Анонсирован (http://developer.mozilla.org/devnews/index.php/2008/02/07/fi.../) выход Firefox 2.0.0.12 (http://www.mozilla-europe.org/ru/products/firefox/2.0.0.12/r.../) с исправлением 10 проблем безопасности (http://www.mozilla.org/projects/security/known-vulnerabiliti...), три из которых отмечена как критические.Наиболее серьёзные проблемы:
- MFSA 2008-06 (http://www.mozilla.org/security/announce/2008/mfsa2008-06.html) - ошибка реализации режима "designMode", которую можно использовать для получения информации об истории открытия страниц пользователем, вызова краха браузера или выполнения кода злоумышленника;
- MFSA 2008-03 (http://www.mozilla.org/security/announce/2008/mfsa2008-03.html) - удаленный запуск кода злоумышленника вне изолированного окружения. Использование XMLDocument.load() для подстановки скрипта, который будет выполнен в контексте другого сайта (XSS);
- MFSA 2008-01 (http://www.mozilla.org/security/announce/2008/mfsa2008-01.html) - вызов краха браузера или повреждения памяти, через выполнение некорректного JavaScript;
- MFSA 2008-05 (http://www.mozilla.org/security/announce/2008/mfsa2008-05.html) - скрипт злоумышленника может загрузить javascript или css файл с локальной машины, что, например, может быть использовано для чтения информации о cookie открытых страниц, через загрузку sessionstore.js;
- MFSA 2008-04 (http://www.mozilla.org/security/announce/2008/mfsa2008-04.html) - при сохранении пароля на сайте злоумышленника, возможна подстановка новой записи или порча содержимого базы сохраненных пользователем паролей;
- MFSA 2008-08 (http://www.mozilla.org/security/announce/2008/mfsa2008-08.html) - скрипт атакующего может переключить фокус по таймеру и закрыть окно уведомления системы безопасности.
URL: http://developer.mozilla.org/devnews/index.php/2008/02/07/fi.../
Новость: http://www.opennet.me/opennews/art.shtml?num=14098
Млин! Когда они наконец-то уволят Window Snyder и наймут разработчиков с прямыми руками?!
Неужели корпорация с многомиллионным доходом не может позволить себе десяток полноценных разработчиков?
Мне кажется, Вы просто не понимаете того, что сложный нетривиальный во многом до сих пор наследственный код одними разработчиками не правится.Тётка занимается совсем другим -- управлением. Если Вам лично не повезло и с толковыми манагерами никогда не сталкивались -- ну, желаю столкнуться.
До тех пор проще не задумываться, это другой уровень как проблем, так и решений, чем тот, которым Вы оперируете.
под "разработчиков с прямыми руками" вы себя имеете ввиду?
Дружище, а ты возьмешься за эту же работу и готов ее сделать лучше?И прямо так железно уверен что управление таким немаленьким проектом у тебя получится лучше?Для таких как вы хочу сказать: исходники доступны.Заткнитесь и сделайте лучше.Если кишка не тонка.Вам все скажут огромное спасибо.P.S. языком трындеть не мешки ворочать.
Вот в винде фаерфокс сам грит, что вышло обновление. А во фре ниче подобного не сообщает и не пытается скачать. Что каждый раз с сырцов пересобиарть и ждать появления в портах?
Если вы выбрали для себя FreeBSD - что же тогда Вам мешает пересобрать порт? FreeBSD для этого и предназначена.
И ждать ничего не надо:
make -C /usr/ports/www/firefox DISTVERSION=2.0.0.12 PORTEPOCH="" PORTREVISION=""
а если еще и deltup настроен, то и скачается всего 227 килобайт разницы меду 2.0.0.11 и .12
pkg_info | grep need
:)
>pkg_info | grep need
>:)Пардон, пардон, пардон!!!
Перед этим порты накатить нужно, конечно :)
А то, вдруг, вы упустили это из виду :)
Не понял, что именно Вы хотите увидеть?
Это?:
# pkg_info -E firefox-2\*
firefox-2.0.0.12
# firefox --version
Mozilla Firefox 2.0.0.12, Copyright (c) 1998 - 2008 mozilla.org
О чем вы? Я предлагал pkg_info -E firefox-2\* ?
Или таки pkg_info | grep need ?
Вот так попробуйте
pkg_version -v | grep "need"
я не понимаю смысла показывать этот вывод... Вы хотите увидеть, что firefox-2.0.0.12 < firefox-2.0.0.11 - ну и что с того?..
pkg_version сравнивает версию установленного пакета с версией в портах (предполагается что порты ты обновляешь, к примеру по крону). Это очень удобно - сразу видна полная картина по всему установленному софту. Я - так прописал в daily - получаю мылом репорт, а там уже решаю чего делать.
В правильных линуксах (Debian) - такое тоже есть :)
В винде - каждый лепит свой update availability scanner в свою залипуху :( но самое удивительное - что находятся ... хммм ... перцы - которым именно этот изврат и нравится!GR.
я не понимаю - чем может помешать принудительное обновление firefox (или других программ) ежедневному обновлению портов? Будете получать мылом, что firefox надо обновлять до тех пор, пока не портируют новую версию, не смотря на то, что установленная версия выше - и замечательно - лишний контроль не помешает.
