Под влиянием КСВшных дискуссий

Автор: kuj
Дата: 05.04.08

об Apple'вском броузере, в частности — хвалебных постов Gaperton'a, решил немного потестить сей продукт в качестве основного броузера в системе. Поскольку, результаты оказались интересными, то кидаю их сюда, вдруг кому пригодится

Скажу сразу: тестил — исключительно исходя из личных use-case'ов для броузера, а именно (скорее не use-case'ы, а тезисы):

0. Пользователь Windows, выражающий во всем приведенном ниже тексте свое гордое IMHO
1. Рядовой серфер, активный пользователь гугловских сервисов (GMail, GReader, GNotebook, GDocuments, флешевый GTalk)
2. Разработчик-хоббист в т.ч. и веб-приложений + HTML/CSS верстка
3. Эксперт по информационной безопасности (применительно к сабжу — анализ защищенности веб-приложений, обеспечение безопасности пользователей при работе с Интернет из различных броузеров)

Особо структурировать по пунктам не буду, надеюсь будет и так понятно, из контекста...

Дистрибутив Safari весит 19 мБ против 6,5 Firefox'овых, 15 IE7'шных и 6,5 Oper'ых При установке предлагает поставить с собой Apple Updater (согласился) и Bonjour (не согласился). Относительно последнего — знаю, что не спайварь, но легкий осадок после его установки "втихую" вместе с Photoshop CS3 — остался, поэтому нафиг. Судя по всему, Safari довольно сильно интегрирован с ним, но тут ничего не сказать не смогу, не попробовал. По ходу установки, он благополучно "засосал" закладки из установленных у меня IE и FF. Остальное (история, сохраненные пароли и пр.) — не засосал

Сразу после запуска Safari обнаружилась странная вещь: он зачем-то грузит проц на 7-12% даже если стоит "пустой" и ничего не делает. Специально подождал минут 10 — все равно грузит, никакого трафика при этом от него нет Уже обсуждавшийся самопальный рендеринг шрифтов при отрисовке страниц — лично меня опять напряг. Правда после подкручивания настроек сглаживания в Safari, надписи стали более читаемыми и четкими, но обнаружилась другая проблема — тяжело потом переключаться на ClearType-отрисовку в других приложениях винды

Этот броузер беспорно лидирует в "большой четверке" по времени отклика интерфейса и скорости загрузки и отрисовки страниц, тут ему равных нет. Тестировал и на простых страницах (cert.com, whitehouse.gov и т.п.) и на AJAX'овых (все перечисленные сервисы гугла, кроме GTalk) — делает по скорости всех. На EDGE-соединении это было сильно заметно. Очень мило выглядит работа с закладками и автозакладками, действительно как с клипами в iTunes — просто, удобно, наглядно.

Провел небольшой тест: запустил FF и Safari и каждом из них, в трех вкладках открыл Gmail, GReader и RSDN. Результаты по отжору памяти: 68,584 Кб у Safari против 56,868 у FF. Потом открывал еще несколько вкладок с Meboo, нашим корпоративным сайтом и т.п. Это расхождение (если брать в процентах) у них стабильно и было практически одинаково при всех вариантах, которые я попробовал.

А вот с гугловским флешевым GTalk'ом случился облом. Так и не удалось заставить его заработать, несмотря на то, что остальной флеш-контент вроде бы как отображался без проблем. Очень напрягло срабатывание аппаратного DEP'а при работе с гугловским блокнотом. Воспроизвести правда не удалось, но факт остается фактом: как минимум одна, как минимум DoS-уязвимость в нем есть точно На неделе — выделю время и поковыряюсь с ее вопроизведением и эксплуатацией.

