Здравствуйте, DOOM, Вы писали:

S>>Суммарное количество пользователей протокола FTP за всю его историю меньше, чем активных пользователей того же kodak easyPrint.
DOO>Статистика из серии 100% опрошенных используют интернет.
Совершенно верно. BBS как-то незаметно ушли в прошлое.
DOO>Понятно, что во времена засилья FTP, NNTP, uucp и тому подобных вещей пользователей интернета было в тысячи раз меньше.
Ну и? Какие выводы будем делать? Я лично делаю очень простой вывод: упрощение взаимодействия приводит на рынок новых пользователей. Плакать по перфокартам смысла не вижу. А FTP с точки зрения современной usability — именно перфокарты.

Надо повзрослеть и понять, что пользователям нужны сервисы. Причем желательно — с нулевым порогом вхождения. Поэтому через десять лет париться с ручной заливкой фоток на вебсервис будут только единичные энтузиасты устаревших технологий — кнопка "заказать отпечатки" будет сразу в фотоаппарате, который автоматически будет заливать всё отснятое на аккаунт, предоставленный производителем вместе с фотоаппаратом, по беспроводной связи. И будет куча сервисов по дальнейшей обработке контента, доступная через веб.

DOO>Лично я с фотками вообще не очень... Тем более, чтоб я еще и выкладывал.
Я тебя понимаю — некогда жить, когда программировать надо

DOO>Ну, во-первых, переться там не от чего. Все не так сложно. Во-вторых, задачи-то действительно эффективно решаются.
DOO>Я не знаю способа более простого и гибкого отредактировать набор картинок (например, проставить всем какой-нибудь текст в нижнем правом углу).
Типичный енд-юзер не хочет ни осваивать простой софт, ни ставить к себе сложный. Поэтому очень популярны веб-сервисы. В частности, позволяющие не только текст в нижнем правом углу, а и еще десятки интерактивных фотообрабатывающих задач.

DOO>Когда звучит задача "добраться от дома до работы" рулят, судя по всему, варианты такси/общественный транспорт или просто пешком. Машина — слишком уж сложно.
Совершенно верно. Лично мне от дома до работы и обратно удобно добираться общественным транспортом. Это банально дешевле, кроме того в маршрутке можно смотреть кино, а не на дорогу. А вот к примеру шоппингом несравненно удобнее заниматься на машине. Если бы у нас такси работало по цене маршрутки, то никто бы себе машину не покупал. А мы говорим именно о решениях уровня такси, а то и выше: не нужно помнить номера телефонов и прочую муть. Это как если бы ты вышел из подъезда, а там сразу тебя машина ждет и готова везти тебя хоть в магазин, хоть на работу, хоть на Алтай водки неделю попить.

Здравствуйте, Cyberax, Вы писали:
S>>3. Возможность трассировать стек вызовов через границы процессов.
C>Зачем?
Затем, что нужно проверять, кто выполняет вызов. Когда мы делаем SomePermission.Demand() отрабатывает довольно сложная логика анализа стека вызовов. Даже если у immediate caller права на выполнение вызова нет, оно может быть у кого-то выше по стеку.

C>Зачем так сложно? Это может выглядеть так: ты открываешь приложение http://www.someappppppp.com/, система смотрит его манифест, определяет что ему нужен доступ только к персональному каталогу приложения. Затем, система запускает процесс (возможно, и на Java/.NET/JS) с нужными привиллегиями,
Непонятно, что такое "нужные привилегии".
C>а процесс уже подгружает все нужные ему библиотеки. И на попытку прочитать файл вне своей песочницы — просто получить EACCSESS.
Каким образом это делается? Напомню, что в оси сейчас проверяется только доступ по ACL. Так что для того, чтобы осуществить желаемое, нужно динамически создать временного пользователя и раздать ему права на объекты FS в соответствии с политикой.

Здравствуйте, netch80, Вы писали:

AJD>>Было бы вообще здорово. Жаль конечно, что MS не опубликовало в свое время спецификации.
N>Ну да — всего-то потащить за собой винду и эмулятор x86.

Зачем?

