одним махом пятерых побивахом (комп.)
Sep. 14th, 2010 10:03 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
avvaA critical vulnerability exists in Adobe Flash Player 10.1.82.76 and earlier versions for Windows, Macintosh, Linux, Solaris, and Adobe Flash Player 10.1.92.10 for Android.
Никогда еще не видел эксплойт для столько разных ОС одновременно. Спасибо, Адоби.
Хочется, чтобы поскорее уж наступило то светлое будущее, в котором мы забудем, как кошмарный сон, это под завязку набитое багами, падениями и эксплойтами порождение криворуких садистов под названием "Флэш".
Никогда еще не видел эксплойт для столько разных ОС одновременно. Спасибо, Адоби.
Хочется, чтобы поскорее уж наступило то светлое будущее, в котором мы забудем, как кошмарный сон, это под завязку набитое багами, падениями и эксплойтами порождение криворуких садистов под названием "Флэш".
no subject
Date: 2010-09-16 02:13 am (UTC)Дело, к тому же, не только в движке жабаскрипта - но и во всём остальном. Скажем, на флеше я могу нормально держать GUI в виде дерева с несколькими тысячами элементов - а то же самое на DOM дохнет.
no subject
Date: 2010-09-16 09:33 am (UTC)> вроде.
flash/flex приложения распространяются в виде закрытого байткода (.swf). И исходники никто не разбежался открывать.
> А для HTML5 я что-то вообще никаких IDE не
> вспомню, ни закрытых, ни открытых.
эээ
vim, eclipse, notepad, усы и хвост -- вот наши IDE. -)
или вы HTML в визуальных редакторах верстаете? тогда вопросов нет, верстайте.
> Скажем, на флеше я могу нормально держать GUI в
> виде дерева с несколькими тысячами элементов -
> а то же самое на DOM дохнет.
Это аргумент, да. Другое дело, что архитектура приложения, в котором нужно дерево с тысячью узлов -- изначально порочная. В нормальном GUI узлов должна быть максимум сотня, разбитых на категории, с кэшированием и подгрузкой с сервера по мере надобности.
no subject
Date: 2010-09-16 06:01 pm (UTC)who cares? Если хотите, никто не мешает вам выкладывать исходники - как это делают спокон веков.
vim, eclipse, notepad, усы и хвост -- вот наши IDE. -)
В том-то и беда. Т.е., конечно, все мы уважаем старый добрый vim, и вообще, каждый дрочит, как он хочет, но рассказывать, что vim по финкциональности соответствует нормальному IDE в разработке GUI, не стоит.
Другое дело, что архитектура приложения, в котором нужно дерево с тысячью узлов -- изначально порочная. В нормальном GUI узлов должна быть максимум сотня, разбитых на категории, с кэшированием и подгрузкой с сервера по мере надобности.
Ну да, гонять данные по сети 100 раз всегда лучше, чем скачать их однажды и работать с ними локально.
no subject
Date: 2010-09-18 11:37 am (UTC)> выкладывать исходники - как это делают спокон
> веков.
Мне мешают производители flash-библиотек. Я же не могу их заставить распространять исходники силой. Web is open platform; Flash is not.
> но рассказывать, что vim по финкциональности
> соответствует нормальному IDE в разработке GUI,
> не стоит.
А что такое нормальный IDE? Visual Studio, Eclipse, IntelliJ? Всем этим можно пользоваться для разработки приложения HTML/CSS/JSscript. И пользуются, кстати. Есть даже визуальные конструкторы (типа ExtJs designer), но пользоваться ими большого смысла нет.
> Ну да, гонять данные по сети 100 раз всегда
> лучше, чем скачать их однажды и работать с ними
> локально.
Не то, чтобы лучше -- правильнее. Данные имеют неприятную особенность постоянно меняться. Меняющиеся данные обычно хранят на сервере. Так что вам всё равно придётся их гонять по сети. Если, конечно, речь идёт не о фотошопе каком-нибудь -- ему данные можно и локально хранить.
