Нет. Там, где есть пользовательские данные, где бы они ни хранились, на файловой системе или где-то еще, их всегда можно или зашифровать за выкуп, или украсть. Вопрос только в методах, сложностях, и масштабах бедствия. Мне это представляется довольно очевидным.
K>Поэтому классическая малварь НЕВОЗМОЖНА.
Малварь невозможна только там, где вся система только для чтения. Такие случаи, конечно, бывают (например, энциклопедия на CD), но они довольно специфические.
Re[10]: Progressive Web Apps + WebAssembly = новый способ для
Здравствуйте, Sharowarsheg, Вы писали:
K>>PWA + WASM это всего лишь Javascript в браузере + ультрабыстрая числодробилка. Понятно теперь? S>Нет. Там, где есть пользовательские данные, где бы они ни хранились, на файловой системе или где-то еще, их всегда можно или зашифровать за выкуп, или украсть. Вопрос только в методах, сложностях, и масштабах бедствия. Мне это представляется довольно очевидным.
Именно, вопрос в сложностях! Если в Node.js и в обычном нативном софте создать малварь — сложности нет никакой, то есть, просто берешь API файловой системы и делаешь что хочешь. То в PWA + WASM порог входа для создания аналогичной малвари гораздо выше, надо иметь или связи в спецслужбах или раздобыть в даркнете редкие эксплоиты за большие деньги. Принципиально другой уровень сложности.
K>>Поэтому классическая малварь НЕВОЗМОЖНА. S>Малварь невозможна только там, где вся система только для чтения. Такие случаи, конечно, бывают (например, энциклопедия на CD), но они довольно специфические.
А где вы в браузере нашли доступ для записи в локальную файловую систему? Может поделитесь секретом?
Re[11]: Progressive Web Apps + WebAssembly = новый способ для
K>>>Поэтому классическая малварь НЕВОЗМОЖНА. S>>Малварь невозможна только там, где вся система только для чтения. Такие случаи, конечно, бывают (например, энциклопедия на CD), но они довольно специфические.
K>А где вы в браузере нашли доступ для записи в локальную файловую систему? Может поделитесь секретом?
Скажем, перепишем фотошоп на яваскрипт. Он должен будет куда-то сохранять картинки, и читать их потом оттуда. Будет ли это локально, облачно, или как угодно, это тем не менее какая-то файловая система. Или локальная, или на сервере где-то, или распределенная, но тем не менее, там где-то в конце файловая система, диски, и всё самое обычное. Если нельзя сохранить данные, то нет смысла работать. Вот эта вот запись и стоит денег на выкуп, или на восстановление, или на продажу, или в виде безвозвратных потерь.
Re[12]: Progressive Web Apps + WebAssembly = новый способ для
S>Скажем, перепишем фотошоп на яваскрипт. Он должен будет куда-то сохранять картинки, и читать их потом оттуда. Будет ли это локально, облачно, или как угодно, это тем не менее какая-то файловая система. Или локальная, или на сервере где-то, или распределенная, но тем не менее, там где-то в конце файловая система, диски, и всё самое обычное. Если нельзя сохранить данные, то нет смысла работать. Вот эта вот запись и стоит денег на выкуп, или на восстановление, или на продажу, или в виде безвозвратных потерь.
Не будет малвари — будет майнинг в браузере. Работал в Американской Компании — там JS ставил АктивХ на комп. Этого достаточно.
S>>Скажем, перепишем фотошоп на яваскрипт. Он должен будет куда-то сохранять картинки, и читать их потом оттуда. Будет ли это локально, облачно, или как угодно, это тем не менее какая-то файловая система. Или локальная, или на сервере где-то, или распределенная, но тем не менее, там где-то в конце файловая система, диски, и всё самое обычное. Если нельзя сохранить данные, то нет смысла работать. Вот эта вот запись и стоит денег на выкуп, или на восстановление, или на продажу, или в виде безвозвратных потерь.