Здравствуйте, netch80, Вы писали:

AJD>>Ровно также, как это сейчас делают плагины для FF или оперы
N>Вы не чувствуете разницы?
Нет, не чувствую. Обьясни мне, пожалуйста, разницу между установкой Флеша под IE как ActiveX и плагина для FF?

N>Плагины ставятся явно и модифицируют браузер. Но общим для всех образом, понятно для юзера и явным запросом установки.
ActiveX тоже устанавливаются явно, с явным запросом установки. Только не надо рассказывать про уязвимость которая была в IE5 и личилось автоматическими апдейтами.

N>А что даёт ActiveX модуль? Он имеет смысл для всего браузера или хотя бы для целого типа данных, независимого от сайта (как Flash)? Нет, в подавляющем большинстве случаев это нечто имеющее отношение к 1-2 сайтам из тех, на которые ходит юзер.

ActiveX делает ровно тоже что делает плагин к FF. Если им пользуется 1-2 сайта, разве это проблема ActiveX?


N>Я таким образом столкнулся с проблемой написания отчётов в MS Project.
Бывает. Но разве все плагины к FF или Опере прямые и безглючные?


N>Ну и теперь объясните мне — нахрена это разноцветное дерьмо под названием ActiveX, которое мало того что требует ненужных и безумных вещей и молча появляется в системе никого даже не предупредив, так ещё и умудряется уронить браузер? В сад, я лучше что-то полезное сделаю, чем трахаться с этим.

Кривой плагин к FF также запросто уронит браузер или сделает из него спам-бота.

Здравствуйте, DOOM, Вы писали:

S>>Я, честно говоря, не в курсе, является ли FSO ActiveX. Но по-моему ты путаешь причину и следствие:
DOO>По классификации COM объектов от MS — ActiveX'ом зовется любой COM с гуем (если я правильно помню), т.е. формально FSO не ActiveX (гуя нету), но чем он лучше-то?

Неа. Гуй здесь ни причем. FSO — ActiveX

Здравствуйте, DOOM, Вы писали:

DOO>Я бы этому исследователю его исследования....
DOO>Какой мудак мог догадаться придумать клавиатуру у которой кнопки power, sleep и suspend расположены под Insert, Delete и Home?
DOO>Это называется забота о простом пользователе?

Наверно тот же самый, который придумал сделать Del двойного размера, убрать Ins и переставить местами все остальные кнопки в блоке. А такие же м%№ки из других фирм не потрудившись хоть немного подумать скопировали эту раскладку. Вот бы собрать их всех вместе и подвесить за кое-какое место, чтобы не плодили себе подобных.

PS надеюсь, судьба этой раскладки будет той же, что и у предыдущих "ыкспериментов", и через пару лет все вернется в норму

Здравствуйте, Sinclair, Вы писали:

C>>Ну и давать туда только readonly-доступ. Какие проблемы-то?
S>Проблемы очень простые: как понять, кому readonly, а кому вообще нельзя?
S>А если злонамеренный контрол скомуниздит из My Documents базу MSMoney вместе с паролями к банковским счетам?
Ну что делать — мы должны ему что-то доверить делать. Ну или ставить доплнительную защиту на определенные файлы (в Линуксе это уже работает — я на Линуксе запускаю браузер только в sandbox'е).

C>>Представь себе такую ситуацию — компания "VeryReliableSoftware" производит набор бесплатных (с платными pro-версиями) ActiveX-компонентов. Любой веб-мастер может скачать их компонент, залить cab-файл на свой сайт и подключить на свою страничку. И вот в одном из компонентов обнаруживают buffer overflow, тут же появляется малварь, которая эту дырку эксплуатирует.
S>Ниче не понимаю. Как эта малварь заэксплуатирует эту дыру? Где будет исполняться эта малварь?
Да элементарно. Предположим, что это очередная бага в декодере JPEG'ов. Тогда делается так: на хакерском сайте кладется этот контрол, и в качестве картинки ему указывается буферно-переполняющая с эксплоитом (лежащая на этом же сайте рядышком с cab'ом с ActiveXом).

C>>Я к чему это говорю — модели, требующие доверия, изначально вредны.
S>Вообще-то, доверия требуют все модели.
Текущие web-страницы его почти не требуют (что меня, лично, жутко радует).

