На самом деле, это обещанный

Автор: kochetkov.vladimir
Дата: 26.11.09

ответ Шеридану, но к той теме он относится слабо, поэтому решил вещать отдельно от нее.

В мире сетевых приложений в целом и веб-технологий в частности, уже давно обозначился парадокс, который я сначала хотел скромно назвать, ну скажем "Парадокс Злыгостева-Кочеткова" или как-то так, еще скромнее — без первой части , но в конечном итоге ограничился выдуманным именем, оставив наши с Синклером фамилии для еще предстоящих великих свершений. Сам парадокс уже был в общих чертах обозначен Синклером здесь

Автор: Sinclair
Дата: 03.04.08

и в обсуждении той темы, я же постараюсь чуточку конкретизировать его и остановиться на моментах, непосредственно касающихся моей предметной области.

Речь идет о том, что протокол HTTP со всей своей немерянной крутизной и статусом одного из лучших сетевых протоколов на сегодняшний день является также... отвратительным до мозга костей. Судите сами — куча костылей в виде вороха RFC, надстроек, расширений, отсутствие возможности двусторонней синхронной коммуникации, изначальная ориентированность на передачу гипертекста, монструозность, выросшая на его основе инфраструктура, применение которой в настоящее время мало чем напоминает нам о тех задачах, которые изначально возлагались на нее в момент рождения, масса RFC по этой инфраструктуре, бардак со старыми стандартами, тормознутость W3C по части принятия новых. Сама идея компиляции java и python кода в дикую смесь javascript-xml-html-css (или же ее написания ручками), самопроизвольно и асинхронно общающуюся с сервером и в простонародье именуюмую не иначе как AJAX, кажется полным идиотизмом как минимум тем, кто погряз в разработке классических "десктоп-клиент -> сервер" по самое не хочу. Да и те, кто занимаются программингом непосредственно для этой инфраструктуры, нет-нет да и высказывают тут весьма красноречивые мнения о применимости упомянутой связки в разработке полноценного UI с приемлемым временем отклика, реализации обмена информацией о состоянии с сервером, увеличению быстродействия и т.п.

Между тем, и те и другие, ежедневно используют эти технологии в той или иной степени даже в отрыве от разработки, просто шарясь по интернету, общаясь на форумах, ведя блоги, читая RSS-ленты и т.д. Да что там другие, давайте посмотрим на гигантов индустрии? Гуглу, оно конечно, сам бог велел всячески развивать веб-технологии и способствовать их внедрению в массы. Но писать ОС, полностью заточенную на использование этих и только этих технологий это уже слишком... Не кажется, что это слишком большая ставка даже для них? Ведь сама гуглоос это, так сказать, апофеоз, они ведь сколько лет готовили под нее микроинфраструктуру в виде gmail, greader, gdocs, gwave, GAE и т.п. И ничего "пипл хавает", вроде как (с) И ведь не менее www'нутые конкуренты у каждого из этих сервисов уже давно есть (даже у самой гуглооси), стало быть, перспективно?

<offtopic>
пользуясь случаем, хочу спросить: вы уже читали о подходе гугла к обеспечению безопасности в гуглоосе? настоятельно рекомендую, там есть что подчерпнуть как веб-разработчикам, так и разработчикам вообще.
</offtopic>

А MS, выпустившая не так давно свой Office Live, активно двигающая silverlight, ищущая пути развития ASP.NET и натыкавшая элементы ajax на своих сайтах где надо и не надо? А куча стартапов, о которых бы возможно никто и не узнал, если бы они нарисовались в сети с классическим HTML_CSS_Сервер_И_никаких_асинхронных_запросов? А оракловый OEBS? А веб-версии IBM'овских Notes и Sametime?

Что-то тут не так Получаются какие-то плачущие ежики, жрущие кактус уже который год подряд. Вероятно есть какая-то причина или целый их ряд, из-за которых как корпорации, так и индивидуальные разработчики выбирают именно веб-технологии для реализации своих продуктов?

Видимо есть, и одной из них является именно безопасность.

Дело в том, что в отличии от той же ведги, предлагающей весьма революционный подход к разработке сетевых приложений, веб-технологии являются продуктами многолетней эволюции в среде, враждебность которой с каждым днем растет в геометрической прогрессии. Всевозможные модели атак на веб-приложение давно известны и не формализованы разве что только математически. Тестирование безопасности веб-приложений в настоящее время представляет собой ужасно скучное занятие на 90% состоящее из анализа отчетов полностью автоматизированных сканнеров. Благодаря консолидации всех точек входа в веб-приложение приблизительно в одном месте, становится возможным и автоматизированное тестирование их исходных текстов и обнаружение атак в рантайме малой кровью. Варианты противодействия веб-атакам давно изучены, их число конечно, написаны тысячи мануалов и описаны сотни подходов. В рамках этих технологий сформировались субтехнологии и продукты, позволяющие обеспечить приемлемую производительность при охрененных нагрузках (и не последняя заслуга в этом самого HTTP, кстати), масштабируемость, практически прозрачная для самих веб-приложений... Мне продолжать, нет?

Т.о. беря за основу веб-технологии, разработчик разом избавляется от массы проблем связанных как с безопасностью, так и развертыванием, поддержкой, обновлением своего продукта, переносом его на другие платформы и т.п., в нагрузку получая еще и готовую к употреблению, давно свормировавшуюся, но в то же время и развивающуюся инфраструктуру и аудиторию, с масштабами которых вряд ли что-то может сейчас сравниться. Разумеется, взамен он также отгребает и все те проблемы о которых было сказано выше. Но есть мнение, что эти проблемы являются реальным камнем преткновения лишь для весьма узкого круга задач, по сравнению с тем кругом, который успешно решаем реализацией проекта на веб-технологиях.

Ведь не зря же, еще до появления не то что веб-технологий, но и технологий передачи, обработки и хранения информации вообще, умные люди говорили: "старая лошадка борозды не испортит", а радикально-настроенные добавляли: "но и глубоко не вспашет". Но как только, что над теми, что над другими, появлялась реальная угроза получить нехилых люлей за испахабленные посевы, они брали эту самую лошадку и тихо матерясь делали двойной-тройной проход по полю...

Вот и сейчас получается такой Old-Horsie парадокс