Кстати, ExtJs держит несколько тысяч DOM узлов, там хорошая архитектура. Только, повторюсь, это никому не нужно при правильном дизайне.
no subject
Date: 2010-09-19 06:04 am (UTC)Это всё равно, что сказать, что C - закрытая платформа. SDK открыт, если какая-та библиотека распространяется без исходников - это ничего не говорит о плаформе.
Visual Studio, Eclipse, IntelliJ? Всем этим можно пользоваться для разработки приложения HTML/CSS/JSscript
Это хорошая фраза - "можно пользоваться" :) Можно, вопрос только - как. Каким именно плагином в эклипсе можно делать с html5 то, что делает flex builder?
Не то, чтобы лучше -- правильнее. Данные имеют неприятную особенность постоянно меняться. Меняющиеся данные обычно хранят на сервере. Так что вам всё равно придётся их гонять по сети
Вот что я особенно люблю, так это людей, которые знают самое правильное решение задачи, ничего не зная о её условиях. Ну просто потому, что если заранее известен ответ - зачем слушать вопрос?
no subject
Date: 2010-09-16 09:44 am (UTC)no subject
Date: 2010-09-16 06:07 pm (UTC)no subject
Date: 2010-09-18 11:42 am (UTC)no subject
Date: 2010-09-19 06:07 am (UTC)no subject
Date: 2010-09-19 01:49 pm (UTC)(Кстати, уязвимость обещают починить только завтра. Молодцы ребята. Спокойные такие.)
no subject
Date: 2010-09-19 06:24 pm (UTC)Ну хорошо, давайте предметно - сколько процентов корпоративных клиентов выключает доступ к флешу на уровне корпорации?
no subject
Date: 2010-09-19 08:30 pm (UTC)> процентов корпоративных клиентов выключает
> доступ к флешу на уровне корпорации?
Как вы себе представляете мой предметный ответ? Список клиентов с установками их policy rulebase? -)
Я не VP и не sales, презентаций не делаю. Моя информация -- от тех, кто разрабатывает и устанавливает.
Моя оценка -- около половины. Сильно зависит от области деятельности -- финансовый и оборонный сектор блокируют почти стопроцентно, просто себе конторы -- в районе десяти процентов. В среднем по палате и выходит.
no subject
Date: 2010-09-19 08:37 pm (UTC)Итак, среди "просто себе контор" - т.е. целевой аудотирии флеша - блокируют его ок. 10%. Понятно, что оборонка и те части финансов, которые имеют дело с реальными денежными транзакциями - это отдельная ниша с совершенно отдельными запросами, сильно отличающимися от запросов обычного случайного офиса или даже обычной технологической компании. Признаться, я не вижу фатальной угрозы флешу в том, что он будет недоступен из-за армейского файрвола и центров обраборки финансовой информации. Думаю, как только html5 станет популярен, вас попросят сделать то же самое с теми его возможностями, которые соответствуют аналогичным возможностям флеша. Типа подгрузки данных снаружи и т.п.
no subject
Date: 2010-09-19 09:17 pm (UTC)> попросят сделать то же самое с теми его
> возможностями, которые соответствуют аналогичным
> возможностям флеша. Типа подгрузки данных снаружи
> и т.п.
Для этого не надо ждать HTML5 -- подгрузка данных снаружи активно используется лет пять уже (погуглите "AJAX"). У клиентов проблем с ним нет. А с флэшем есть -- и поэтому в где-то из двадцати известных мне разрабатываемых веб-приложений флэш используют два и только для бизнес-графики, не для интерфейса (и то я их активно агитирую в пользу raphaeljs и, думаю, скоро разагитирую совсем).
Вы же не думаете, что это от того, что у нас работает девятьсот идиотов-разработчиков и все наши клиенты -- идиоты? Хотя, возможно, именно так вы и думаете, судя по предыдущим вашим репликам. -)
no subject
Date: 2010-09-20 02:24 am (UTC)Это какбы нонсенс - флеш делает ровно то же самое. Единственная разница - какая фирма писала javascript engine, который будет разбирать данные. Никаких данных о том, что, а-приори, именно у Adobe engine небезопасна, а у всех остальных - безопасна, нет.