F>Не будет малвари — будет майнинг в браузере. Работал в Американской Компании — там JS ставил АктивХ на комп. Этого достаточно.
А, да, тоже добро.
Re[12]: Progressive Web Apps + WebAssembly = новый способ дл
Здравствуйте, Sharowarsheg, Вы писали:
K>>А где вы в браузере нашли доступ для записи в локальную файловую систему? Может поделитесь секретом? S>Скажем, перепишем фотошоп на яваскрипт. Он должен будет куда-то сохранять картинки, и читать их потом оттуда.
Окей, давайте пофантазируем. Гипотетический фотошоп на яваскрипт временно будет хранить свои картинки в оперативной памяти (MEMFS), потом можно исключительно только по желанию пользователя вызвать стандартный системный диалог сохранения файла — точно также как вы скачиваете любой файл из интернета. Вы сами указываете куда сохранить этот файл. Иного способа доступа на запись нет. И уж тем более шифровать произвольные данные на вашем компьютере никак тут не получится.
S>Будет ли это локально, облачно, или как угодно, это тем не менее какая-то файловая система. Или локальная, или на сервере где-то, или распределенная, но тем не менее, там где-то в конце файловая система, диски, и всё самое обычное. Если нельзя сохранить данные, то нет смысла работать. Вот эта вот запись и стоит денег на выкуп, или на восстановление, или на продажу, или в виде безвозвратных потерь.
Понимаете, каждое прогрессивное веб приложение имеет как бы отдельный "контекст", отдельный доступ исключительно только к своим данным. Куки, база IndexedDB, хранилище в ОЗУ не расшаривается между разными сайтами/PWA приложениями. Одно приложение не может повлиять на другое, не может шифровать данные другого приложения, не может читать данные другого приложения, и поэтому не сможет просить деньги на восстановление или похищать пользовательские данные конкурирующих сервисов.
Здравствуйте, falcoware, Вы писали:
F>Не будет малвари — будет майнинг в браузере.
А, ну это пожалуйста, только бороться с этим гораздо проще чем с малварью. Например, можно сделать фичу в браузере чтоб автоматически закрывала приложения/вкладки которые длительное время слишком интенсивно используют CPU без разрешения пользователя.
F>Работал в Американской Компании — там JS ставил АктивХ на комп. Этого достаточно.
ActiveX сейчас не актуален. Он не поддерживается в современных браузерах таким образом как раньше.
Технологии HTML5/WebAssembly и задумывались как более надёжная замена плагинам Flash/ActiveX/Java в браузере.
Re[14]: Progressive Web Apps + WebAssembly = новый способ для
K>Технологии HTML5/WebAssembly и задумывались как более надёжная замена плагинам Flash/ActiveX/Java в браузере.
Я так понимаю исходники Браузеров сейчас в открытом доступе? Этого достаточно чтобы найти миллион дыр.
Вот я столкнулся с ПХП вирусом, который в куку записывал название функции и прекрасно выполнялись они!
Здравствуйте, falcoware, Вы писали:
F>Я так понимаю исходники Браузеров сейчас в открытом доступе? Этого достаточно чтобы найти миллион дыр.
К примеру, Linux тоже давно в открытом доступе. И что? Дыры как появляются, так и регулярно фиксятся. Безусловно, надо делать регулярные обновления, здесь ничего не поделаешь.
F>Вот я столкнулся с ПХП вирусом, который в куку записывал название функции и прекрасно выполнялись они!
ПХП — серверный бэкенд, он имеет доступ к диску. А из PWA вы в произвольный куки чужого приложения ничего не сможете записать.
Re[13]: Progressive Web Apps + WebAssembly = новый способ дл
Здравствуйте, k0d3r, Вы писали:
K>шифровать произвольные данные на вашем компьютере никак тут не получится.
