Анонсирован (http://my.opera.com/desktopteam/blog/opera-10-01) релиз web-браузера Opera 10.01 (http://www.opera.com/docs/changelogs/unix/1001/) в котором исправлены накопившиеся с момента выхода Opera 10.0 (http://www.opennet.me/opennews/art.shtml?num=23237) ошибки, в том числе две уязвимости:- Возможность (http://www.opera.com/support/kb/view/938/) вызова краха или потенциального выполнения кода злоумышленника при попытке обработки специально оформленного имени домена;
- Проблема безопасности (http://www.opera.com/support/kb/view/939/), позволяющая запустить JavaScript код на странице подписки на RSS-ленты, что можно использовать для принудительной подписки на ленты или для чтения других лент.URL: http://my.opera.com/desktopteam/blog/opera-10-01
Новость: http://www.opennet.me/opennews/art.shtml?num=24029
>Возможность вызова краха или потенциального выполнения кода злоумышленника при попытке обработки специально оформленного имени доменаХохо, некисло.
>>Возможность вызова краха или потенциального выполнения кода злоумышленника при попытке обработки специально оформленного имени домена
>
>Хохо, некисло.обычное переполнение
Такое уж ли обычное? Обычным стали переполнения в парсерах js, а вот чтобы в лоб ядовитые линки - давно такого не припомню
>чтобы в лоб ядовитые линки - давно такого не припомнюхром же
не так давно закрывали уязвимость, где достаточно было навести мышь (!) на ссылку
И это, заметьте, при закрытых исходниках такое вычислили
>И это, заметьте, при закрытых исходниках такое вычислилиуверены? ошибку переполнения ввычислил перец из консалтингового агенства. почему бы уважаемой конторе не отдать исходники для аудита.
>не отдать исходники для аудита.А где написано что опера открывала исходники для аудита? Есть какой-то пруф?
А были бы открытые, такого не было бы изначально.
Ага, то-то у Firefox дыры постоянно находят, вот только пачку закрыли, видимо открытые исходиники, помагают ей, от них уберечься...;)
Открытые исходнии позволяют, очевидно, дыры найти. При том - быстрее чем в закрытых при прочих равных. В силу меньших трудозатрат на процесс и большего числа смотрящих в сорсы. Сколько еще таких ляпов зарыто в опере - можно только гадать. Вообще, чем прозрачнее процессы связанные с секурити - тем лучше. Security through obscurity как известно не работает.
>А были бы открытые, такого не было бы изначально.Не факт, бывает же (вон в новом движке сколько всего).Но вот отловили бы пожалуй побыстрее.
Когда решат проблему с qt 4.5.3?
В браузере или в Qt?
У тебя третьи есть (например, для K3B или KDevelop)? Попробуй в настройках явно указать, чтобы использовались третьи. У меня они и используются, ибо третий KDE.Всё работает.
>У тебя третьи есть (например, для K3B или KDevelop)? Попробуй в настройках
>явно указать, чтобы использовались третьи.Нет уж спасибо, еще не хватало мне на этой тухлятине сидеть. Лучше уж, правда, свалить с оперы.
А что не так в Opera-q4, кроме найденных уязвимостей? У меня работает.
>Когда решат проблему с qt 4.5.3?Я устал от этого бреда и перешел на ФФ, хотя теперь думаю пересесть на арору. Проприетарщина в этом вся - просто не может успеть за актуальными технологиями.
Вы про тег video? :)
Какой технологии нет у оперы? Скольких технологий нет у ФФ/хром и т д из тех что есть и используются у оперы?
в опере с 1 сентября (10.00) по 29 октября (10.01) - 2 уязвимости, критичная одна.в фарефоксе - с 9 сентября (3.5.3) по 28 октября (3.5.4) - 16 уязвимостей, критичных 11.
и в чем смысл опенсоуса?
сидеть на дырах?
Что ж за тролли то такие, Господи ж ты ж Боже ж мой... Смысл опен сорса - чтоб находили дыры и исправляли, а не замалчивать о них и препятствовать анализу, создавая иллюзию надежности (как в случае с Оперой)
>замалчивать о них и препятствовать анализу, создавая иллюзию надежности (как в случае с Оперой)"Everybody lies"
Вот только почему-то пальму первенства по объему лапши на уши стабильно держат проприетарщики. Наверное потому что бабло побеждает зло а рыбу проще ловить в мутной воде? Ничего личного - всего лишь наблюдение.
