Здравствуйте, quwy, Вы писали:
Q>Во-первых это костыль. А во-вторых этот костыль никак не учитывает возможность отклонения запроса сервером (например, по причине неправильного заполнения формы) или банального сетевого сбоя, блокируя реально нужную повторную отправку.
Это не костыль. Элементы управления действительно нужно блокировать на время запроса, а еще и показывать пользователю плашку "думаю... 37%", так что это действительно проблема разработчика.
Здравствуйте, hardcase, Вы писали:
Q>>Во-первых это костыль. А во-вторых этот костыль никак не учитывает возможность отклонения запроса сервером (например, по причине неправильного заполнения формы) или банального сетевого сбоя, блокируя реально нужную повторную отправку. H>Это не костыль. Элементы управления действительно нужно блокировать на время запроса, а еще и показывать пользователю плашку "думаю... 37%", так что это действительно проблема разработчика.
Ага, особенно если учесть, что барахло по имени HTML+HTTP для этого категорически непригодно.
Здравствуйте, quwy, Вы писали:
Q>Да причем тут баттхерт? Тем более, что 99.(9) пользователей хрома используют его отнюдь не потому что он якобы более защищенный.
Я не знаю, почему его используют 99.(9) пользователей хрома, но знаю, почему его использую (наряду с IE и FF) я. За себя и говорю
Q>>>Opera < 11.61, у меня не получилось. Вы поймите, никто не застрахован от уязвимостей, но говорить, что браузер решето только потому что в годовалой его версии есть дырка, несколько некорректно. KV>>Я считаю его решетом совершенно не по этой причине. Это ты попросил у меня ссылки на уязвимости. А теперь споришь, что эти ссылки ничего не доказывают. Где тут логика? Q>Логика в том, что если я найду уязвимости в KHTML/KJS это ведь не будет воспринято как камень в сторону хрома. Почему?
Webkit хоть и вырос из KTHML, но все же это не то же самое (да и в KDE 4.5 KHTML заменили на него), а KJS — это вообще Konqueror'овский движок, с V8 (который используется в хроме) никак не связанный. Вопрос понятен, но утверждение справедливо безотносительно хрома и его компонентов. Повторю еще раз — факт наличия уязвимостей, их количество и частота обнаружения не являются объективными критериями оценки защищенности любого приложения.
Q>>>Никто не спорит, но помните ли вы время, когда FF обгонял IE6 (!!!) по количеству найденных уязвимостей? Тут давали ссылку, найти не могу. Года два назад всего. KV>>Эту ссылку давал я, поясняя, почему количество найденных уязвимостей вообще не является критерием оценки защищенности приложения. Q>Зато количество уязвимостей вообще -- является, а найденные -- это лишь подмножество существующих. Если их нашли больше, чем в таком решете как IE6, то это косвенно говорит о том, что их там вообще больше, особенно если сравнить распространенность IE6 и FF на то время.
Нет, не является. Если их нашли больше, это может значить, что их искали лучше/активнее/заинтересованнее и т.п. Кроме того, это 100% значит, что в продукте стало ровно на столько уязвимостей меньше, т.е. (следуя твоей же логике) он стал во много раз защищеннее конкурентов после их обнаружения и устранения. Не находишь противоречие?
Кроме того, пример с IE6 не вполне корректный. Будучи компонентом, реально прибитым гвоздями к системе, он имел плоскость атаки куда более широкую, чем любой существовавший на тот момент браузер. Это все равно, что сравнивать защищенность десктопной ОС с ОС из стиральной машины.
Q>>>Ну я под администрированием имел в виду весь комплекс мероприятий по обеспечению работоспособности сервиса. KV>>Включая разработку архитектуры и ее реализацию в коде? Оригинальная терминология. Q>Когда на сайте происходит ошибка, он обычно пишет нечто типа "произошла ошибка, обратитесь к администратору", хотя ошибка как правило не в работоспособности сервисов ОС или железа, а в кривом коде.произошла ошибка, обратитесь к администратору
Потому что это сообщение об ошибке HTTP (элемента сетевой инфраструктуры, по сути), а не об ошибке в веб-приложении. С таким же успехом, при выбросе исключения в System.IO.File можно смело отправлять за поддержкой к авторам ntfs.sys
Здравствуйте, Pyromancer, Вы писали:
P>Однако хром лидирует,
Все верно, голосование сейчас отражает абсолютно точную картину распределения защищенности в этих браузерах.
P>хотя уязвимостей в нем найдено в разы больше чем в опере и файрфоксе вместе взятых(по крайней мере согласно секунии), все уже всё описаное запатчили, но тенденция настораживает
Сейчас, за продемострированную годную атаку на хром, исследователь может получить до от 500 баксов до 60 килобаксов и нехилый пиар со стороны гугла, как эксперта в области безопасности (и получают они их регулярно, каждый месяц, на протяжении уже нескольких лет). Все вайтхеты сейчас тусят там. Уязвимости в IE, как самого популярного браузера, на черном рынке стоят еще дороже. Поэтому там тусят все грей и блэк хеты. В этом и весь секрет: никто из реальных спецов не заинтересован искать баги там, где он с этого ничего не получит. А рядовой разработчик таким спецом являться не может, в силу его мышления иными категориями при разработке софта, нежели требуются при анализе защищенности.