Не нужно шифровать произвольные данные. Нужно шифровать ценные данные. Или утащить их, что тоже ничего.
S>>Будет ли это локально, облачно, или как угодно, это тем не менее какая-то файловая система. Или локальная, или на сервере где-то, или распределенная, но тем не менее, там где-то в конце файловая система, диски, и всё самое обычное. Если нельзя сохранить данные, то нет смысла работать. Вот эта вот запись и стоит денег на выкуп, или на восстановление, или на продажу, или в виде безвозвратных потерь.
K>Понимаете, каждое прогрессивное веб приложение имеет как бы отдельный "контекст", отдельный доступ исключительно только к своим данным. Куки, база IndexedDB, хранилище в ОЗУ не расшаривается между разными сайтами/PWA приложениями. Одно приложение не может повлиять на другое, не может шифровать данные другого приложения, не может читать данные другого приложения, и поэтому не сможет просить деньги на восстановление или похищать пользовательские данные конкурирующих сервисов.
Достаточно будет того, что приложение может повлиять на себя. Не нужно похищать данные конкурирующих сервисов. Один шут прогрессивные разработчики не обходятся без того, чтобы притащить к себе тыщ восемнадцать фреймворков, библиотек, и прочего барахла, которого никто никогда не читал. Ровно по сценарию с яваскриптом/npm. Достаточно затроянить хотя бы пять из 18 тыщ фреймворков, чтобы получить охват в 95% всех приложений. После этого можно шифровать данные при записи и расшифровывать при чтении (как в лихие 90е), пока не накопится достаточно, а потом перестать расшифровывать. Не нужно атаковать всё вот это технологическое барахло, всякие контексты, куки, базы данных,ОЗУ, и прочее. Нужно атаковать людей — люди ленивы. Сто процентов разработчиков возьмут себе фреймворк, который будет красивый, даром, и с трояном, что и было продемонстрировано уже неоднократно.
По сути спор о том, что ты мне рассказываешь про мощные и красивые технологические возможности, а я тебе про ленивых и жадных разработчиков, которые продадутся за пять человеко-дней работы. Ты мне про хакнуть, а я тебе про купить.
Здравствуйте, Sharowarsheg, Вы писали:
S>По сути спор о том, что ты мне рассказываешь про мощные и красивые технологические возможности, а я тебе про ленивых и жадных разработчиков, которые продадутся за пять человеко-дней работы. Ты мне про хакнуть, а я тебе про купить.
А при чём тут вообще технология тогда? Просто не нанимайте на работу новомодных хипстеров и пританцовывающих возле кошелька личностей, косящих под программистов.
Re[15]: Progressive Web Apps + WebAssembly = новый способ дл
Здравствуйте, k0d3r, Вы писали:
K>Здравствуйте, Sharowarsheg, Вы писали:
S>>По сути спор о том, что ты мне рассказываешь про мощные и красивые технологические возможности, а я тебе про ленивых и жадных разработчиков, которые продадутся за пять человеко-дней работы. Ты мне про хакнуть, а я тебе про купить.
K>А при чём тут вообще технология тогда?
С технической точки зрения так оно и есть, мы уже разобрались. Это серьёзное преимущество по сравнению с нативным кодом. Здесь обеспечение безопасности ПРИНЦИПИАЛЬНО возможно. Скажем, игрушка из стима — может содержать скрытый вредонос. Игрушка на PWA — гарантированно безопасна. Самое главное, что комп клиента — гарантированно не будет иметь малвари и спайвари.
С психологической точки зрения, ЛЮБАЯ пакетная экосистема, фреймворки, библиотеки подвержены тем же самым рискам. Например, ПХП о котором недавно писал фалько, да и библиотеки на C++ теоретически вполне могут содержать скрытые закладки. Но если библиотека с открытым исходным кодом и очень популярна — т.е. проверяется часто многими разработчиками, то вероятность что там будут такое вот химичить уже заметно уменьшается. Старайтесь проектировать всё так чтобы можно было максимально верифицировать то что вы используете в продакшене. Тем не менее, разница в том, что если попадётся троян в библиотеке на C++ для нативного приложения — это кирдык всем файлам клиента, а если троян на PWA — он ничего файлам клиента не сделает, выигрыш очевиден.