>>чтоб находили дыры и исправляликто простите их находит?
секурити-эксперты чтоль сидят? у них работа вообще-то, тем более эксперты по аудиту кода нарасхват идут, им мне кажется маленько некогда сидеть и копаться в опенсорсном гуане.много времени и эникеев и сисадминов вроде 99% аудитории этого сайта - но я сильно сомневаюсь что тут кто-то знает что-то еще кроме ПэХаПэ и настройки косынки своим секретуточкам.
студенты тоже баги не пойдут искать и не смогут.
так что этот опен-соусный подход к разработке - "я по-быстрому наваяю код, а потом пусть ищут баги за спасибо/за копейки" - не прокатывает уже, как впрочем никогда и не прокатывал.
>в опере с 1 сентября (10.00) по 29 октября (10.01) - 2
>уязвимости, критичная одна.Да, конечно немного - ведь бакланов которые будут бескорыстно убабахивать свое время колупая дизасмом здоровенный блоб на всеобщее благо, играя в прятки с жлобским вендором - не так уж и много. А если кто это будет делать корыстно - так они будут IE дизасмом фигачить, потому что более 50% юзеров Земли в роли мишени для сплойта - сильно интереснее чем невнятные 2% юзеров оперы, ради которых никто не хочет так геморроиться. То что в ней такое накапывают несмотря на все это - кое-что говорит о качестве кода. Скорее всего дыр в ней мало находят потому что мало ищут. Неуловимый Джо - никому нахрен не нужен, вот и...
>и в чем смысл опенсоуса? сидеть на дырах?
Как можно сидеть на дырах, если они пофикшены?Вы прикалываетесь? :)
И, кстати, в вашей логике небольшой flaw. Если дыры нашли и *починили* - они уже НЕ ОПАСНЫ, очевидно :). Опасно - когда дыры известны, а фикса - нет. Вот это - опаньки. У фокса такое бывает редко и мало, в отличие от некоторых других. А вот то что дыр не нашли - само по себе не гарантирует что их нет. Тут вопрос в том - а искали ли их? И кому оно надо - ради поимения 2% юзеров или из чистого альтруизма дизасмить громадную блобину? :)
вопрос в том, насколько часто обновляют свой фаирфокс домохозяйки.
>>Да, конечно немного - ведь бакланов которые будут бескорыстно убабахивать свое время колупая дизасмом здоровенный блоб на всеобщее благо, играя в прятки с жлобским вендором - не так уж и много.Уважаемый Узр294!
Человек, знающий дизасм/отладку (и как следствие - асьму) - не может быть бакланом по определению. Это во-первых.
Скорее наоборот, тот кто изучает сорцы С++ с целью найти там багу переполнения буфера - вот тот баклан.
90% багов ищутся как раз на низком уровне, а не на высоком.Так что хоть Оперу, хоть ФФ - грамотные люди будут ковырять на низком уровне, и сорцы ФФ тут мало кому нужны (тем паче, попробуй прочитай хз какой код хз как и хз кем написанный).
>>То что в ней такое накапывают несмотря на все это - кое-что говорит о качестве кода.
Я еще раз говорю - вы не можете допустить, что уязвимость обнаружили сами сотрудники Оперы? Или обязательно ее прислал некий исследователь кода вроде Криса касперски ? Таких альтруистов нет.
>>Скорее всего дыр в ней мало находят потому что мало ищут. Неуловимый Джо - никому нахрен не нужен, вот и...
Логика интересная у вас.
Почему тогда ИЕ - более популярный, чем ФФ - багов и дыр имеет меньше, чем ФФ ? (и не надо смеяться - багов и дыр там реально меньше, поизучайте секунию хотя бы или милворм, если он жив).Не кажется ли вам, что дыры и популярность связаны мало; а вот дыры и программисты - связаны гораздо больше (что и доказывает соотношения популярность\баги в ИЕ\ФФ)?
>>Как можно сидеть на дырах, если они пофикшены?Вы прикалываетесь? :)
прикалываетесь тут вы, или просто не хотите понять факты.