Простой пример: за последние три недели, в веб-сервисах Яндекса обнаружили больше уязвимостей, чем во всех поисковиках рунета, вместе взятых. Значит ли это, что он — самый дырявый поисковик? Или дело в том, что три недели назад, Яндекс объявил о вознаграждении за каждую обнаруженную уязвимость, и на этот праздник жизни подтянулась практически вся рунетовская тусовка?
Ну и самое главное, о чем я хотел написать подробнее после голосования: в FF и Opera, обнаружение уязвимости автоматически означает, что через нее можно поиметь и браузер, и ОС с правами текущего пользователя. В IE и Chrome — это не так
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Все верно, голосование сейчас отражает абсолютно точную картину распределения защищенности в этих браузерах.
Хотя нет, не совсем точную. IE и Chrome находятся примерно на одном уровне защищенности, если говорить об IE9+ и, IMHO, IE10+ должен стоять чуть выше хрома.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Pyromancer, Вы писали:
KV>Ну и самое главное, о чем я хотел написать подробнее после голосования: в FF и Opera, обнаружение уязвимости автоматически означает, что через нее можно поиметь и браузер, и ОС с правами текущего пользователя. В IE и Chrome — это не так
P>2) An unspecified error in the IPC (Inter-Process Communication) layer can be exploited to write arbitrary files and escape the Chrome sandbox.
P>Ой, оказывается сэндбокс-то дырявый, а вовсе не непроницаемая защита от посягательств на компьютер из интернета.
Да, десятка два таких уязвимостей, только на моей памяти было. И с исправлением каждой из них, он становится еще защищеннее, а с учетом агрессивной политики обновления, через несколько дней это — станет уязвимостью ни-о-чем. А чем могут похвастаться FF и Opera, в этом плане?
Кстати, именно за эту уязвимость (точнее, за атаку на эту и цепочку еще из 3 уязвимостей, менее критичных) — исследователь как раз и получил 60 килобаксов. Т.е. сплоит для нее есть только у гугла, считай, что они выкупили на него эксклюзивные права
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Хотя нет, не совсем точную. IE и Chrome находятся примерно на одном уровне защищенности, если говорить об IE9+ и, IMHO, IE10+ должен стоять чуть выше хрома.
А можно подробнее? Что там такого сделали? Просто я в силу своего широкого профиля временно выпал из веб-поля, потому перестал следить за темой. Просвяти, так сказать
Здравствуйте, ononim, Вы писали:
NT>>Я часто спрашиваю пользователей Chrome, зачем им это надо? Зачем пользоваться таким браузером, когда в наши дни альтернатив ему целая масса? В ответ я слышу лишь что-то вроде "Тут можно прямо в строку поиска вводить, что я хочу найти" или "Крутые плагины, смотри. А как выглядит!". Первое вообще не проблема — практически в любом более-менее современном браузере присутствует строка поиска, достигнуть которой можно практически с той же скоростью, много времени потерять точно не получится. А последнее уже личные предпочтения. Есть ли что-то объективное? O>Это и есть объективное, а на процессы всем пофиг, кроме программистов разумеется.
FF это умел ещё до появления хрома. И поиск из адресной строки и плугов море было.
Здравствуйте, Privalov, Вы писали:
NT>>>Да вообще лаги. S>> Может оно так себя под виндами ведет?
P>Не гони. У меня хром под XP на Атоме работает нормально.
Дык и FF под W7 x64 на атомном нетбуке работает нормально.
Здравствуйте, FirstStep, Вы писали:
NT>>Потому, что этот браузер, как известно, создаёт целую кучу процессов для обеспечения, так сказать, наибольшей стабильности работы (одна закладка упадёт — приложение продолжит работать). FS>Предложите лучшее архитектурное решение данной проблемы.
Это сделано в FF. Всё что может ронять браузер и при этом не может быть починено разработчиками (сторонние нативные плагины) вынесены в один отдельный процесс. Всё остальное работает в основном. Баги в браузере чинить надо а не соломку в виде процесс на страницу подстилать.
Здравствуйте, DarthSidius, Вы писали:
S>>Да чего тут размышлять? S>>Вздёрнуть этого Никиту!
DS>Что за йуношеский максимализм?
Да да да! Сначала же полагается как следует помучить!!! Дыба там, колесо, ну а потом тока вздёргивать.
От же молодьйошь пошла... ничерта в заплечных науках не понимают!
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Как известно, он создает их совершенно не для, так сказать, наибольшей стабильности работы. Есть другая причина.
Хм, видимо не очень известно.
И зачем же?
