После полугода с момента создания был представлен (http://lcamtuf.blogspot.com/2011/01/announcing-crossfuzz-pot... инструмент аудита cross_fuzz (http://lcamtuf.coredump.cx/cross_fuzz/), который призван находить ошибки в веб-браузерах. Cross_fuzz выявляет проблемы путём создания чрезвычайно длинных закрученных последовательностей DOM (http://en.wikipedia.org/wiki/Document_Object_Model) операций, которые затрагивают несколько документов одновременно, при этом проверяя возвращаемые объекты, рекурсивно используя их и создавая круговые зависимости, таким образом проверяя способности веб-браузеров по правильному и эффективному освобождению памяти (http://en.wikipedia.org/wiki/Garbage_collection_%28comp... для более не используемых объектов. Код утилиты написан с использованием HTML/JavaScript.
С помощью cross_fuzz было найдено более ста ошибок во всех популярных веб-браузерах, включая Internet Explorer, Mozilla Firefox, Opera и веб браузерах, работающих на ...URL: http://lcamtuf.blogspot.com/2011/01/announcing-crossfuzz-pot...
Новость: http://www.opennet.me/opennews/art.shtml?num=29183
Павильно, майкрософту очень __невыгодно__ заделывать дырки безопасности в браузерах... ибо антивирям нечего будет лечить...... берешь продукт от майкрософта = заводишь проститутку, а ей нужен "доктор" - антивирь..
у них есть свой антивирус, для особо бедных и жадных на всякие критические обновления и доводку настроек безопасности под себя... просто его не разрешают включать в базовую систему и его ставят отдельно... чаще, конечно, не ставят и ничего не меняют... Windows 7 вообще не людьми делался... не для людей.
Сотни миллионов юзеров с вами не согласятся )
> Сотни миллионов юзеров с вами не согласятся )Кто ж их спрашивать то будет? Они все так - ошибка Природы. Досадная погрешность статистики не более.
> Сотни миллионов юзеров с вами не согласятся )Я посмотрел http://windows.microsoft.com/ru-RU/windows7/products/videos с ноутбука и мне это совсем не понравилось, особенно на тачпаде, особенно когда ноутом пользуется непривыкший к инновациям человек.
мда. посмотрел эти видео. девушка то красиво говорит. вот только работать с этим невозможно. виндовс медиаплоер как был убожеством, так им и остался. интересно а глобальные комбинации клавиш хоть потдержуются?"подведите мышь сюда, щелкните здесь, потрясите окно и добрый дядя боллмер споет песенку". фу. гном наше фсьо. а миллионы пусть дальше хавают эту виндовс.
гуглохром пишет missing plugin. там на сервилате видео?
wmv
> Я посмотрел http://windows.microsoft.com/ru-RU/windows7/products/videos с ноутбука и мне это совсем не понравилось, особенно на тачпаде, особенно когда ноутом пользуется непривыкший к инновациям человек.Только у меня на видео лаги заметны? 0_о
Такое ощущение, что это кеды на древнем нетбуке запустили -_-
Кстати. Парадоксально, но факт. Этот антивирус лучше, чем популярный в народе NOD32 (например: http://soft-club.ucoz.ru/news/shestoe_testirovanie_antivirus.... Более того, в плане обнаружения известной дряни он очень даже не плох.
Хоть тут М$ сделали нечто условно полезное для своих пользователей.
Они не делали, они купили компанию-разработчика.
мега лол. ничего нормального сами сделать не могут.
По твоему, Балмер лично должен был отправлять патчи?
Популярность в народе - это, пожалуй, единственное достоинство НОДа.
Впрочем, есть и второе - легендарная скорость работы.
Собственно, первое - следствие непонимания причин и следствий второго ;)> в плане обнаружения известной дряни он очень даже не плох
Вам в последнее время часто попадается известная дрянь? Мне - часто, у меня юзеры энергично получают второе высшее и натаскивают из вузов черт знает что.
Но лечить машинки приносят в основном со свежей заразой - винлокеры те же выходят чуть не ежедневно. И какой смысл в антивирусе, который только и умеет, что "обнаружение известной дряни"?