S>Достаточно затроянить хотя бы пять из 18 тыщ фреймворков, чтобы получить охват в 95% всех приложений. После этого можно шифровать данные при записи и расшифровывать при чтении (как в лихие 90е), пока не накопится достаточно, а потом перестать расшифровывать.
Что касается облачного хранилища ценных данных — то безопасность сервиса также можно обеспечить, но уже при условии, если программы будут делать вменяемые программисты, а не залётные танцоры, использующие непроверенный код из сторонних источников. Если пользуетесь облачными сервисами для хранения ценных данных — делайте запасные бэкапы себе на диск. И всего делов. А сенситивные личные данные вообще храните только у себя.
K>>Просто не нанимайте на работу новомодных хипстеров и пританцовывающих возле кошелька личностей, косящих под программистов. S>А куда их девать всех? Гномиков, опять же, очередь стоит до горизонта.
Это вопрос к отделу кадров, который потерял способности к различению.
K>С технической точки зрения так оно и есть, мы уже разобрались.
На колу мочало, начинай сначала. Нет, не разобрались. С технической точки зрения эта штука не защищает от злонамеренного разработчика, а только злонамеренные разработчики и пишут малварь. Цукерберг, скажем, и его Кембриджская Аналитика. Или Гугл и его проекты по картированию WiFi. Или там, Weather Company с её Weather Channel App. Или right9ctrl с его воровством биткоинов. Все эти атаки, заметим, существующие и успешные, и никакое техническое PWA их не предотвращает.
K>С психологической точки зрения, ЛЮБАЯ пакетная экосистема, фреймворки, библиотеки подвержены тем же самым рискам. Например, ПХП о котором недавно писал фалько, да и библиотеки на C++ теоретически вполне могут содержать скрытые закладки. Но если библиотека с открытым исходным кодом и очень популярна — т.е. проверяется часто многими разработчиками, то вероятность что там будут такое вот химичить уже заметно уменьшается.
Это я где-то уже слышал. Один раз с Heartbleed, который, кажется, был случайностью, другой раз с npm, который, кажется, не был.
S>>Достаточно затроянить хотя бы пять из 18 тыщ фреймворков, чтобы получить охват в 95% всех приложений. После этого можно шифровать данные при записи и расшифровывать при чтении (как в лихие 90е), пока не накопится достаточно, а потом перестать расшифровывать.
K>Что касается облачного хранилища ценных данных — то безопасность сервиса также можно обеспечить, но уже при условии, если программы будут делать вменяемые программисты, а не залётные танцоры, использующие непроверенный код из сторонних источников. Если пользуетесь облачными сервисами для хранения ценных данных — делайте запасные бэкапы себе на диск. И всего делов. А сенситивные личные данные вообще храните только у себя.
Незнание истории не освобождает от отвестственности — сказано же, шифровать данные при записи и расшифровывать обратно при чтении. Делай бэкапы или нет — через какое-то время никакой разницы не остаётся.
Re[18]: Progressive Web Apps + WebAssembly = новый способ дл
Здравствуйте, Sharowarsheg, Вы писали:
S>На колу мочало, начинай сначала. Нет, не разобрались. С технической точки зрения эта штука не защищает от злонамеренного разработчика, а только злонамеренные разработчики и пишут малварь.
Эта штука защищает диск пользователя от малварей и спайварей.
Малвари и спайвари которые не имеют доступа к диску пользователя — гораздо менее опасны. И теперь уже не так важно насколько злонамерен разработчик.