1. вы на этих 16 (!) дырах ФФ сидели 1,5 (!!) месяца, с 8 сентября по 27 октября.
2. не факт, что заткнув эти дыры, разработчики ФФ не добавили новых (а у них такое бывает, а потом релизы через 2 дня - истинный факт!)
3. теперь еще полтора - два месяца вы будете сидеть на новых дырах (не только возможно добавленных после обновления, но и обнаруженных новых дырах)
и смысл?
>>И, кстати, в вашей логике небольшой flaw. Если дыры нашли и *починили* - они уже НЕ ОПАСНЫ, очевидно :).
а вы наивный. :)))
сразу видно, что к разработке\программированию вы никакого отношения не имеете и являетесь, скорее всего, заурядным сисадом.
я убедился в этом еще по фразе про дизасм, а теперь убедился окончательно.
и flaw как раз в вашей логике.
то что дыры починили - ни о чем не говорит.
могли заткнуть 16 старых, и добавить 17 новых багов\дыр.потому что обновление должно тщательно тестироваться, а тут 50 дней / 16 дыр = 3 дня на тестинг (это грубый подсчет) - маловато, не кажется?
подробнее читай маконела "совершенный код", глава про тестинг\отладку.
узнаете много нового!>>Опасно - когда дыры известны, а фикса - нет. Вот это - опаньки. У фокса такое бывает редко и мало, в отличие от некоторых других.
где гарант того, что в привате нет никаких хакерских утилит, которые эксплуатируют никому не известную уязвимость?
а учитывая общее кач-во кода ФФ, я в этом не сомневаюсь.
>>А вот то что дыр не нашли - само по себе не гарантирует что их нет. Тут вопрос в том - а искали ли их? И кому оно надо - ради поимения 2% юзеров или из чистого альтруизма дизасмить громадную блобину? :)
все это в равной степени актуально и для Опенсорсного софта. )
Сижу, жду когда злые ассемблерщики вызовутся ловить баг в 300-меговом дампе моего FF, куда факсом его слать?
Сидел на опере до тех пор, пока не нашёл vimperator. К сожалению в опере все попытки закосить под него (был патчик на горячие клавиши и можно по F11 развернуть) - смотрятся и работают убого. В остальном плане мне без разницы каким из этих двух пользоваться и как их пишут, главное чтобы работать было удобно. Как правило на сайтах которые я посещаю (этот сайт например) паразитного кода нет. А если кто-то готов лезть за очередным кряком на какой-то левый варезник, так какая разница, споймают его по уязвимости или он собственноручно скачает и запустит виря.
Vitaly_loki
>>>И это, заметьте, при закрытых исходниках такое вычислилиа вы не можете предположить, что это вычислили сами разработчики Оперы?
а вы не можете предположить, что в этом коде просто дырок в сотни раз меньше, т к в отличии от многих оупенсорсных проэтов, написанием кода занимаются высококвалифицированые програмисты, когда как в фф на равной может использоваться как професианальный код, так и "студеньческий"... результат - количество дыр....
2 опенсоусПростите, но я вам глаза открою. Посмотрите ченджлоги оперы: http://www.opera.com/docs/changelogs/unix/ там баг на баге.
О багах они уже несколько месяцев не могут починить подключение к smtp серверу, без использования TSL/SSl
У оперы НЕТ:
Открытого багтрекера (в закрытом разработчики срать хотели на ваши багрепорты)
Нормальных плагинов (ну ни одного нормального нет). Да, какой-то функционал есть из коробки, но нет модульности, как у огнелиса. Увы - опера тупой, проприетарный комбайн.
Скорость обновления оперы и внедрение новых фич очень удручает.Ну и вообще, опера рядом с опенсорсным огнелисом не стояла. Даже не пробуйте сравнивать. Сколько там у оперы пользователей? 1% или 1.5% ? :) :) :)
В России у Opera 15%-23% процентов рынка по разным источникам. Это так, к сведению.
>В России у Opera 15%-23% процентов рынка по разным источникам.Ага, у России 2 беды - дураки и дороги. Вот это - логичное следствие первой проблемы. Умный человек лишний раз на проприетарщину закладываться не станет, имхо.
