На четыре дня раньше запланированного срока анонсирован (https://developer.mozilla.org/devnews/index.php/2009/03/27/f.../) выход обновления Firefox 3.0.8 (http://www.mozilla.com/firefox/3.0.8/releasenotes/) в котором устранены (http://www.mozilla.org/security/known-vulnerabilities/firefo...) 2 критические уязвимости.Первая уязвимость (http://www.mozilla.org/security/announce/2009/mfsa2009-13.html) была продемонстрирована на соревновании (http://www.opennet.me/opennews/art.shtml?num=20818) по взлому web-браузеров, проведенному в рамках конференции CanSecWest 2009. Уязвимость позволяет удаленному злоумышленнику инициировать выполнение кода в системе. Проблема связана с ошибкой в реализации построения дерева XUL элементов в методе _moveToEdgeShift, которая могла привести к вызову сборщика мусора для выполняющегося объекта. Уязвимости не подвержены Firefox 2, Thunderbird 2 (http://www.mozilla-europe.org/en/products/thunderbird...
URL: https://developer.mozilla.org/devnews/index.php/2009/03/27/f.../
Новость: http://www.opennet.me/opennews/art.shtml?num=20984
Блин, плагины перестали работать.
Если верить данным веб-сервера
релиз 3.0.7 был выложен 21-Feb-2009 02:29
http://pj-mirror01.mozilla.org/pub/mozilla.org/firefox/relea.../
релиз 3.0.8 был выложен 27-Mar-2009 21:56
http://pj-mirror01.mozilla.org/pub/mozilla.org/firefox/relea.../как говорится "no comments".
>Если верить данным веб-сервера
>релиз 3.0.7 был выложен 21-Feb-2009 02:29
>http://pj-mirror01.mozilla.org/pub/mozilla.org/firefox/relea.../
>релиз 3.0.8 был выложен 27-Mar-2009 21:56
>http://pj-mirror01.mozilla.org/pub/mozilla.org/firefox/relea.../
>
>как говорится "no comments".а что собственно не нравится? в феврале 3.0.7, в марте 3.0.8.
заголовок не нравится.
уже пакеты под слаку собрали.
Для убунты - 3.0.8 уже в репах.За оперативность убунтуйцам респекты.
для окон тоже уже 3.0.8 )
Да для всех уже есть бинарники собранные
Сама по себе мозилла почему-то не удосуживается сборкой своих бинарей для AMD64, так что то что оно именно в репах есть - позитивно.Убунтуйцы порадовали вменяемой реакцией на достаточно критичную проблему.
Дайте браузер. Чтобы без горы функций, которых я никогда не узнаю и не попробую. Но зато через уязвимости в этих функциях выполняют произвольный код... Дайте браузер без Cookies (фу), JavaScript, Java, Ajax... Чтобы были https и ssl. Который не стремишься всё время обновлять. А поставил в 2004-м и пользуешься спокойно. Я и под виндой друзьям поставлю. Скажите название?
lynx например
Вы бы еще телнет на 80 порт посоветовали, уровень комфорта тот же примерно.
Тогда dillo.
>Вы бы еще телнет на 80 порт посоветовали,Зато под требования подходит идеально - и багам особо негде быть и не умеет ничего.Даже хтмл парсить не умеет.Мечта вопрошавшего по идее :)
>Дайте браузер. Чтобы без горы функций, которых я никогда не узнаю и
>не попробую. Но зато через уязвимости в этих функциях выполняют произвольный
>код... Дайте браузер без Cookies (фу), JavaScript, Java, Ajax... Чтобы были
>https и ssl. Который не стремишься всё время обновлять. А поставил
>в 2004-м и пользуешься спокойно. Я и под виндой друзьям поставлю.
>Скажите название?Arachne, но не помню, поддерживает ли он https.