Задача в том, чтобы в контролируемой форме дать веб-страницам больше возможностей. При этом, желательно, не устраивая революций.

Здравствуйте, Cyberax, Вы писали:

C>Лет 5 назад на всяких сайтах с краками было полно (подписаных!) ActiveX'ов, которые ставили малварю.
Есть такое, даже сейчас

C>Причем, если ты помнишь, IE5/6 ставили подписаные ActiveXы вообще без вопросов.
Это не правда.

Здравствуйте, Sinclair, Вы писали:

DOO>>А FSO это не ActiveX? Типа раз нет гуя, то это уже таковым не считается?
S>Я, честно говоря, не в курсе, является ли FSO ActiveX.

Нет. FSO это не ActiveX.

Здравствуйте, Left2, Вы писали:

L>JS debugger в IE — это MS Visual Studio, как правило есть у любого разработчика. IMHO, куда более удобный отладчик, чем мозиловский. А вот насчёт DOM инспектора и т.п. — это да, тут соглашусь.

DOM испектор для IE уже давно есть, интегрирован в MS Developer Toolbar. И сильно поудобнее сделан, чем в мозилле.

Здравствуйте, Cyberax, Вы писали:

C>Кстати, про уязвимости — вполне могу себе представить ситуацию, когда дырку в одном ActiveX будет использовать совсем другой малварь.

Это не проблема технологии ActiveX. Когда были проблемы с безопасностью во Флеше, исправляли как ActiveX, так и мозиловские плагины.

Здравствуйте, Sinclair, Вы писали:

C>>Зачем?
S>Затем, что нужно проверять, кто выполняет вызов. Когда мы делаем SomePermission.Demand() отрабатывает довольно сложная логика анализа стека вызовов. Даже если у immediate caller права на выполнение вызова нет, оно может быть у кого-то выше по стеку.
Зачем? Приложению нет особого смысла обращаться за границы своего домена защиты — все необходимые сервисы доступны ему локально. Но даже для этого случая, в принципе, можно использовать метки безопасности (как это делается в SELinux или Trusted Solaris).

C>>Зачем так сложно? Это может выглядеть так: ты открываешь приложение http://www.someappppppp.com/, система смотрит его манифест, определяет что ему нужен доступ только к персональному каталогу приложения. Затем, система запускает процесс (возможно, и на Java/.NET/JS) с нужными привиллегиями,
S>Непонятно, что такое "нужные привилегии".
Которые прописаны в манифесте. Возможен и вариант типа: "Приложение пытается получить доступ к папке MYDOC~1. Разрешить?".

C>>а процесс уже подгружает все нужные ему библиотеки. И на попытку прочитать файл вне своей песочницы — просто получить EACCSESS.
S>Каким образом это делается? Напомню, что в оси сейчас проверяется только доступ по ACL.
Оооо... Ты отстал от жизни

Вот, например, профиль AppArmor'а моего FireFox'а на Линуксе:

 /usr/lib/firefox/firefox.sh flags=(complain) {
   /bin/basename rmix,
   /bin/bash rmix,
   /bin/gawk rmix,
   /bin/netstat rmix,
   /dev/log w,
   /dev/null rw,
   /dev/tty rw,
   /dev/urandom r,
   /etc/fonts/** r,
   /etc/ld.so.cache rm,
   /etc/localtime r,
   /etc/magic r,
   /etc/opt/gnome/** r,
   /etc/passwd r,
   /etc/resolv.conf r,
   /home/*/.fontconfig/** r,
   /home/*/.gconfd/* rw,
   /home/*/.gconf/ r,
   /home/*/.gconf/* rw,
   /home/*/.gnome2_private/ w,
   /home/*/.mozilla/** rw,
   /home/*/.Xauthority r,
   /lib/ld-2.5.so rmix,
   /lib/lib*.so* rm,
   /opt/gnome/lib/GConf/2/gconfd-2 rmix,
   /opt/gnome/lib/**.so* rm,
   /proc/meminfo r,
   /proc/net/ r,
   /proc/net/* r,
   /tmp/gconfd-*/ r,
   /tmp/gconfd-*/** rwl,
   /tmp/orbit-*/ w,
   /tmp/orbit-*/* w,
   /tmp/ r,
   /usr/bin/file rmix,
   /usr/lib/browser-plugins/ r,
   /usr/lib/browser-plugins/** rm,
   /usr/lib/firefox/firefox-bin rmix,
   /usr/lib/firefox/firefox.sh r,
   /usr/lib/firefox/** r,
   /usr/lib/firefox/**.so rm,
   /usr/lib/gconv/** r,
   /usr/lib/gconv/*so m,
   /usr/lib/lib*.so* rm,
   /usr/lib/locale/** r,
   /usr/share/** r, 
   /var/cache/fontconfig/* r,
   /var/cache/libx11/compose/* r,
   /var/run/dbus/system_bus_socket w,
   /var/run/nscd/passwd r,
   /var/run/nscd/socket w,
   /var/tmp/ r,
 }