Вы же не думаете, что это от того, что у нас работает девятьсот идиотов-разработчиков и все наши клиенты -- идиоты?
Нет, конечно, я не думаю, что они все идиоты. Но если они руководствуются критериями типа "Эпл не поддерживает флеш" и расчитывают, что запрещая флеш, но разрешая полный доступ наружу javascript engine, они сильно улучшили безопасность - то тут есть несколько неприятных новостей...
no subject
Date: 2010-09-20 08:26 am (UTC)> самое.
Флэш пользуется XMLHttpRequest? Интересно, не знал.
> Единственная разница - какая фирма писала
> javascript engine, который будет разбирать
> данные. Никаких данных о том, что, а-приори,
> именно у Adobe engine небезопасна, а у всех
> остальных - безопасна, нет.
В поддерживаемых нами платформах javascript engine пишут Microsoft (JScript), Mozilla (SpiderMonkey) и Google (V8). По интересному совпадению, эти же производители пишут броузеры, в которых запускаются наши приложения. Так что если вдруг чей-то engine окажется небезопасным, то небезопасным окажется всё окружение, в котором, в том числе, бежит флэш.
> Но если они руководствуются критериями типа
> "Эпл не поддерживает флеш"
Оне руководствуются критериями "расширять клиентскую базу -- это хорошо".
> но разрешая полный доступ наружу javascript
> engine
"Наружу", кстати, это к ближайшему интранет-серверу. Понятно, что взрослые приложения в интернет не ходят.
no subject
Date: 2010-09-20 08:58 am (UTC)Так что если вдруг чей-то engine окажется небезопасным, то небезопасным окажется всё окружение, в котором, в том числе, бежит флэш.
Извините, не понял. Вы что, преставляете себе безопасность в виде двоичного переключателя - или вся продукция фирмы безопасна, или вся - небезопасна?
"Наружу", кстати, это к ближайшему интранет-серверу. Понятно, что взрослые приложения в интернет не ходят.
Повторите, пожалуйста - в чём тогда претензии к флешу? Если в интернет всё равно никто не ходит, а ближайший интранет-сервер безопасен?
no subject
Date: 2010-09-20 08:59 am (UTC)no subject
Date: 2010-09-20 10:10 am (UTC)> Флеш может пользоваться многими методами
> доставки данных, у него конфигурируемые
> протоколы.
Нет проблем, я и не подвергал сомнению гибкость флэша в смысле протоколов. Клиенты блокируют флэш не из-за того, что он ходит в сеть, а из-за комплекса причин, о которых мы уже говорили.
> У HTML5, кстати, тоже далеко не один
> способ. Про websockets слыхали?
Слыхал, но это уж точно дело будущего. Всё, что требует глобального изменения server-side, складывается в ящик. Увы.
> Извините, не понял. Вы что, преставляете
> себе безопасность в виде двоичного
> переключателя - или вся продукция фирмы
> безопасна, или вся - небезопасна?
Я (вернее, наши security auditors, слава богу, я не очень гожусь на эту роль) представляю себе безопасность, как сложный комплекс причин. И комплекс этот надо предельно упрощать. Один из рабочих способов упрощения -- минимизация вендоров, поставляющих важные узлы системы. MS уже "поставила" нам свой броузер и javascript engine -- зачем нам вводить в уравнение ещё одну переменную в виде adobe flash plugin? Кстати, при всё сложном к ней отношении, когда у MS проблемы (типа описанной в треде), она поставляет фиксы в течение нескольких часов, максимум дней.
> Повторите, пожалуйста - в чём тогда
> претензии к флешу? Если в интернет всё
> равно никто не ходит, а ближайший интранет-
> сервер безопасен?