>Дайте браузер. Чтобы без горы функций, которых я никогда не узнаю и
>не попробую. Но зато через уязвимости в этих функциях выполняют произвольный
>код...Вы *думаете* что не юзаете эти функции.А вот если вам их жестко отключить - узнаете о вебе много нового скорее всего :D
>Дайте браузер без Cookies (фу),
В нормальном виде куки используются для запоминания настроек, что иногда весьма удобно.Можно конечно по 20 раз самолично все делать, но зачем?Кроме того некоторые сайты без куков просто не работают (например, не проходит логин и так далее).А так хоть в том же файрфоксе прием куков отключается или давится несимпатичным сайтам.Да и любой другой приличный браузер позволяет отключить прием куков.А совсем непозорные - еще и выборочно.Потому что если вариант пососать или принять куки (на сессию а потом %#нуть их если они не нужны), выбор разумного человека думаю понятен?
Итого:если вы ходите только на опеннет, храбро отключайте куки.Хотя даже и тут вас будут ждать неудобства - в куках запоминаются настройки (например, как показывать комментарии).На ряде других сайтов без поддержки куков можно и попросту всосать когда сайт у вас просто не заработает.
>JavaScript,
Опять же любой приличный браузер позволяет их отключить.Ну, вы поимеете то чтохотели: половина сайтов у вас в принципе не будет работать.Вообще.Давно прошли те времена когда веб был набором статичных текстовичков.Но если оно надо - любой приличный браузер позволяет отключить их.Хорошие браузеры позволяют выборочно.Ну а навороты типа NoScript в файрфоксе - для ценителей контроля над ситуацией, можно оставтиь JS там где он натурально нужен и ... не более того :).Отрубить JS совсем?Ну только если вы ходите на пару сайтов.А в противном случае - у вас что-то где-то не отработает и вы всосете.
>Java,
А вы ее много в вебе видели?Я у себя не включаю сроду, рантайм у мну отсутствует и вроде не страдаю от этого :)
>Ajax...
Отрубается отключением ява-скрипта.Вот только опять же - при этом вы просто пролетите при попытке зайти на некоторые сайты.Семеро одного не ждут и дятлов с отключенным JS - мало.Так что если у вас что-то не заработает на каком-то сайте, жаловаться придется в спортлото.
>Чтобы были https и ssl.
Уж не для онлайн банкинга ли?А то как минимум яваскрипт нужен почти всем сайтам банков которые попадались.Нет, то есть вы конечно можете их принципа переться в отделение самолично за тридевять земель, если не повезет - толкаться в очереди и прочая.А я лучше JS включу, вы уж извините :)
>Который не стремишься всё время обновлять.
Для сетевого софта это чревато.
>А поставил в 2004-м и пользуешься спокойно.
Так чтобы с 2004 года не апдейтить - юзайте telnet на порт 80, а хтмл парсьте глазами :).А то даже в Lynx (если не ошибаюсь) находили уязвимость.И явно не в 2004 году...
>Я и под виндой друзьям поставлю.
Они вас поколотят когда у них половина сайтов не заработает и из остального еще 3/4 будет работать криво и с особенностями.
>Скажите название?
Телнет на 80-й порт, больше под ваши критерии ничо не пролезет пожалуй - чтобы за 5 лет багов не нашли и нихрена не работало - самое то :)
>пососать
>всосать
>сосатьв вашем посте очень заметны состояния психического возбуждения и напряжения, вызванные либидинозными и агрессивными потребностями, связанными с оральной зоной
>Дайте браузер. Чтобы без горы функций, которых я никогда не узнаю и
>не попробую. Но зато через уязвимости в этих функциях выполняют произвольный
>код... Дайте браузер без Cookies (фу), JavaScript, Java, Ajax... Чтобы были
>https и ssl. Который не стремишься всё время обновлять. А поставил
>в 2004-м и пользуешься спокойно. Я и под виндой друзьям поставлю.
>Скажите название?links -g
> Дайте браузер без ....imho надо покопаться и просто отключить эти функции. JavaScript и Java и Adobe Flash и так далее.