если человек эникейщик, то без разницы, сколько у него образований. он хоть как айти-дуб. а дипломами они могут перед бабушками трясти.
вот как раз, неведомую, самопальную дрянь, антивирь тоже должна хорошо находить.
Вы точно со мной разговариваете? И точно в этой теме?Можно аргументировать, с чего антивирусу хорошо находить неведомую, самопальную дрянь, если очередной штамм этой дряни только тем и отличается от предыдущего, что замусорен до полного неопознания сигнатурными антивирусами?
точно в этой теме. зачем я должен аргументировать банальные вещи?
Боже упаси, низачем не должны.
Ну, не случилось взаимопонимания. Бывает. Не будем делать из этого проблему...
робяты из софт-клуба (!!!) покруче ребяток из phoronix'а по результатам тестов.
<offtop>
эх, ребята, забыли вы счастливые времена, когда каждый зверь был шедевром. достаточно посмотреть исходники onehalf, vienna.643 ... да тому же стоуну можно поставить памятник просто за "популярность" и размер, это вам не нынешние троянские слоны =)
и вообще, сколько было прекрасных полиморфов и стелсов, которые надо было плотно по-аналайзить сначала.. а вы сигнатуры, сигнатуры.. эх, нет в нынешних зверях искры божьего гнева, скоро писать их будут даже не на делфи, а чувствую, на питоне..
</offtop>
=) с наступившим всех! =)
> у них есть свой антивирус, для особо бедных и жадныхО да. Вместо того чтобы оперативно фиксить дыры, майкрософт традиционно занимается раздолбайством. Ну да, заниматься жульнической "оптимизацией" прохождения SunSpider с точки зрения маркетолухов куда приоритетнее чем латать дыры. Ведь красивыми цифрами в тесте - можно и пощеголять, навесив лапши на уши хомячкам. А вот законопаченными дырами - не очень пощеголяешь как-то.
> на всякие критические обновления
Дык где вы возьмете обновления если их MS не выпустил?! Ну я там понимаю в случае вебкита и мозиллы - может еще прийти некий Василий Пупкин, да худо-бедно родить патч затыкающий дыру, если мозгом не обделен и разбирается в вопросе. И врядли кто будет отбиваться от такого патча ногами.
> и доводку настроек безопасности под себя...
Ага, и что предлагается доводить? Вы можете запатчить индусский говнокод? Или предлагается лечить кривость говнокода путем удаления из системы троянов? А может, правильнее было бы лечить говнокод путем его патчинга, а? А то что майкрософт отобрал у всех такую возможность а сам раздолбайствует - ну так вот тут мы и видим все плюсы проприетарного подхода разработки: вендору насрать, а остальные ничего не могут. И вот так в проприетарщине везде.
> просто его не разрешают включать в базовую систему и его ставят отдельно...
> чаще, конечно, не ставят и ничего не меняют... Windows 7 вообще не людьми
> делался... не для людей.Да вообще продукты майкрософт последние лет 5-7 делаются хрен знает для кого. Не, маркетолухи у МС отличные - они впаривают не только совершенно заурядную операционку, но и заведомо провальные говнопродукты даже, глюкавые чуть более чем полностью. Проблема только в том что хорошие у MS только маркетологи. А все остальное - плохое или в лучшем случае - совершенно заурядное. А сам майкрософт на проблемы своей клиентуры срать хотел. Нет обратной связи. Вообще. Майкрософт за клиентов решает что и как им должно быть надо (разумеется, только то что они могут продать). Сие майкрософта имхо через некоторое время погубит. Т.к. не укладывается сие в рыночную модель и не является естественным состоянием дел.
Мне вот другое непонятно: они ж там должны это всё осознавать. Ну ладно там - принципиальные проблемы, вроде необходимости перезагрузки системы для установки патча, и как следствие - выпуск обновлений раз в месяц (хотя для десктопа явно предпочтительнее лишний раз перезагрузиться). Но вот почему не сделать конкурентоспособный безопасный браузер - я правда не понимаю. Ресурсов-то у них хватает. Чем им лучше, что к юзеру на десктоп пролезает опенсорс в виде мозиллы или гугловский хром?