Эта штука обеспечивает на множестве платформ тот МИНИМУМ безопасности для пользователя, который до сих пор без монопольного стора не был доступен.
S> Цукерберг, скажем, и его Кембриджская Аналитика.
И что? То что Фейсбук у себя на серверах накосячил — это по вашему аргумент? Ко мне на диск Фейсбук из PWA не залезет, а вот программа на C++ запросто.
Не нравятся соцсети и их партнёры — не храните там личные данные. При чем тут вопрос малвари с доступом к диску вообще? Где логика?
S> Или Гугл и его проекты по картированию WiFi.
Гугл и Майкрософт — отдельная тема. Это монопольные держатели платформ, которые могут собирать вообще всё что хочешь. Но при чём здесь PWA?
S> Или right9ctrl с его воровством биткоинов. Все эти атаки, заметим, существующие и успешные, и никакое техническое PWA их не предотвращает.
Ну объясните как можно украсть биткоины с диска пользователя через PWA?
Вам просто потроллить хочется? Я уже не понимаю смысла разговора.
S>Это я где-то уже слышал. Один раз с Heartbleed, который, кажется, был случайностью, другой раз с npm, который, кажется, не был.
Об этом уже выше писалось, такого рода баги регулярно фиксятся автоматическими апдейтами браузера, а редкие эксплоиты обычно пользуются точечно, чтоб не палить тему. Это не массовая проблема.
S>Незнание истории не освобождает от отвестственности — сказано же, шифровать данные при записи и расшифровывать обратно при чтении. Делай бэкапы или нет — через какое-то время никакой разницы не остаётся.
При скачивании бэкапа достаточно пользоваться утилитой для проверки валидности данных.
Здравствуйте, k0d3r, Вы писали: S>>На колу мочало, начинай сначала. Нет, не разобрались. С технической точки зрения эта штука не защищает от злонамеренного разработчика, а только злонамеренные разработчики и пишут малварь.
K>Эта штука защищает диск пользователя от малварей и спайварей.
Нет.
K>Малвари и спайвари которые не имеют доступа к диску пользователя — гораздо менее опасны.
Мы уже долго обсуждали, что не нужен доступ ко всему диску пользователя. Ценность разных файлов (и вообще, разных данных) сильно разная.
K>Эта штука обеспечивает на множестве платформ тот МИНИМУМ безопасности для пользователя, который до сих пор без монопольного стора не был доступен.
Этот минимум безопасности еще со времен Windows XP обеспечивается набором простых правил — не суйся в интернет с прямым IP, ставь апдейты, не качай всякого дерьма, не лазь по левым сайтам, и пользуйся адблоком. И всё.
S>> Цукерберг, скажем, и его Кембриджская Аналитика.
K>И что? То что Фейсбук у себя на серверах накосячил — это по вашему аргумент?
Да, конечно. Это же самая мякотка — денежки. Специалисты по безопасности склонны думать про всякие технологические фичи, и забывать про денежки и прочие человеческие пороки. Фалко, без сомнения, может рассказать об этом с соответствующими цитатами, и будет прав. И здесь важно, что Фейсбук не косячил. Они сделали ровно то, что хотели сделать.
K>Гугл и Майкрософт — отдельная тема. Это монопольные держатели платформ, которые могут собирать вообще всё что хочешь. Но при чём здесь PWA?
При том, что PWА защищает от угроз, которые кончились десять лет назад, типа вируса "Петя".
S>> Или right9ctrl с его воровством биткоинов. Все эти атаки, заметим, существующие и успешные, и никакое техническое PWA их не предотвращает.
K>Ну объясните как можно украсть биткоины с диска пользователя через PWA?
1. затроянить библиотеку, которая реализует Stream,
2. дождаться, пока она будет включена в программу кошелька биткоина,
3. собрать пароли, номера кошельков, или что там нужно.
K>Вам просто потроллить хочется? Я уже не понимаю смысла разговора.
