствуйте, Sheridan, Вы писали:
S>Да тут большая часть форума хочет странного.
Ага. Все отделение идет не в ногу, один ты в ногу. Конечно странно, ожидать от веб-портала удобного и осмысленного поведения. Правильные пацаны заресамплят всё сами через image_magic, а на сервер выкладут по ftp. написав предварительно скрипт, штоб на все вопросы задаваемые mput отвечал y.
И вообще непонятно, зачем покупают компьютер люди, которые не могут сами написать нужную им программу.

Sinclair однажды (26 ноября 2007 [Понедельник] 08:52) писал:

> Здравствуйте, Sheridan, Вы писали:
>
> S>Позволю себе напомнить, что чем меньше имеет удаленный ресурс доступа к локальному компу, тем лучше для пользователя в плане безопасности.
> Есть такое понятие — юзабилити. Если у ресурса юзабилити не дотягивает до минимально необходимого уровня, то на его безопасность никто даже не посмотрит.
> Поэтому, например, сервисы фотопечати в основном предлагают скачать и поставить локальную программку. Потому как upload фоток по одной отпугнет клиентов эффективнее, чем отряд
> ОМОН.


Не злоупотребляй. Из всех пользователей едва ли 10я часть будет пользоваться предложеным тобой функционалом.
Вдобавок что мешает открывать фтп для пользователей, чтобы заливали фотки.
Плюсы налицо: Вид такойже как и в эксплорере, можно таскать файлы мышкой туда-сюда, при желании можно сделать синхронизацию локальной папки с фтп сторонними утилитами итд итп
Не надо только насчет того что "юзер не знает". Невежественность юзера вплотную зависит от качества описания инструмента.

--
...belive in the matrix...

Sinclair однажды (26 ноября 2007 [Понедельник] 08:52) писал:

> О-о! Молодец. Ты же вроде там за какой-то перформанс воевал...
> Типичное разрешение современной мыльницы — около 7Mpix. Вес типичной jpeg-фотки — 3-4MB.
> В веб выкладывать картинки более 1024*768 — блажь. Для большинства применений достаточно 800*600. Типичный вес картинки после ресамплинга — 300-400Kb. Это в отличном качестве;
> зачастую можно и сильнее пожать. Ты точно уверен, что предлагаешь лить на сервер в 10 раз больше данных, чем надо?
> Учитывая то, что upload канал как правило тоньше чем download? Да клиент устанет ждать, пока его гигабайт на сервер уедет!

Эээ... А кто тут все время распинается про "траффик — не ресурс"?
Неужели точку зрения поменял?
Твоя "проблема" решается ограничиванием размера файла для аплоада в полтора мегабайта. Стандартный прием для решения подобных ситуаций.

--
...belive in the matrix...

Sinclair однажды (26 ноября 2007 [Понедельник] 08:52) писал:

> Ага. Все отделение идет не в ногу, один ты в ногу.
Ты только мои посты видиш? Фильтр сними.

> Конечно странно, ожидать от веб-портала удобного и осмысленного поведения. Правильные пацаны заресамплят всё сами через
> image_magic, а на сервер выкладут по ftp.
Правильно мыслиш.

> написав предварительно скрипт, штоб на все вопросы задаваемые mput отвечал y.
Эээ... что такое mput? какойто клиент? Удобнее krusader'а и тотал коммандера?

> И вообще непонятно, зачем покупают компьютер люди, которые не могут сами написать нужную им программу.
Ой, не говори. Всех бы перестрелял — один бы остался. Как бы было хорошо...

Синклер, кто тебе сказал, что все пользователи поголовно — идиоты?

--
...belive in the matrix...

Здравствуйте, Sinclair, Вы писали:

S>У 99% никакой JVM на борту нету. Зачем она более-менее активному пользователю интернет?
По нашей статистике (мы используем Java Web Start) JVM уже установлена у 40% пользователей.

S>Шутишь? Неуправляемый код, в общем случае, в песочницу поместить невозможно.
Скажи это авторам OpenVZ

В Google Android, кстати, сделали очень просто — на каждое установленое приложение создается свой пользователь.

S>Чего? Какие еще уязвимости?
S>Проблема не в уязвимостях активХэ; проблема — в потенциальной злонамерености его разработчика.
Кстати, про уязвимости — вполне могу себе представить ситуацию, когда дырку в одном ActiveX будет использовать совсем другой малварь.

Здравствуйте, Sinclair, Вы писали:

C>>Лет 5 назад на всяких сайтах с краками было полно (подписаных!) ActiveX'ов, которые ставили малварю. Причем, если ты помнишь, IE5/6 ставили подписаные ActiveXы вообще без вопросов.
S>Не надо ля-ля. Ходил я на эти сайты. Там просто в самом названии конторы, на которую выписан сертификат, был текст типа "А вот сейчас нажмите сюды, чтобы подтвердить ваше желание скачать малварю".
У меня лично один раз поставился малварный ActiveX без всяких вопросов в 2002 году. Собственно, после этого я пересел на Mozilla (которая тогда еще не была даже Phoenix'ом).

C>>В JS уже хорошо то, что он сейчас практически безопасен (не считая изредка появляющихся дырок). Добавить в JS возможность делать определенные операции с FS можно без особых проблем (в IE для этого MS просто должен написать COM-объект и выставить его в контекст JS, для FF — сделать просто адд-он). А вот сделать ActiveX безопасным — нереально.
S>COM-объект уже написан и выставлен. Он называется FileSystemObject, сокращенно — FSO.
FSO, насколько я помню, не помечен как "safe for scripting", поэтому из браузерного JS его использовать нельзя. В общем, добавление небольшой новой фичи — это ничто по сравнению с необходимостью закрытия существующих дыр в AX.

Кстати, еще можно пойти по пути Google Gears — т.е. сделать плугины для браузеров.

Здравствуйте, Sheridan, Вы писали:

S>все сводится к тому, что сайт можно будет смотреть и пользовать тока в ie. Не думаеш ли ты, что похож на тех перцев, которых ругал в корне дерева?
Я — нет, не думаю. Потому, что мы предлагаем все три способа: ActiveX, Applet, pure JS. И мы не говорим "не пользуйте FF, бо как он подтачивает основы господства МС".

Здравствуйте, Sheridan, Вы писали:

>> Конечно странно, ожидать от веб-портала удобного и осмысленного поведения. Правильные пацаны заресамплят всё сами через
>> image_magic, а на сервер выкладут по ftp.
S>Правильно мыслиш.
Без комментариев.
>> написав предварительно скрипт, штоб на все вопросы задаваемые mput отвечал y.
S>Эээ... что такое mput? какойто клиент? Удобнее krusader'а и тотал коммандера?
Ну что ж ты. Неужто не знаком с набором команд консольного ftp — клиента?
S>Синклер, кто тебе сказал, что все пользователи поголовно — идиоты?
Да никто не сказал. Пока что я вижу как раз обратное: среди программистов процент идиотов несколько выше, чем везде. По крайней мере, средний пользователь готов мириться с интеллектуальной ограниченностью разработчиков в гораздо более широких пределах, чем наоборот.