Почему "маркет" для приложений не сделать, как сейчас модно, и гнатьустановку/ обновления стороннего софта через него? Еще и прибыль бы получили - чем держать совй электронный магазин или использовать сторонний явно масса мелких производителей софта предпочла бы родной майкрософтовский. Если нагрузки велики будут (что вполне может быть - пользователская база большая)- так можно было бы для фривари/опенсорса держать всё на сервере разработчика, а в маркете - только подписи/хэши...
В общем, странно. Ну ладно "корпорация зла" - но не дураки же они?
Микрософту то, бедному, что за радость с этих антивирей :-?
> майкрософту очень __невыгодно__ заделывать дырки безопасности в браузерах...нет, выгодно.
> нет, выгодно.И так и сяк, имхо. С одной стороны, багфиксинг дохода не приносит. Вообще. Поэтому по умолчанию любая коммерческая фирма первым делом постарается сэкономить на отлове и починке багов. В конечном итоге, традиционным проприетарщикам главное - продать. А что там потом с вами случится - всем пофигу. В лицензии написано AS IS? Ну вот и хавайте. А то что будет вкусно - никто и не обещал. С другой стороны, бэкслэш и плохая репутация в области секурити никого не красят. А если клиент зайдя на сайт получает трояна и потом его работа встает - он, определенно, недоволен. Поэтому дыры все-таки стараются чинить. Только вот в компаниях типа майкрософта - ботообразным человековинтикам в саппорте и R&D в общем то глубоко плевать на вас, ваши проблемы, проблемы продуктов, клиентов и прочая.
напрямую нет, косвенно - да. когда для конторы важнее подавать половинчатые решения, выдавая их за решение всех проблем, то для них такой маркетинг будет всегда важнее и качественное латание дыр и качественный софт вообще - одно из последних дел. маркетингом облопошить дилетантов и стричь капусту, занимаясь патентовым троллингом.
Брались голые браузеры, без ничего... разве это тест? это какой-то сферический конь в вакууме.
> Брались голые браузеры, без ничего... разве это тест? это какой-то сферический конь в вакууме.Ээээ... Пардон, а с чем собственно должны быть браузеры, чтобы тест был более объективным :-? Естественно не в масштабах конкретно заданной машины Васи Пупкина но в масштабах всей Сети с характерными пользовательскими настройками и расширениями.
Допустим, то, что N человек используют NoScript а фоксе (и лишь N/10 делают это осмысленно и корректно) мало кого волнует, если, скажем, остальные N*1000.. пользователей ничего о нем не слышали и, очевидно, использовать никогда не будут.
> Ээээ... Пардон, а с чем собственно должны быть браузеры, чтобы тест был
> более объективным :-? Естественно не в масштабах конкретно заданной машины Васи
> Пупкина но в масштабах всей Сети с характерными пользовательскими настройками и
> расширениями.Это скорее экстремальный тест движка браузера чем что-то о чём вы с пафосом тут напечатали, а именно "но в масштабах всей Сети с характерными пользовательскими настройками и расширениями". На неубиваемость движка лучше вообще не надеяться и не гонять как самоубийца там где не следует.
> Допустим, то, что N человек используют NoScript а фоксе (и лишь N/10
> делают это осмысленно и корректно) мало кого волнует, если, скажем, остальные
> N*1000.. пользователей ничего о нем не слышали и, очевидно, использовать никогда
> не будут.Да при чём тут NoScript? Вы ещё заявите что Adobe Flash, Adobe Reader и прочие расширения типа "Silverlight" поставлены на N машинах, а на остальных N*1000 вообще не стояло и не будет стоять никаких дремучих версий Flash и Adobe Reader, потому-что они все такие непривиредливые, белые и пушистые. Firefox хоть позволяет проверить эти экстэншены и обновить их, а при отсутствии возможности отключить их к чёртовой бабушке. А об AdBlock Plus с подписками по регионам, да и о возможностях NoScript уже многие слышали, и частенько используют эти или подобные плагины не от того что они хотят выделиться из серой массы, и не обязательно делают это в Firefox.
ну там где крахи - там и дыры. лучше залатать их сегодня, чем получить через них более серьезные проблемы завтра.