Смысл разговора состоит в том, что ты рекламируешь достоинство технологии, которого нет. А я тебе на примерах объясняю, что технология защищает (хорошо защищает, да) от атак, которые были актуальны примерно десять лет назад.
S>>Незнание истории не освобождает от отвестственности — сказано же, шифровать данные при записи и расшифровывать обратно при чтении. Делай бэкапы или нет — через какое-то время никакой разницы не остаётся.
K>При скачивании бэкапа достаточно пользоваться утилитой для проверки валидности данных.
И много народу, практически, видело когда-то валидатор для PSD?
Здравствуйте, Sharowarsheg, Вы писали:
K>>Эта штука защищает диск пользователя от малварей и спайварей. S>Нет.
То есть, по вашему, малварь из PWA может любые файлы на диске пользователя изменять? Расскажите как это сделать?
K>>Малвари и спайвари которые не имеют доступа к диску пользователя — гораздо менее опасны. S>Мы уже долго обсуждали, что не нужен доступ ко всему диску пользователя. Ценность разных файлов (и вообще, разных данных) сильно разная.
Безусловно. Но это явное преимущество перед нативными программами. Теперь можно спокойно запускать любой софт на PWA без страха что там будет какой-нибудь троян, который сотрёт ваши данные на диске. Заметьте, не нужны даже антивирусы!
K>>Эта штука обеспечивает на множестве платформ тот МИНИМУМ безопасности для пользователя, который до сих пор без монопольного стора не был доступен. S>Этот минимум безопасности еще со времен Windows XP обеспечивается набором простых правил — не суйся в интернет с прямым IP, ставь апдейты, не качай всякого дерьма, не лазь по левым сайтам, и пользуйся адблоком. И всё.
А на PWA уже не будет этого страха (скачать дерьмо). Потому что даже дерьмовый софт ничем не угрожает.
Нативный софт на важных местах обычно инсталлируется с большой осторожностью и зависит от репутации разработчиков, именно поэтому в Windows была введена система цифровой подписи экзешников, чтоб хоть как-то навести порядок в софтверном гадюшнике.
K>>И что? То что Фейсбук у себя на серверах накосячил — это по вашему аргумент? S>Да, конечно. Это же самая мякотка — денежки. Специалисты по безопасности склонны думать про всякие технологические фичи, и забывать про денежки и прочие человеческие пороки. Фалко, без сомнения, может рассказать об этом с соответствующими цитатами, и будет прав. И здесь важно, что Фейсбук не косячил. Они сделали ровно то, что хотели сделать.
Так дурить людей можно по-разному, это уже вопрос психологии, техническими средствами психологические вопросы не решить.
PWA — обеспечивает минимальную защиту от дурака. То есть, хотя бы диск не трогайте, и на том спасибо.
K>>Гугл и Майкрософт — отдельная тема. Это монопольные держатели платформ, которые могут собирать вообще всё что хочешь. Но при чём здесь PWA? S>При том, что PWА защищает от угроз, которые кончились десять лет назад, типа вируса "Петя".
Откуда вы знаете что угроз от нативных спайварей нет? Некоторые даже зарабатывает на адваре/спайваре пер инсталл, потому что тема до сих пор актуальна, а вы говорите о том что якобы проблема закончилась десять лет назад. Сказки не рассказывайте, пожалуйста.
K>>Ну объясните как можно украсть биткоины с диска пользователя через PWA? S>1. затроянить библиотеку, которая реализует Stream, S>2. дождаться, пока она будет включена в программу кошелька биткоина, S>3. собрать пароли, номера кошельков, или что там нужно.
Видите как сложно? Вам надо рыбу ловить и выжидать, авось да кабы. А разрабы окажутся не дебилами и проверят библиотеку перед включением, и вся ваша затея накроется медным тазом.