Из минусов UI, помимо рендеринга шрифтов хочется отметить невозможность поменять стиль оформления интерфейса. Я понимаю, что ЭТО пришло из MacOS, и там — наверное смотрится круто. Но по-моему, с моей любимой XPшной "Luna Royale by Pgase" она, ну совсем не сочетается, а изменить — низя

Очень порадовало наличие скрытого пункта меню "Разработка", предназначенного для web-разработчиков. До функционала FF'шного FireBug'а конечно не дотягивает, а вот по удобству/красоте — кое в чем и превосходит. Смотрел по-диагонали, в основном на DOM-инспектор и на Network-инспектор. Последнее — что-то типа FF'шного YahooWhySlow, но удобнее и нагляднее. Позволяет оценить скорость загрузки отдельных элементов страницы, время выполнения запроса сервером и время отработки JS-скриптов (тут — не уверен) и т.п. В общем, в паре с FireBug'ом — самое то, для отладки страниц. Из скриншотов основные фичи, думаю будут понятны.

Теперь о самом плохом, о его безопасности...

Из плюсов: существует т.н. "Частный режим" серфинга, позволяющий хранить все-все его следы только на период текущей сессии. Т.е. куки, историю, кэш, пароли и т.п. Довольно полезная фишка при работе в инет-кафе, с чужого компа и т.п. Активное содержимое (Java/JS, плагины) и прием куков настраиваемы, автозаполнение форм сделано неплохо и также легко отключается / настраивается / просматривается.

Из минусов: модель безопасности в нем — примитивнейшая, не дотягивающая даже до FF без NoScript, не говоря уже об IE с его "зонами безопасности" и богатыми разрешениями для каждой из зон. Т.е. все упомянутые выше настройки можно либо запретить для всех сайтов, либо разрешить, что делает всю эту секьюрную кастомизацию, в общем-то совершенно бесполезной Различий между сессионными и перманентными куками он не видит, что тоже — не есть гуд. Да и на офсайте, среди достоинств в плане security, упоминается только "частный режим" и поддержка SSL/TLS. О централизованном управлении настройками (в т.ч. и безопасности), по крайней мере под Windows, говорить не приходится. Правда Safari, вроде как и не позиционируется для корпоратива, что в принципе радует

Резюме по тезисам:

1. Рядовой серфер, активный пользователь гугловских сервисов (GMail, GReader, GNotebook, GDocuments, флешевый GTalk)

+: Очень быстрый, очень удобный, очень простой
-: Ненастраиваемая и при этом нестандартная тема UI, сыроват, отрисовка шрифтов напрягает глаза, нерасширяемый функционал (не совсем так, насколько я понял, при определенном положении звезд и планет, он умеет понимать плагины Mozilla, но как их туда воткнуть и заставить работать — я увы, так и не разобрался).

2. Разработчик-хоббист (ASP.NET, реже — PHP) + HTML/CSS верстка

+: Есть встроенные средства отладки страниц, все красиво, удобно, не очень функционально, но необходимый минимум есть. Очень неплохой профайлер загружаемого веб-хлама.
-: Не обнаружены средства отладки JS и мониторинга сырого HTTP-трафика. Но это я уже капризничаю

3. Эксперт по информационной безопасности (применительно к сабжу — анализ защищенности веб-приложений, обеспечение безопасности пользователей при работе с Интернет из различных броузеров)

+: Уже упомянутые в плюсах средства отладки, вероятно являются хорошим подспорьем при поиске потенциальных инжектов различных типов и XSS'ов в веб-приложениях.
-: Существующая в Safari модель безопасности делает его практически непригодным для Интернет-серфинга в боевых условиях враждебной окружающей среды

Иными словами, лично я, по результатам тестов, рассматриваю данный броузер исключительно как средство разработки, отладки и security-изысканий, и крайне не рекомендую использовать его для регулярного посещения любых Интернет-сайтов из соображений безопасности при включенной поддержке активного содержимого.

В общем, примерно так Если где ошибся, прошу простить — смотрел действительно по-диагонали, ногами не пинать, лучше поправьте меня, если что