Претензии в том, что он не нужен. Я утверждаю, что большинство его функций уже сегодня перекрывает HTML/jscript (в будущем -- HTML5). Незачем пользоваться инструментом, который
0) не даёт уникальных преимуществ в разрабатываемом продукте
1) поставляется сторонней фирмой, а не разработчиком платформы
2) уязвим (что плохо сочетается с невысокой ответственностью его производителя)
3) поставляет закрытый код (что провоцирует разработчиков библиотек поставлять закрытые библиотеки)
4) требует для разработки свой proprietary IDE
5) часто блокируется на клиентской машине по причинам сетевой безопасности (см. рапорт Symantec о том, что у Flash в 2009 году наивысший уровень security records)
6) имеет проблемы с памятью и производительностью (см. местный тред о том, как два плеера на странице коммуницируют друг с другом) как на PC, так и на мобильных платформах, причём на последних порой они просто катастрофические
7) как следствие из 6 -- не поддерживается во многих современных популярных платформах (Apple case).
Мне кажется, любого пункта хватило бы. И, в принципе, хватает. -)
no subject
Date: 2010-09-20 05:03 pm (UTC)Кстати, при всё сложном к ней отношении, когда у MS проблемы (типа описанной в треде), она поставляет фиксы в течение нескольких часов, максимум дней.
У них, между прочим, это заняло много лет, дости до такого. В течение каковых лет их справедливо пинали. Следует справедливо пинать и Адобе, однако это не влияет на то, является ли html5 полноценной заменой флешу.
Я утверждаю, что большинство его функций уже сегодня перекрывает HTML/jscript (в будущем -- HTML5).
А я утверждаю, что нет, dhtml и близко не перекрывает, что касается html5 (нужда в котором, собственно, и возникла потому, что dhtml и близко не перекрывает), то его, собственно, ещё даже не существует как финального стандарта, а когда его наконец-то доделают, то, как обычно, займёт некоторое время создать инструменты, сгладить углы и т.п. В том числе, не сомневаюсь, возникнут новые проблемы и даже классы проблем безопасности - точнее, даже не возникнут, а выйдут на поверхность - как случилось с XSS, CSRF и т.п. в эпоху ajax.
По пунктам:
0. уникальные преимущества перед dhtml очевидны любому, кто реально пробовал делать сложный GUI или infographics на обеих платформах
1. обсуждено выше. Полагать, что любая платформа, не придуманная в микрософте, заранее гадость - не стоит.
2. ничем не отличается от других уязвимостей
3. я раз 5 уже упомянул, что SDK - опенсорс. Что конкретно-то закрытое? 3rd party libs? эдак вы и C обьявите не нужным, потому что на нём пишут неопенсорсный код. До такого даже Столмен не доходит.
4. тогда как для остальных есть опенсорсный IDE в виде vim, да? Не смешите. Во-первых, если вы мазохист, можете писать флеш на VIM, там XML/js (ну, activescript, один черт), никто не запрещает. Во-вторых, для html5 вообще ничего нет.
5. часто (10%) блокируется - верю. Причин сетевой безопасности пока не увидел - никакой разницы в безопасности с и без флеша (кроме тривиальной "ещё один компонент") показано не было.
6. you must be kidding me. Флеш по производительности и экономному расходу памяти покрывает dhtml, как бык даже не овцу, а вшу.
7. точнее, в одной платформе, управляемой человеком, известным своим волюнтаризмом и скачками из стороны в сторону.
no subject
Date: 2010-09-20 08:37 pm (UTC)> не влияет на то, является ли html5
> полноценной заменой флешу.
У меня нет никаких сантиментов к adobe и ждать, попинывая, пока они куда-то там дорастут у меня времени нет. Не могут -- пусть валят с рынка.
> а выйдут на поверхность - как случилось с XSS,
> CSRF и т.п. в эпоху ajax.
Как-то странно вы разделяете ajax и dhtml. Dhtml гораздо более древний термин (им и никто не пользуется особо уже), ajax поновее будет. Так что все уязвимости давно вылезли.