Ядерный модуль проверяет возможность обращения к файлам. Естественно, разрешения распространяются на детей процесса. Для более простых приложений профили еще проще. Сейчас еще делается работа по совмещению AppArmor'а с фреймворком привиллегированых действий, чтобы получить аналог CASа (т.е. файл можно открыть только через OpenFile-диалог и т.п.).

Есть еще адский SELinux, в котором можно, например, ставить метки безопасности на сетевые пакеты, и давать приложению их обрабатывать только при наличии нужных токенов безопасности.

S>Так что для того, чтобы осуществить желаемое, нужно динамически создать временного пользователя и раздать ему права на объекты FS в соответствии с политикой.
Нет, просто усовершенствовать ОС. Даже к Windows можно сравнительно просто прикрутить аналог Линуксового AppArmor'а.

Здравствуйте, DOOM, Вы писали:

DOO>По классификации COM объектов от MS — ActiveX'ом зовется любой COM с гуем (если я правильно помню), т.е. формально FSO не ActiveX (гуя нету), но чем он лучше-то?

ActiveX зовется СОМ обьект который реализует набор определенных интерфейсов, часть которых используется для гуя.

DOO>Самые обыкновенные. Неужто в том же Flash'е нету дырок? Меня дак удивляет, что до сих пор в нем никто не покапался...
Копались, есть куча проблем как для ActiveX, так и для мозиловских плагинов

Здравствуйте, Sinclair, Вы писали:

S>Здравствуйте, DOOM, Вы писали:

S>>>Суммарное количество пользователей протокола FTP за всю его историю меньше, чем активных пользователей того же kodak easyPrint.
DOO>>Статистика из серии 100% опрошенных используют интернет.
S>Совершенно верно. BBS как-то незаметно ушли в прошлое.
DOO>>Понятно, что во времена засилья FTP, NNTP, uucp и тому подобных вещей пользователей интернета было в тысячи раз меньше.
S>Ну и? Какие выводы будем делать? Я лично делаю очень простой вывод: упрощение взаимодействия приводит на рынок новых пользователей. Плакать по перфокартам смысла не вижу. А FTP с точки зрения современной usability — именно перфокарты.

Не соглашусь с тобой. Есть такая штука — Unix way. Есть такое понятие система алфавит и система иероглиф.
То, что предлагаю я — система алфавит. Для каждого этапа задачи свой инструмент, таким образом для решения любой задачи надо лишь владеть узким набором инструментов. Но владеть хорошо.

То, что предлагаешь — система иероглиф. Для каждой задачи свой инструмент, инструментов бесконечно много, потому что задач множество. Чтобы было реально с этим справится инструмент делают максимально примитивным в ущерб всему, чему только можно: эффективности, требовательности к ресурсам, безопасности и т.п.
Мое ИМХО — такой подход в корне неверный.


S>Надо повзрослеть и понять, что пользователям нужны сервисы. Причем желательно — с нулевым порогом вхождения. Поэтому через десять лет париться с ручной заливкой фоток на вебсервис будут только единичные энтузиасты устаревших технологий — кнопка "заказать отпечатки" будет сразу в фотоаппарате, который автоматически будет заливать всё отснятое на аккаунт, предоставленный производителем вместе с фотоаппаратом, по беспроводной связи. И будет куча сервисов по дальнейшей обработке контента, доступная через веб.
Все они будут связаны при помощи каких-нибудь стандартизованных web-сервисов, будет свой WFTP и т.п.
В общем вернемся к тому же, только получим лишний слой абстракции.