Только вот нюанс... как вы долго проработаете в браузере без них если эти фичи использует каждый второй сайт? Это уж совсем для аскетов.
В принципе терпимо, только задалбывают неработающие динамические меню (спрашивается, какого фига в сам стандарт HTML до сих пор тега не предложили...). Без флеша легко и свободно.
В общем если по всяким виртуальным казино, порносайтам, интернет магазинам не шариться - жить можно очень спокойно. Практически все грамотные сайты с тех. документацией отлично видятся без всяких джав.
Особенно почитаю сайты, что легко смотрятся в линксе, например http://www.bog.pp.ru/
Побольше бы таких...
>сам стандарт HTML до сих пор тега не предложили...).Думаете, вебмастера будут делать строго по стандарту специально для вас?Мечтать не вредно, их обычно вообще чудаки с отключенным жаваскриптом не интересуют - семеро одного не ждут а если вы что-то отрубили и оно у вас не работает, это по большому счету ваши проблемы.И своими их делать поверьте, никто не хочет (кроме считанных единиц особо-добрых и неленивых вебмастеров).
>Без флеша легко и свободно.
Ага.До тех пор пока не пришлют ссылку на ролик на ютубе или подобном или не попадется сайт где ВСЯ нафигация или как минимум стартовый редиректор - зачем-то на флеше.Можно конечно бухтеть что вы на такие сайты не ходите но случаи как известно бывают разные.
>Практически все грамотные сайты с тех. документацией отлично видятся без всяких джав.Угу, а вы давно были на сайтах допустим производителей чипов?У половины этих скотов оно без флеша просто не работает, вообще.Например, бывает так что стартовая заставка на флеше редирект без него на навигацию по сайту тупо не происходит.Формально сайт браузабелен и без флеша но - вы весь мозг сломаете пока нужный урл на который надо пройти накопаете сами вместо того чтобы вас на него выбросила бы флешовая заставка-редиректор.Особо умные догадываются сделать линк для пропуска заставки, но это как вы понимаете не все.Итого проще разрешить для сволочуг флеш чем сношать мозг полчаса изучением анатомии сайта.Если я пришел на сайт чтобы доку на чип отхватить - я хочу доку на чип.А не черт побери дрочить анатомию их сраного сайта.
>Побольше бы таких...Мечтать не вредно.Только с таким же успехом вы можете мечтать увидеть стадо динозавров.Сайты в таком стиле, на говнопомойках типа pp.ru обречены на постепенное вымирание как мамонты и динозавры.Даже если кому-то это и не нравится.Веб был таким десятки лет назад.А время идет в ОДНУ сторону...
Да мне это всё понятно :) Я просто отметился собственным мнением, а Вы меня так жестоко отконраргументировали :)И вообще, давайте уважать себя сами и заставим уважать тех кто свои сайты нам показывает. Только дружно и коллективно. Хотя конечно по течению проще...
Открою вам секрет, эксперимент успешно завершен и об этом уже можно публично говорить. Пользователь User294 - бот, разработанный в институте системного программирования РАН в качестве отечественного конкурента известного бота A.L.I.C.E (http://www.alicebot.org/), претендующий на получение премии Лёбнера, за разработку в области искусственного интеллекта http://www.loebner.net/Prizef/loebner-prize.html).С весны прошлого года бот проходил испытания на страницах opennet. Эксперимент прошел блестяще ! Несмотря на периодическую коррекцию в модели поведения бота (сравните например сообщения от User294 полугодичной давности), явно прослеживаемое постоянное наращивание базы знаний (лингвистическая модель построена на базе архива отечественных news конференций и десятка web-форумов) и нереально большой для одного человека объем отправляемых сообщений, никто даже не заподозрил, что это бот ! Особенно поразило то, что никто не обратил внимание на то, что сообщения User294 появляются в форуме практически круглосуточно, в то время как человек не может обходится без сна.
В ближайшее время будет опубликована статья, где будут изложены все подробности эксперимента.