Из своего написанного приложения PWA вы биткоины пользователя с диска украсть не сможете. А из нативного приложения C++ это делается элементарно. Вот принципиальная разница.
S>Смысл разговора состоит в том, что ты рекламируешь достоинство технологии, которого нет. А я тебе на примерах объясняю, что технология защищает (хорошо защищает, да) от атак, которые были актуальны примерно десять лет назад.
Ну хорошо хоть признали что хорошо защищает.
Тема адваре/спайваре сейчас актуальна, как и раньше.
S>И много народу, практически, видело когда-то валидатор для PSD?
Сейчас он просто не нужен. Если Adobe понадобится переписать всё на яваскрипт, то запилить подобный валидатор для них будет не проблема.
Здравствуйте, k0d3r, Вы писали:
K>Здравствуйте, Sharowarsheg, Вы писали:
K>>>Эта штука защищает диск пользователя от малварей и спайварей. S>>Нет.
K>То есть, по вашему, малварь из PWA может любые файлы на диске пользователя изменять? Расскажите как это сделать?
Не нужно изменять любые файлы. Нужно изменять ценные файлы, те, которые имеют значение для пользователя. А пользователь только с такими и работает. Соответственно, те программы, которые работают с ценными файлами, могут и засрать их. Это же несложная концепция — ценность данных.
K>Безусловно. Но это явное преимущество перед нативными программами. Теперь можно спокойно запускать любой софт на PWA без страха что там будет какой-нибудь троян, который сотрёт ваши данные на диске. Заметьте, не нужны даже антивирусы!
Любой, кто имеет надёжный бэкап, может себе это позволить, еще со времён восьмидюймовых дискет. Другой вопрос, что с тех же времён злодеи пытаются загадить бэкапы, ну, тут ничего не изменилось.
K>Нативный софт на важных местах обычно инсталлируется с большой осторожностью и зависит от репутации разработчиков, именно поэтому в Windows была введена система цифровой подписи экзешников, чтоб хоть как-то навести порядок в софтверном гадюшнике.
Я вот совершенно не уверен в этом. Почему, например, не с целью в перспективе лет на 20 монополизации рынка, как Google Play Store?
K>>>И что? То что Фейсбук у себя на серверах накосячил — это по вашему аргумент? S>>Да, конечно. Это же самая мякотка — денежки. Специалисты по безопасности склонны думать про всякие технологические фичи, и забывать про денежки и прочие человеческие пороки. Фалко, без сомнения, может рассказать об этом с соответствующими цитатами, и будет прав. И здесь важно, что Фейсбук не косячил. Они сделали ровно то, что хотели сделать.
K>Так дурить людей можно по-разному, это уже вопрос психологии, техническими средствами психологические вопросы не решить.
А чисто технических вопросов, по большому, нету уже давно (если вообще когда-то были).
S>>При том, что PWА защищает от угроз, которые кончились десять лет назад, типа вируса "Петя".
K>Откуда вы знаете что угроз от нативных спайварей нет?
Из опыта.
K>Некоторые даже зарабатывает на адваре/спайваре пер инсталл, потому что тема до сих пор актуальна, а вы говорите о том что якобы проблема закончилась десять дет назад. Сказки не рассказывайте, пожалуйста.
Это не угроза. Это люди зарабатывают. У них есть лицензионное соглашение и прочее. Такая же хренотень будет и в вашем PWA. По сути, клиент подписывает договор на установку спайвари. Как с Фейсбуком, так и с Мейл-Ру, и с Фалко, и еще с сорока девятью поставщиками тулбаров. И так же подпишет договор при помощи PWA.
S>>Смысл разговора состоит в том, что ты рекламируешь достоинство технологии, которого нет. А я тебе на примерах объясняю, что технология защищает (хорошо защищает, да) от атак, которые были актуальны примерно десять лет назад.
K>Ну хорошо хоть признали что хорошо защищает.