> Брались голые браузеры, без ничего...Именно голые, без "ничего", ибо то, что "чего" - это уже не браузерово дело :)
В конце концов, если в уазике поменять мосты, коробку и движок, то на нём вполне можно ездить ;)Или, на Ваш взгляд, дело браузера - только декорации окошек?
Да нет, это всё замечательно что движки латают, я всеми руками и ногами за! Но, блин, они каждый год это делают и каждый год находят дырищ не меньше чем в предыдущем году залатали. Поэтому лучше уж пусть браузер декорациями окон управляет чем безконтрольно лазает по интернету и выполняет неизвестно какие задачи. Сейчас развелось этих контекстных рекламщиков и банеропоказывалок хоть попой жуй, нафиг мне этот телевизор с бесконечной рекламой вместо интернета.
уазик пройдёт там, где все джипы, может быть кроме хаммаера, встанут
Джип - понятие абстрактное, если не считать название компании.
>уазик пройдёт там, где все джипы, может быть кроме хаммаера, встанутхаммер супростив с LandCruiser - "всё равно что плотник супротив столяра".
А вот Браузер обязан обеспечивать качественный веб-сёрфинг. Не зависимо от количества и качества установленных "плугинов".
> Брались голые браузеры, без ничего... разве это тест? это какой-то сферический конь
> в вакууме.Если уж с голыми браузерами такой капец, то если добавить в браузер еще что-то - будет вообще полный швах. Чем больше кода, тем больше в нем багов потенциально. Багов браузера недостаточно и предлагается отхватить багов еще где-то? А почему это надо делать в рамках тестирования браузеров то? В браузерах столь мало проблем что предлагается искать их еще и в постороннем коде? oO
Как вы, черт побери, физически представляете себе использование NoScript, скажем, если приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?
> Как вы, черт побери, физически представляете себе использование NoScript, скажем, если приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?ExtJS! ExtJS! Скандируют трибуны.. ;)
>> Как вы, черт побери, физически представляете себе использование NoScript, скажем, если приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?
> ExtJS! ExtJS! Скандируют трибуны.. ;)Угу... "Слой_изоленты-слой_ваты-слой_изоленты-три_презерватива-целлофановый_пакет-резиновая_женщина"
>>> Как вы, черт побери, физически представляете себе использование NoScript, скажем, если приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?
>> ExtJS! ExtJS! Скандируют трибуны.. ;)
> Угу... "Слой_изоленты-слой_ваты-слой_изоленты-три_презерватива-целлофановый_пакет-резиновая_женщина"Увы, ajax перевернул интернет. и слава богу. Например, появилась возможность делать осмысленные web-программы (не обязательно на extJS), а не просто информационные табло, которыми до этого являлось 90% сайтов.
осмысленность, она в головах, а не в ajax'е.
если кто-то не может без этой свистоперделки сделать вменяемое приложение, то "вон из профессии"
Ну-ка, сделайте мне на голом HTML (без JS/DOM) вменяемую форму ввода с проверкой ввода по мере заполнения полей без полной перезагрузки страницы. Это самое простое, что пришло в голову.
Проверка ввода - вспомогательный механизм, отключение которого не должно влиять ни на что, кроме удобства пользователя. Разве не так?
Например, у меня на сайте нужно нажать кнопку, чтобы купить ключ. Если JS включен - кнопка заменяется ключом без перезагрузки страницы. Если выключен - срабатывает как отправка формы. Стандартное же решение...
> осмысленность, она в головах, а не в ajax'е.
> если кто-то не может без этой свистоперделки сделать вменяемое приложение, то "вон из профессии"ты свои hello world приложениями не называй, и все станет на свои места, великий пейсатель форм
>> осмысленность, она в головах, а не в ajax'е.
>> если кто-то не может без этой свистоперделки сделать вменяемое приложение, то "вон из профессии"
> ты свои hello world приложениями не называй, и все станет на свои
> места, великий пейсатель формА "вменяемые приложения" должны быть логически отделены от страницы, например как во флеше/сервелате/прочих плагинах. Выделяется отдельный кусок окна, и за его пределеми без специальных мер приложение ничего сделать не может. В плане безопасности, а особенно в плане защиты приватности такой вариант на порядок лучше, чем нынешняя модель.