Например, могу раскрыть несколько служебных команд, которые можно использовать прямо в тексте сообщений для изменения поведения:
&force_answer; - инициирование обязательного ответа от User294
&civility_level=N; - установка уровня вежливости ответов, 0 - автотюнинг, -10 0 грубый ответ, 10 - изысканный ответ.
теперь самое время для опровержения от лица User294
>&force_answer; - инициирование обязательного ответа от User294
>&civility_level=N; - установка уровня вежливости ответов, 0 - автотюнинг, -10 0 грубый
>ответ, 10 - изысканный ответ.Очевидна необходимость введения команды
&max_iq_answer - полезна при ответах на тупые вопросы с целью экономии процессорного времени на выработку ответа
Как пропатчить KDE под FreeBSD?
&force_answer
&civility_level=10&force_answer
&civility_level=10&force_answer
&civility_level=10&force_answer
&civility_level=10=)
родился новый мем :)
>>> <br>&force_answer<br>Он не отвеит: у Вас ошибка в формате "тега". И не одна.
>[оверквотинг удален]
>&force_answer
>&civility_level=10
>
>&force_answer
>&civility_level=10
>
>&force_answer
>&civility_level=10
>
>=)Точку с запятой после команды ставить надо.
>[оверквотинг удален]
>&force_answer
>&civility_level=10
>
>&force_answer
>&civility_level=10
>
>&force_answer
>&civility_level=10
>
>=)I'm terribly sorry to inform you, but stack overflow error has occurred. Please contact developers.
R0: 0xDEADBEEF R1: 0x00C0FFEE R2: 0xEEEEEEEE R3: 0xAAAAAAAA
R4: 0xA5A5A5A5 R5: 0xDEADC0DE R6: 0xЫЫЫЫЫЫЫЫ R7: 0xСЕКРЕТНО
>[оверквотинг удален]
>>&force_answer
>>&civility_level=10
>>
>>=)
>
>I'm terribly sorry to inform you, but stack overflow error has occurred.
>Please contact developers.
>
>R0: 0xDEADBEEF R1: 0x00C0FFEE R2: 0xEEEEEEEE R3: 0xAAAAAAAA
>R4: 0xA5A5A5A5 R5: 0xDEADC0DE R6: 0xЫЫЫЫЫЫЫЫ R7: 0xСЕКРЕТНОЧорт!.
Говорила мне мама, пора заканчивать кодить в блокноте, надо использовать IDA с подсветкой...
=)
Кстати шарясь в инете с помощью FireFox с плагином NoScript, могу сказать, что проблем изза отключенного JavaScript на удивление мало.
Работают многие файло-ресурсы, музыко-ресурсы, даже интернет магазины)
На очень многих сайтах оказываешься только для того, чтобы найти там информацию.
А для этого JavaScript необходим редко.Но я не призываю отключить JavaScript.
Например, если я вижу, что на данном сайте необходим JavaScript, я его сразу включаю)
в новости забыли написать, что Фаерфокс обновился первым из всех хакнутых на конкурсе броузеров. Возникает вопрос, за что платят пользователи Сафари и ИЕ?
Пользователи IE вообще ни за что не платят, там всё "бесплатно", поставил филку и всё - сиди, балдей. Насчет сафари не скажу, но использовать систему, которая работает только на отдельных железяках и где только через iTunes можно закинуть музыку на "самый лучший плеер", я бы не стал, эти ещё хуже M$.
> Пользователи IE вообще ни за что не платятням ням... а Винду Стив Балмер бесплатно раздает да? Я вот не в курсе. Cкажем так оно является бесплатным компонентом винды, с помощью которого они стараются установить свои стандарты для веба.
А Сафари идет с компьютерами apple которые никто не назовет бесплатными, Стив Джобс для Винды делает версию для того что бы переход с винды на мак был более безболезненным, исключительно для этого.
Иоу'д веруjете заjедно са више готовине газиллион инвестициjа коjа би могла Википедиjа стекну неке много више сервера.