что сделаешь, если она удобнее...
Умный человек выбирает продукт прежде всего по качеству. Только для красноглазых фанатиков лицензия - главный и единственный критерий.
>Умный человек выбирает продукт прежде всего по качеству.Качество складывается из множества факторов. И возможность вендора неограниченно затягивать гайки, пользуясь тем что вы целиком зависите от него - это не качество а шансы на попадалово. Если вендор решит затянуть гайки или их точка зрения не совпадет с вашей, вы сможете только пососать. И, кстати, если уж мы о удобстве: опере нечем ответить на, допустим, AdBlockPlus и NoScript.А удобство пользования вебом от удавки назойливой рекламы и нежелательных скриптов растет и сильно.Да, номинально затычки с такими фичами есть и в опере, только вот в фоксе оно мощное и удобное, так что можно использовать на практик даже.
опомнись, дорогуша!
там "баг на баге" потому, что крайне сложно писать стабильное приложение под кривую платформу.>У оперы НЕТ:
>
>Открытого багтрекера (в закрытом разработчики срать хотели на ваши багрепорты)любопытно, что с открытым багтрекером разработчики точно так же срать хотели на ваш багрепорты. приоритетные и критические вещи фиксятся, а остальное тебе надо - ты и пиши.
>Нормальных плагинов (ну ни одного нормального нет)
какие тебе нужны плагины?
в том же фуррифоксе совсем с катушек съехали, теперь надо будет ставить плагин для контекстного меню "свойства ссылки".
интересно, в каком релизе они уберут из поставки строку адреса и жестко зашьют гугл стартовой?>тупой комбайн
взаимоисключающие параграфы, не?
>рядом с опенсорсным огнелисом
сквозит такая гордость, будто каждый анонимус лично закоммитил по гигу исходников.
>Открытого багтрекера (в закрытом разработчики срать хотели на ваши багрепорты)Справка - Сообщить о проблеме
>Нормальных плагинов (ну ни одного нормального нет).
1) что такое "нормальный плагин?
2) http://www.google.ru/search?client=opera&rls=ru&q=%D0&#...>Да, какой-то функционал есть из
>коробки, но нет модульности, как у огнелиса.Функционал по сравнению с любым браузером недосегаемо велик. Запустите оперу, нажмите F1 и просвещяйтесь... Заодно можете табличку нарисовать со всеми известными Вам браузерами и их достоинствами из коробки.
>Увы - опера тупой,
>проприетарный комбайн.Похоже что Вы оперу с собой спутали... :)
>Скорость обновления оперы и внедрение новых фич очень удручает.
:))) Вы вобще незнаете оперу. Там этих "фич" _ОЧЕНЬ_ много! Читайте документацию!
>Ну и вообще, опера рядом с опенсорсным огнелисом не стояла.
Опера не стоит, она работает! :)))
>Сколько там у оперы пользователей? 1% или 1.5% ?
Интернетом пользоваться учитесь!
http://top.mail.ru/browsers?id=110605&period=2&date=2009-09-01
>Нормальных плагинов (ну ни одного нормального нет). Да, какой-то функционал есть из коробки, но нет модульности, как у огнелиса. Увы - опера тупой, проприетарный комбайн.Ага. Поставил и наслаждайся жизнью. Как тут не отупеть! Весь функционал из коробки, никаких костылей искать не надо. Я в свое время к Фоксу пару плагинов прикрутил, а при следующем обновлении они у меня отвалились. И теперь при каждом обновлении он мне говорит, что эти плагины не рабаотают и обновить он их не может. Это ж как интересно! И остроту ума оттачивает - искать почему костыли отвалились и писать багрепорты вместо того, чтобы использовать браузер по назначению...
>Ну и вообще, опера рядом с опенсорсным огнелисом не стояла. Даже не пробуйте сравнивать. Сколько там у оперы пользователей? 1% или 1.5% ? :) :) :)
Ха-ха! По вашей логике самый кульный браузер - IE. У него сколько процентов пользователей? :)
Откровенно говоря, по функционалу мне больше всего нравится ФФ, но его тормоза и количество съедаемой памяти несколько удручают
как правило ТОЛЬКО на съедаемую память жалуются лишь те, кто мало знаком с архитектурой ПК. а то и вовсе не знаком.на самом деле проблема намного глубже.