DOO>>Лично я с фотками вообще не очень... Тем более, чтоб я еще и выкладывал.
S> Я тебя понимаю — некогда жить, когда программировать надо
А я профессионально даже не программист уже давно


S>Типичный енд-юзер не хочет ни осваивать простой софт, ни ставить к себе сложный. Поэтому очень
Web-сервис тоже освоить надо так-то... Вон какой-нибудь CorneliOS так сразу не изучишь...

S>популярны веб-сервисы. В частности, позволяющие не только текст в нижнем правом углу, а и еще десятки интерактивных фотообрабатывающих задач.
Но какая разница поставить себе сборку .Net, Java апплет или объект ActiveX? В первых двух случаях более-менее с безопасностью и переносимостью, а последний я не признаю в корне.


DOO>>Когда звучит задача "добраться от дома до работы" рулят, судя по всему, варианты такси/общественный транспорт или просто пешком. Машина — слишком уж сложно.
S>Совершенно верно. Лично мне от дома до работы и обратно удобно добираться общественным транспортом. Это банально дешевле, кроме того в маршрутке можно смотреть кино, а не на дорогу. А вот к примеру шоппингом несравненно удобнее заниматься на машине. Если бы у нас такси работало по цене маршрутки, то никто бы себе машину не покупал. А мы говорим именно о решениях уровня такси, а то и выше: не нужно помнить номера телефонов и прочую муть. Это как если бы ты вышел из подъезда, а там сразу тебя машина ждет и готова везти тебя хоть в магазин, хоть на работу, хоть на Алтай водки неделю попить.
Только таксист имеет всякие ненормальные ограничения, типа максимальной скорости 40 км/ч, для каждого маршрута свое такси и т.п.
В общем это все может и устаканится, но мы получим опять набор стандартных инструментов, но уже на вершине web-сервисов... А оно надо?

Здравствуйте, AndrewJD, Вы писали:

C>>Причем, если ты помнишь, IE5/6 ставили подписаные ActiveXы вообще без вопросов.
AJD>Это не правда.
Ставили, ставили. Это с большой помпой поменяли к SP2.

Здравствуйте, Cyberax, Вы писали:

C>Здравствуйте, AndrewJD, Вы писали:

C>>>Причем, если ты помнишь, IE5/6 ставили подписаные ActiveXы вообще без вопросов.
AJD>>Это не правда.
C>Ставили, ставили. Это с большой помпой поменяли к SP2.

Нифига не ставили. Если ты поставил галочку всегда доверять данному провайдеру — это был твой осознаный выбор.

Здравствуйте, Cyberax, Вы писали:
C>Зачем? Приложению нет особого смысла обращаться за границы своего домена защиты — все необходимые сервисы доступны ему локально.
Вот этого я не понимаю. Что такое "локально"? Чтобы всё работало, у приложения должен быть отобран доступ к FS. FS — только через обращение к trusted процессу, который в свою очередь проверяет наличие у вызывающего процесса разрешения полезть в запрошенный файл.
При этом загрузка динамических библиотек такому приложению должна быть запрещена — каждый плагин должен исполняться в своем процессе. Иначе он отнаследует высокодоверенные права и опс! Опять дыра.
C>Которые прописаны в манифесте. Возможен и вариант типа: "Приложение пытается получить доступ к папке MYDOC~1. Разрешить?".
Манифест — это всего лишь оптимизация выдачи привилегий. Это чтобы не получить ситуацию, когда приложение проработало полчаса, а потом оказалось, что оно хочет чевой-то не тово. Всё равно проверка доступа должна осуществляться в момент доступа, и не по манифесту, а по настроенной пользователем политике.


C>Вот, например, профиль AppArmor'а моего FireFox'а на Линуксе:
C>Ядерный модуль проверяет возможность обращения к файлам. Естественно, разрешения распространяются на детей процесса.
Отлично. То есть любой плагин автоматически получает все права родительского приложения? Ну это конечно большой прогресс по сравнению с ActiveX.