Ещё раз, не понимаю, при чём тут будущее время и сослагательное наклонение. HTML+ajax УЖЕ индустриальный стандарт для веб-аппликаций. Я не видел ни одного современного GUI на флэше. Все знакомые мне компании на флэше не разрабатывают. А вы упорно повторяете -- "доделают, займёт время создать инструменты, сгладить углы". Какие углы? Вы видели, не знаю, gmail? -)
> уникальные преимущества перед dhtml очевидны
> любому, кто реально пробовал делать сложный GUI
> или infographics на обеих платформах
Сложные web GUI -- это моя прямая обязанность в компании. Никаких преимуществ у флэша нет, сплошные недостатки. Реально.
В области инфографики jscript vector graphics стремительно догоняет. Погуглите "infographics javascript examples".
http://www.84bytes.com/2008/10/22/advanced-data-visualization-tools-built-with-javascript/
И это два года назад, кстати.
> SDK - опенсорс.
А библиотеки -- нет. Если я смотрю на flash widget, я не могу узнать, откуда он берёт данные или что у него за алгоритм.
> Что конкретно-то закрытое? 3rd party libs? эдак
> вы и C обьявите не нужным
Объявлю, как только у него появится конкурент с открытым кодом. Между прочим, многие элементы Google Chrome сделаны на HTML+jscript, их технология это позволяет. Так что C может начать волноваться. -)
> тогда как для остальных есть опенсорсный IDE в
> виде vim, да?
Да кому нужен ваш taliban-style editor? Я пользуюсь супер-современным far manager. -)
Для всех же остальных есть, повторяю, Eclipse, Visual Studio и IntelliJ. С их помощью как-то люди у нас справляются с написанием GUI под MFC, dot net, C# и java. И веб тут не исключение.
> Причин сетевой безопасности пока не увидел
Спросите Symantec.
> Флеш по производительности и экономному
> расходу памяти покрывает dhtml, как бык даже не
> овцу, а вшу.
Это ваше мнение и оно не более авторитетно, чем мнение этого комментатора (http://avva.livejournal.com/2260145.html?thread=73525937#t73525937).
> точнее, в одной платформе, управляемой
> человеком, известным своим волюнтаризмом
Мы не на партсобрании. Чем бы он не был известен, а с фактами надо считаться.
Стас, мы уже пошли по третьему кругу с одними и теми же аргументами, так что продолжать смысла нет -- ничего нового вы не говорите. -)
Так что я подытожу со своей стороны -- ваше право не пользоваться какими-то технологиями, но отрицать действительность я бы не рекомендовал. А действительность состоит в том, что флэш стремительно теряет актуальности как инструмент веб-разработки, оставляя за собой крайне узкие ниши (сложная анимация), тогда как движение HTML+ajax/HTML5 растёт и ширится, прирастая новыми фреймворками, книгами и сотнями новых приложений.
Будущее флэша сомнительно, будущее веба прекрасно.
no subject
Date: 2010-09-20 09:58 pm (UTC)Пока что никто никуда не валит :)
Как-то странно вы разделяете ajax и dhtml. Dhtml гораздо более древний термин (им и никто не пользуется особо уже), ajax поновее будет.
Это кагбэ разные вещи. Обычно, имеется в виду следующее: DHTML - интерактивное изменение DOM страницы и её визуального представления (которые строятся на основе HTML/CSS) и соответствующие этому приятные визуальные эффекты. AJAX - набор технологий, позволяющих доставлять и обрабатывать удалённые данные без полной перерисовки страницы - как правило, с использованием DHTML для их представления (хотя можно вообразить аппликацию, обрабатывающую, но не представляющую данные, или представляющуюю их иным образом, не через DOM).
Так что все уязвимости давно вылезли.
Да ничего подобного. Новые проблемы появляются регулярно, да и полного решения многих старых до сих пор нет. Скажем, как быть с mashup security, до сих пор не очень понятно - same origin слишком суров, а более развитой модели пока нет.
Я не видел ни одного современного GUI на флэше
Извините, но это свидетельствует лишь об узости вашего кругозора. Собственно, даже здесь: http://en.wikipedia.org/wiki/Adobe_Flex есть примеры, это занимает 5 секунд. За 15 минут можно набрать гораздо больше - но вы не потратили даже 5 секунд на минимальное знакомство с предметом. Притом, что это область ваших профессиональных интересов! Право же, вы меня пугаете. Я бы понял, если бы вы утверждали, что GUI на флеше мало, это дело субьективное. Но вы-то говорите, что их нет вообще!