Мало того! - Если пользоваться portupgrade (что рекомендуется для управления порами), то и неоднозначности не возникает, так как в этом случае реальное состояние портов будет показано в адекватном виде, с учетом принудительных изменений.
И вообще, для меня это вполне нормальная практика:
$ portversion -vl ">"
agave-0.4.4 > succeeds port (port has 0.4.2_2)
easytag-devel-2.1.5 > succeeds port (port has 2.1.2_2)
inkscape-0.45.2 > succeeds port (port has 0.45.1)
nvidia-driver-100.14.23 > succeeds port (port has 100.14.19)
ru-rus-ispell-0.99g4 > succeeds port (port has 0.99g3)
scribus-1.3.4 > succeeds port (port has 1.3.3.11)
gimp-app-2.4.4 > needs updating (port has 2.4.3,1)
А можно про использование deltup поподробнее? Я почитал про него, но остались вопросы.
Во первых, почему у FreeBSD нет собственного ("официального") deltup-сервера и, соответственно, можно ли использовать deltup в "продакшн"?
И во вторых, почему в портах версия 0.4.2, в то время как на сайте есть версия 0.4.3. И, самое главное, исправлен ли баг с контрольными суммами для пожатых bzip2 дистфайлов? (про bzip2 подробности см. http://linux01.gwdg.de/~nlissne/isitsafe.html)
> А можно про использование deltup поподробнее?http://www.bsdportal.ru/viewtopic.php?t=12109&highlight=deltup
> Во первых, почему у FreeBSD нет собственного ("официального") deltup-сервера
Потому что эта фича нужна только не имеющим безлимитный интернет. Т.е. - попросту - функциональность не востребована.
> и, соответственно, можно ли использовать deltup в "продакшн"?
Не понял сути вопроса... Что этому может помешать?
> И, самое главное, исправлен ли баг с контрольными суммами
см. ссылку выше.
Я вообще поставил вендовый Firefox под wine :) Работает отменно, да и к тому же с флешем проблем нет.
P.S. Забыл сказать, что поставил туда Firefox 3.0 beta.
>Я вообще поставил вендовый Firefox под wine :) Работает отменно, да и
>к тому же с флешем проблем нет.А в линуксе какие проблемы с флешем то?У адобы-жлобы для линукса уж давно есть флешатина.С некоторой возней даже в х64 версии работает, хотя адобу все-равно факофф за игнорирование х64 платформы.
>А в линуксе какие проблемы с флешем то?Сейчас ближе к никаким, кроме безопасности. У нас вон security officer не поленился дорисовать скриптик к системе сборки пакетов в чруте -- hsh-run(1), чтоб запускать ff (или что угодно другое из пакетов) тоже в чруте :)
>С некоторой возней даже в х64 версии работает, хотя
>адобу все-равно факофф за игнорирование х64 платформы.Они не игнорируют -- ещё 8 (или 8.5?) надеялись спортировать на 64-битные платформы (и win64 тоже). Там всё плохо внутри примерно настолько же, как в Lotus Notes (который оказалось проще переписать на базе Eclipse в виде Workplace, чем поотрывать предположения по части систем координат в API вывода, например).
См. http://blogs.adobe.com/penguin.swf/2006/10/whats_so_difficul... и по ссылкам в посте.
Не судите опрометчиво (c) Ришелье...
> Вот в винде фаерфокс сам грит, что вышло обновление. А во фре ниче подобного не сообщает и не пытается скачать. Что каждый раз с сырцов пересобиарть и ждать появления в портах?Зачем фрю ставил? Чтоб из репозиториев все получать? Ага, щас. Назвался друзем - компиль сорцы из svn :-)
было бы странно, если ФФ, запущенный не от рута пытался обновиться. Вы так не думаете?
>было бы странно, если ФФ, запущенный не от рута пытался обновиться. Вы
>так не думаете?Ну в винде же пытается :) До сих пор, кстати, не могу понять, откуда берутся запросы логина на проксю в еще не авторизованной сессии ФФ или ТБ у которых обновление всего и вся вырублено.
"обновлятьСЯ" это фича для систем, не имеющих встроенного функционала для обновления
>Вот в винде фаерфокс сам грит, что вышло обновление. А во фре
>ниче подобного не сообщает и не пытается скачать. Что каждый раз
>с сырцов пересобиарть и ждать появления в портах?А в кубунте появился значок наличия обновлений в трее.При его кликании манагер пакетов слил новую версию и инстальнул.Вы сами выбрали себе путь.Если он вам не нравится - кто вам доктор то?В мире есть системы оптимизированные на повседневное использование.А есть для тех кому охота по***ться долго и хардкорно.На все вкусы.Ну а выбор...выбор за вами.И это хорошо.Если вы умеете выбирать так чтобы потом не было мучительно больно.
Ubunta с утра обновилась, как зайка просто )))) гы гы гы.
Интересно, а ФФ3 бета 3 тоже сегодня выйдет?
>Интересно, а ФФ3 бета 3 тоже сегодня выйдет?всё, нашёл, если всё будет ОК, выйдет 12 февраля: http://developer.mozilla.org/devnews/index.php/2008/02/07/fi.../
Такс, что на этот раз поломали?