S>>Так что для того, чтобы осуществить желаемое, нужно динамически создать временного пользователя и раздать ему права на объекты FS в соответствии с политикой.
C>Нет, просто усовершенствовать ОС. Даже к Windows можно сравнительно просто прикрутить аналог Линуксового AppArmor'а.
Аналог АппАрмора к винде уже прикрутили. См. висту с работой процессов в пониженных привилегиях.
Один хрен это членоудлиннитель: рекламы много, но нифига не помогает. Просто появятся более хитрые приложения, которые будут дожидаться от пользователя подъема привилегий для выполнения злого кода.

Здравствуйте, DOOM, Вы писали:

Поясняю вкратце:
1. Unix Way доказал свою несостоятельность на массовом рынке уже давно. По крайней мере в доведенном до абсурда виде, который так любят отстаивать фанаты никсов. Этот факт я обсуждать не буду, потому что лечение от слепоты в мои таланты не входит.
2. Фундаментальная проблема с пониманием состоит в том, что предлагаемые Unix-way решения как раз и есть "иероглифы". Причем для мало-мальски связной работы нужно знать под пару тыщ этих иероглифов, а без этого даже из дому не выходи.
В то время, как web-app подход предлагает именно алфавит: единственное приложение, которое нужно изучить — это браузер. Всё остальное делается интуитивным путем. Про image magic надо хотя бы знать, что он существует; чтобы сделать с его помощью выравнивание цветобаланса надо иметь PhD и трудолюбие. В вебе автовыравнивалка работает сама по кнопке "выровнять баланс белого".
Пойми, твои потребности типа "добавить к фотографии текст в углу" в развитом мире отцвели много лет назад. Там у людей совсем другая проблема — например заказать коллаж в рамке, или перекидной фотокалендарь по набору фоток. И им это пришлют домой либо дадут забрать в ближайшем магазине. Для этого magic сосет причмокивая, и всю жизнь будет сосать — просто потому, что в этом алфавите слово длиннее чем из трех букв устанешь писать.

S>>Надо повзрослеть и понять, что пользователям нужны сервисы. Причем желательно — с нулевым порогом вхождения. Поэтому через десять лет париться с ручной заливкой фоток на вебсервис будут только единичные энтузиасты устаревших технологий — кнопка "заказать отпечатки" будет сразу в фотоаппарате, который автоматически будет заливать всё отснятое на аккаунт, предоставленный производителем вместе с фотоаппаратом, по беспроводной связи. И будет куча сервисов по дальнейшей обработке контента, доступная через веб.
DOO>Все они будут связаны при помощи каких-нибудь стандартизованных web-сервисов, будет свой WFTP и т.п.
Никого не интересует, какой там будет протокол внутри. Он просто будет работать, и всё. Вот ты в курсе, чем отличается gsm от какого-нибудь CDMA?
Будет ли в 2015 SOAP — совершенно непонятно. Просто если есть стандарт де факто в какой-то отрасли, то с ним выгодно дружить. Поэтому какой-нибудь Canon будет предлагать свои услуги всяким third-party, и значит blogger.com научится вставлять картинки прямо из фотобанка Canon. Также, как Skype предлагает переслать бабло по Paypal.


DOO>В общем вернемся к тому же, только получим лишний слой абстракции.
Не вижу никакого слоя абстракции. Я не думаю о реализации, я говорю о поведении.


S>>Типичный енд-юзер не хочет ни осваивать простой софт, ни ставить к себе сложный. Поэтому очень
DOO>Web-сервис тоже освоить надо так-то... Вон какой-нибудь CorneliOS так сразу не изучишь...
Ага. Поэтому суммарное количество его клиентов никогда не достигнет даже ЖЖ.

S>>популярны веб-сервисы. В частности, позволяющие не только текст в нижнем правом углу, а и еще десятки интерактивных фотообрабатывающих задач.
DOO>Но какая разница поставить себе сборку .Net, Java апплет или объект ActiveX? В первых двух случаях более-менее с безопасностью и переносимостью, а последний я не признаю в корне.
О, вот мы подходим к правильным вопросам.
Для сборки .Net и Java апплета нужны соответственно CLR и JVM. До тех пор, пока их проникновение не достигло 90%, они не могут быть заменой ActiveX. Только дополнением.
Кстати, самая лучшая переносимость сейчас у Flash. С чем, в частности, и связана его бешеная популярность для построения т.н. Rich Web GUI. Единственное, что ему угрожает — это Silverlight.