Вы видели, не знаю, gmail? -)
Я видел gmail. Чего я не видел, так это IDE, который позволит мне сделать gmail. Мало того, gmail, при всём уважении к гуглу, довольно часто тормозит и глючит.
Сложные web GUI -- это моя прямая обязанность в компании. Никаких преимуществ у флэша нет, сплошные недостатки. Реально.
У меня об этом другое мнение, после того, как я пробовал и то, и другое. Судя по тому, что вы утверждаете, что GUI на флеше вообще нет, увы, мне кажется, что ваше мнение - продукт предубеждения, а не знакомства с предметом.
Реально, как можно утверждать, что платформа, имеющая в 10 раз более развитые встроенные виджеты, более развитую модель событий, компилированый и оптимизированый байткод, встроенные средства поддержки больших проектов, развитый IDE и т.п. - имеет ТОЛЬКО недостатки и НИКАКИХ преимуществ - я просто не понимаю. Если бы вы утверждали, что недостатки перевешивают преимущества, это было бы как-то обсуждаемо, но то, что вы говорите, звучит просто странно.
А библиотеки -- нет. Если я смотрю на flash widget, я не могу узнать, откуда он берёт данные или что у него за алгоритм.
Какие именно библиотеки? Те, что входят в стандартную поставку - опенсорс. Те, что нет - обращайтесь к производителю, почему вы считаете это проблемой платформы? Тем более что хорошо оптимизированный код на javascript не более читаем, чем байткод флеша.
Так что C может начать волноваться. -)
Я согласен признать, что как только C будет полностью вытеснен "опенсорсными" альтернативами - flex последует за ним. Верхом на розовом единороге.
(no subject)
From:no subject
Date: 2010-09-20 09:58 pm (UTC)Да кому нужен ваш taliban-style editor? Я пользуюсь супер-современным far manager. -)
Печаль, да - человек, который занимается разработкой сложных GUI, не понимает, зачем они нужны...
Для всех же остальных есть, повторяю, Eclipse, Visual Studio и IntelliJ. С их помощью как-то люди у нас справляются с написанием GUI под MFC, dot net, C# и java. И веб тут не исключение.
Под MFC, .net и java есть как раз мощные IDE. Возможности IDE в плане поддержки современного веба тут изрядно отстают (разве что произошли какие-то мощные подвижки, о которых я не в курсе) - дальше примитивного syntax higlighting и корявого code completion кое-где при большой удаче мало кто продвинулся. Впрочем нет, VS умеет кое-что большее - но лишь в рамках собственных микрософтовских фреймворков.
Это ваше мнение и оно не более авторитетно, чем мнение этого комментатора.
Простите, мнение этого комментатора говорит об одном конретном аспекте (согласен, позорном) в одном конкретном крайне редком сценарии, а не об общей производительности платформы.
Мы не на партсобрании. Чем бы он не был известен, а с фактами надо считаться.
Факт в том, что решения Джобса редко основываются на том, что какая-то технология плоха или хороша сама по себе и часто - на том, что ему и Эплу удобно в данный момент. Так, многозадачность из анафемы в одно прекрасное утро стала новой и прекрасной фичей. Если ваша область интересов не полностью совпадает с таковой Джобса, то полностью полагаться на его judgment может быть рискованно.
А действительность состоит в том, что флэш стремительно теряет актуальности как инструмент веб-разработки,
И будет терять ещё лет 5-6, вот увидите.
движение HTML+ajax/HTML5 растёт и ширится, прирастая новыми фреймворками, книгами и сотнями новых приложений.
С этим я никогда не спорил. Растёт и ширится. Но значение самой функции и производной - разные вещи :)
no subject
Date: 2010-09-20 08:56 am (UTC)no subject
Date: 2010-09-20 08:59 am (UTC)