если говорить совсем просто и утрируя, то всю эту память, грубо говоря, процессор должен адресовать, пропустить через себя.естественно ему гораздо легче и быстрее обработать 20 метров под Оперу, чем 200 под Лису.
вот оттого и тормоза.опять же, те данные, которые в Опере занимают допустим 50 байт и требуют 10 машинных инструкций, в ФФ потребуют 100 инструкций и т.д.
я уж молчу про элементарную оптимизацию, о которой в Мозилле наверное вообще не слышали!
в общем ФФ на нынешнем этапе своего неразвития - это поделка. которая изначально-то была костылем (основана она на прахе NetScape Navigator, есличо), но потом тупое бездумное добавление новых фичЪ и прочего никому не нужного барахла окончательно превратили ФФ в разбухшее, неоптимизированное, лопающееся по швам поделие. Разный код от разных людей с разной квалификацией или вообще отсутствием оной - это крах!
и ситуация не изменится никогда.
спасти браузер может лишь переписывание его с нуля квалифицированными людьми, но такие за бесплатно пахать не пойдут.
тем более, сейчас Гуголь более-менее адекватных разработчиков ФФ переманит в стан Хрома.
также, спонсирование ФФ тем же Гуглом будет уменьшатся - зачем Гуглу конкурент?и еще - интересный факт, что сам гугл не стал брать Гекко в Хром - о чем сие говорит?
ЗЫ ну а посты товарищей в духе "у ФФ 30 %, а у Оперы 2 % пользователей" - товарищи, миллион мух не может ошибаться, не так ли? ;)
ОК, вот пытался я сейчас в венде обновиться до 3.5.4. Доходит установка до определенного места и выдается сообщение: "Firefox должен быть закрыт для продолжения установки. Для продолжения, пожалуйста, закройте Firefox." О_о Запускаю опять - тот же эффект. Firefox, естественно, у меня закрыт. Ну как можно пользовать это криворукое поделие, если его даже поставить невозможно! Плюнул и обновил Оперу.
В опере баг с qt+ 4.5.3 не могу пофиксить уже более месяца.
Думаю это о многом говорит. (build 4685)
>В опере баг с qt+ 4.5.3 не могу пофиксить уже более месяца.
>
>Думаю это о многом говорит. (build 4685)в windows сборке 1833 не наблюдаю багов. думаю это о многом говорит
Один серьёзный баг они таки исправили (ибо я был в шоке) неоткрытие загруженных документов, которые в названиях содержали управляющие символы, в т.ч. пробел. Как можно было такое прохлопать просто уму необьяснимо.
За что удалили сообщение о qt патче glib-event-loop?
Пользуюсь оперой уже давно, всегда нравилась из-за свой скорости. Когда перешел на 9, опера стала нравиться еще больше, правда удручало частое зависание окон внутри :(. Перешел на 10 - такого классного браузера я еще не видел, но столкнулся с другой проблемой - стала грузить процессор до безобразия :( (раньше нагрузки на процессор просто не замечал, а сейчас от 30 до 100%), причем с неактивным окном. И еще одна проблема - не выходит из процесов после закрытия :( - приходится принудительно закрывать через диспетчер. Хотя это я связываю не столько с багами 10 (много инфы прочел, от других юзеров такого не слышал), а с тем что винду уже 3 года не переустанавливал :) - комп постоянно в работе, нет времени все проги потом восстанавливать...
>стала грузить процессор до безобразия
>не выходит из процесов после закрытияпохоже на глюки флеша. отключи его нафиг - опера будет работать ещё быстрее
>>стала грузить процессор до безобразия
>>не выходит из процесов после закрытия
>
>похоже на глюки флеша. отключи его нафиг - опера будет работать ещё
>быстрееКаким образом это можно сделать?
http://lexi.ucoz.ru/index/0-4
см. flashblockмне проще вовсе отключить плагины
>http://lexi.ucoz.ru/index/0-4
>см. flashblock
>
>мне проще вовсе отключить плагиныПроблема возникает сразу при загрузки оперы, а не на сайтах где есть флеш.. так что нет смысла отрубать флеш с сайтов.
согласен
согласен