DOO>Только таксист имеет всякие ненормальные ограничения, типа максимальной скорости 40 км/ч, для каждого маршрута свое такси и т.п.
Ты это по какой укурке пишешь? На всякий случай напомню, что у реального такси только один недостаток: нереальная цена.
А аналог, про который я говорил — Windows Explorer Extension — никакими ограничениями не обладает.

DOO>В общем это все может и устаканится, но мы получим опять набор стандартных инструментов, но уже на вершине web-сервисов... А оно надо?
Ну ты сам думай, надо или нет. Причем думай за простого пользователя, у которого есть и другие хобби, кроме управления компом. Ему как раз всегда хочется как можно больше всего зааутсорсить — по приемлемой цене и без головной боли. Чтобы мусор вывозил мусоршик, газоны стриг газонокосильщик, фотографии процессила фотолаборатория, счета платил посредник и т.п. Вот веб-сервисы — это как раз такие мусорщики, газонокосильщики и т.п.

Здравствуйте, Sinclair, Вы писали:

C>>Зачем? Приложению нет особого смысла обращаться за границы своего домена защиты — все необходимые сервисы доступны ему локально.
S>Вот этого я не понимаю. Что такое "локально"? Чтобы всё работало, у приложения должен быть отобран доступ к FS. FS — только через обращение к trusted процессу, который в свою очередь проверяет наличие у вызывающего процесса разрешения полезть в запрошенный файл.
Я не понимаю зачем городить еще один trusted-процесс. Если мы даем приложению права на доступ к FS, то он из своего процесса может использовать обычные системные вызовы open/CreateFile для работы.

C>>Которые прописаны в манифесте. Возможен и вариант типа: "Приложение пытается получить доступ к папке MYDOC~1. Разрешить?".
S>Манифест — это всего лишь оптимизация выдачи привилегий. Это чтобы не получить ситуацию, когда приложение проработало полчаса, а потом оказалось, что оно хочет чевой-то не тово. Всё равно проверка доступа должна осуществляться в момент доступа, и не по манифесту, а по настроенной пользователем политике.
Ну да, естественно.

C>>Вот, например, профиль AppArmor'а моего FireFox'а на Линуксе:
C>>Ядерный модуль проверяет возможность обращения к файлам. Естественно, разрешения распространяются на детей процесса.
S>Отлично. То есть любой плагин автоматически получает все права родительского приложения? Ну это конечно большой прогресс по сравнению с ActiveX.
Ну хоть какой-то. При желании, можно было бы запускать плугины в отдельном подпроцессе и общаться с родителем по IPC. Причем подпроцесс для себя может попросить больше привиллегий.

C>>Нет, просто усовершенствовать ОС. Даже к Windows можно сравнительно просто прикрутить аналог Линуксового AppArmor'а.
S>Аналог АппАрмора к винде уже прикрутили. См. висту с работой процессов в пониженных привилегиях.
S>Один хрен это членоудлиннитель: рекламы много, но нифига не помогает. Просто появятся более хитрые приложения, которые будут дожидаться от пользователя подъема привилегий для выполнения злого кода.
АппАрморовцы — это немного другое. Он позволяет нам ограничить приложение доступом только к указаным файлам (и другим ресурсам). В Линуксе это работает заметно лучше, чем в Windows из-за изначально более продуманой организации системы проверки доступа.

Sinclair однажды (26 ноября 2007 [Понедельник] 14:54) писал:

> Поясняю вкратце:
> 1. Unix Way доказал свою несостоятельность на массовом рынке уже давно. По крайней мере в доведенном до абсурда виде, который так любят отстаивать фанаты никсов. Этот факт я
> обсуждать не буду, потому что лечение от слепоты в мои таланты не входит.
Жаль. А то бы себя от слепоты излечил...