Так же хорошо защищали обычные права доступа еще во времена Windows NT. Можно конечно, городить огород до бесконечности, сделать inception из виртуальных машин, но смысл? Я не помню, когда я последний раз видел вирус, или троян, у котрого не было бы лицензионного соглашения.
K>Тема адваре/спайваре сейчас актуальна, как и раньше.
У большинства из этого есть лицензионное соглашение. И точно всё это делается с ведома разработчиков.
S>>И много народу, практически, видело когда-то валидатор для PSD?
K>Сейчас он просто не нужен. Если Adobe понадобится переписать всё на яваскрипт, то запилить подобный валидатор для них будет не проблема.
Когда запилят, поздно будет.
Re[22]: Progressive Web Apps + WebAssembly = новый способ дл
Здравствуйте, Sharowarsheg, Вы писали:
S>Не нужно изменять любые файлы. Нужно изменять ценные файлы, те, которые имеют значение для пользователя. А пользователь только с такими и работает. Соответственно, те программы, которые работают с ценными файлами, могут и засрать их. Это же несложная концепция — ценность данных.
А есть несложная концепция — бэкап ценных данных с валидацией. То что имеет значение для пользователя он в первую очередь сохранит у себя, а потом уже в облаках.
S>Любой, кто имеет надёжный бэкап, может себе это позволить, еще со времён восьмидюймовых дискет. Другой вопрос, что с тех же времён злодеи пытаются загадить бэкапы, ну, тут ничего не изменилось.
Ага, и много вы таких продвинутых пользователей найдёте? Далеко не все умеют откатывать систему с данными из образа, как купят ноут с предустановленной виндой так и пользуются лет пять. Это практика, а у вас голая теория. Этому рядовому пользователю прослойка в виде PWA — очень даже пойдёт на пользу.
S>Я вот совершенно не уверен в этом. Почему, например, не с целью в перспективе лет на 20 монополизации рынка, как Google Play Store?
Так майкрософт и так всё просрала благодаря стараниям скакуна баллмера — и соцсети, и поисковик, и смартфоны. Хорошо хоть этот индус более менее дружит с головой и пытается предугадать правильные направления.
S>А чисто технических вопросов, по большому, нету уже давно (если вообще когда-то были).
Да ладно, нету. Если бы не было проблемы, то решение WebAssembly не продвигали бы все вместе Apple, Microsoft, Google, Mozilla, и прочие зубры индустрии.
S>Это не угроза. Это люди зарабатывают. У них есть лицензионное соглашение и прочее. Такая же хренотень будет и в вашем PWA. По сути, клиент подписывает договор на установку спайвари. Как с Фейсбуком, так и с Мейл-Ру, и с Фалко, и еще с сорока девятью поставщиками тулбаров. И так же подпишет договор при помощи PWA.
Хоспаде, да назовите вы это как угодно. Главное что любые поделки на PWA как бы вы их не обозвали никогда не залезут на диск пользователя что-нибудь крушить. Поэтому слово малваре — к ним уже вряд ли будет применимо также как раньше.
S>Так же хорошо защищали обычные права доступа еще во времена Windows NT. Можно конечно, городить огород до бесконечности, сделать inception из виртуальных машин, но смысл? Я не помню, когда я последний раз видел вирус, или троян, у котрого не было бы лицензионного соглашения.
А как обычные юзеры пользовались этими правами? Да, администратор по умолчанию и всё, ну и эти UAC дурацкие, которые часто сносили. Защиты от дурака не было. У PWA шансов больше стать такой защитой.
S>У большинства из этого есть лицензионное соглашение. И точно всё это делается с ведома разработчиков.
А у некоторых малварей и нет. Правильно написали, у некоторого "большинства", которые уж совсем явно палят свое местоположение.
S>Когда запилят, поздно будет.
Ну если пользователи настоятельно попросят заранее, то всё возможно. Опять же, конкуренты могут подсуетиться.