> 2. Фундаментальная проблема с пониманием состоит в том, что предлагаемые Unix-way решения как раз и есть
> "иероглифы". Причем для мало-мальски связной работы нужно знать под пару тыщ этих иероглифов, а без этого даже из дому не выходи. В то время, как web-app подход предлагает именно
> алфавит: единственное приложение, которое нужно изучить — это браузер. Всё остальное делается интуитивным путем. Про image magic надо хотя бы знать, что он существует;
> чтобы сделать с его помощью выравнивание цветобаланса надо иметь PhD и трудолюбие. В вебе автовыравнивалка работает сама по кнопке "выровнять баланс белого". Пойми, твои
> потребности типа "добавить к фотографии текст в углу" в развитом мире отцвели много лет назад. Там у людей совсем другая проблема — например заказать коллаж в рамке, или
> перекидной фотокалендарь по набору фоток. И им это пришлют домой либо дадут забрать в ближайшем магазине. Для этого magic сосет причмокивая, и всю жизнь будет сосать — просто
> потому, что в этом алфавите слово длиннее чем из трех букв устанешь писать.
Заметь, imagemagick ты сам предложил. Нечего теперь говорить что он сложный.
Существует много инструментов окромя imagemagick
Так что Синклер, перестань болеть болезнью усложнения всего, что не нравится. Уже второй раз замечаю, что сначала предлагаеш инструмент, а потом начинаеш его оплевывать и ссылаться на трудность использования.

> Никого не интересует, какой там будет протокол внутри. Он просто будет работать, и
> всё. Вот ты в курсе, чем отличается gsm от какого-нибудь CDMA? Будет ли в 2015 SOAP — совершенно непонятно. Просто если есть стандарт де факто в какой-то отрасли, то с ним
> выгодно дружить. Поэтому какой-нибудь Canon будет предлагать свои услуги всяким third-party, и значит blogger.com научится вставлять картинки прямо из фотобанка Canon. Также, как
> Skype предлагает переслать бабло по Paypal.
Ужас.

> DOO>В общем вернемся к тому же, только получим лишний слой абстракции.
> Не вижу никакого слоя абстракции. Я не думаю о реализации, я говорю о поведении.
Блин, это говорит эксперт. Он не думает о реализации. Ему важно поведение. Теперь понятно, почему от висты многие шарахаются. Там тоже такиеже поведенцы похоже сидят.
Вобщем мне уже давно понятен mainstream алгоритм: похрену на ресурсы, похрену на трафик, на память, на камень. Лишьбы работало, а пользователю если надо будет — новый компутер купит.

> S>>Типичный енд-юзер не хочет ни осваивать простой софт, ни ставить к себе сложный. Поэтому очень
> DOO>Web-сервис тоже освоить надо так-то... Вон какой-нибудь CorneliOS так сразу не изучишь...
> Ага. Поэтому суммарное количество его клиентов никогда не достигнет даже ЖЖ.
А что, ЖЖ требует всякое де...мо для работы? Чтото не заметил...

> DOO>Только таксист имеет всякие ненормальные ограничения, типа максимальной скорости 40 км/ч, для каждого маршрута свое такси и т.п.
> Ты это по какой укурке пишешь? На всякий случай напомню, что у реального такси только один недостаток: нереальная цена.
> А аналог, про который я говорил — Windows Explorer Extension — никакими ограничениями не обладает.
Кроме нереальной цены, ага. Как насчет поедания ресурсов?

> DOO>В общем это все может и устаканится, но мы получим опять набор стандартных инструментов, но уже на вершине web-сервисов... А оно надо?
> Ну ты сам думай, надо или нет. Причем думай за простого пользователя, у которого есть и другие хобби, кроме управления компом. Ему как раз всегда хочется как можно больше всего
> зааутсорсить — по приемлемой цене и без головной боли. Чтобы мусор вывозил мусоршик, газоны стриг газонокосильщик, фотографии процессила фотолаборатория, счета платил посредник и
> т.п. Вот веб-сервисы — это как раз такие мусорщики, газонокосильщики и т.п.
Синклер. Вот жили-жили, не тужили, пользовались фтп, обычным аплоадом...
А ты вдруг заявляеш что это все сложно, и юзер этого никогда не выучит. Говоришь о том, что юзер туп, и надо делать сервисы с красивыми кнопками, которые по сути повторяют то, что уже есть.
Не кажется ли тебе, что ты пытаешся пропиарить вебдваноль? Чем ты тогда лучше тех чуваков, которые тот сайт написали?

--
...belive in the matrix...