> А "вменяемые приложения" должны быть логически отделены от страницы, например как во флеше/сервелате/прочих плагинах. Выделяется отдельный кусок окна, и за его пределеми без специальных мер приложение ничего сделать не может. В плане безопасности, а особенно в плане защиты приватности такой вариант на порядок лучше, чем нынешняя модель.Ты предлагаешь чтобы js не мог работать с DOM ? Радикальный даунгрейд возможностей ты задумал!
> Выделяется отдельный кусок окна, и за его пределеми без специальных мер приложение ничего сделать не может.
js в песочнице работает "и за его пределеми без специальных мер приложение ничего сделать не может."
А потом ЭТО невозможно сохранить/обработать автоматикой/дать ссылку, зато можно получить кучу глюков, связанных с JS, неадекватную реакцию на плохое соединение это вообще сплошь и рядом, начиная с GMail), утечки приватных данных и т.д. В этом плане веб как источник информации с появлением аякса только ухудшился - то, что раньше делалось связкой Google + wget + grep, сейчас приходится руками перебирать.
Цель ведь не отказаться от JS, а заблокировать его использование на сайтах непонятного происхождения. Сайты с версией фронт-энда без JS я встречаю сплошь и рядом, а вот построенные исключительно на JS - только сайты с разным мусором. Мне мусор не нужен, а вам?
Вредоносный код могут пропихнуть на любой сайт. Панацеи не существует и NoScript при всех плюсах далек от панацеи.
Только комплексный подход и контролируемая паранойя дают некоторую гарантию защищенности.ЗЫ Прогнал фузз в ночных сборках фаерфокса 3.6 и 4.0, никаких крэшей и течек не обнаружилось.
ЗЫЗЫ Просмотр кода навел на мысль, что полезной функцией для защиты было бы не блокировка джаваскрипта на основе домена и адреса как в NoScript, а запрет некоторых сомнительных функций вроде eval() и конструкций потенциально эксплойтящих уязвимости браузера. Нормальные програмеры их все равно не используют.
> ЗЫЗЫ Просмотр кода навел на мысль, что полезной функцией для защиты было
> бы не блокировка джаваскрипта на основе домена и адреса как в
> NoScript, а запрет некоторых сомнительных функций вроде eval() и конструкций потенциально
> эксплойтящих уязвимости браузера. Нормальные програмеры их все равно не используют.А меня ваша мысль навела на мысль об оригинальной иконке для управления степенью запрета скрипта в строке статуса браузера: полностью голая жопа (для внешнего вторжения), голая наполовину, на треть и полностью в бронированных труселях.
>и полностью в бронированных труселяхСогласен, но только не забывайте, что на каждую хитрую жопу в бронированных труселях найдется болт с автогеном.
> Как вы, черт побери, физически представляете себе использование NoScript, скажем, если
> приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?Разрешите JS только для хостов которым доверяете. А зачем вам выполнять JS с какого-то непонятного хоста который вообще к сайту не относится? Как бонус - всякие говнорекламеры с нежелательной активностью типа внезапно вылетающих "попапов" закрывающих полстраницы - тоже неплохо пролетают.
Можно подробнее про Оперу (напр. ссылку). Просто пользуюсь ей и новость заинтересовала.
Судя по новости, Opera наименее глючная и баги исправляются наиболее оперативно, несмотря на закрытый код.
Нет, пользуюсь оперой давно и убедился что некоторые косяки не исправляются месецами, а то и годами. 11 версия - первая (после 10.10) в которой старые косяки исправляют (перемены в компании произошли)
Ну да, согласен, но я, как и в новости, имел в виду 11-ю версию и выше.
Хе-хе, судя по господам минусующим, такое у них отношение к объективному сравнению браузеров, где выигрывает Opera. Напоминает женское "ты не прав потому что мне не нравится тво
Хе-хе, судя по господам минусующим, такое у них отношение к объективному сравнению браузеров, где выигрывает Opera. Напоминает женское "ты не прав потому что мне не нравится твое мнение".
А у меня, в Firefox, забавный глюк -
1. Открывают Ютюб, запускаю песню.
2. Открываю вторую вкладку с ютюб, запускаю другую песню.
3. Сразу же закрываю первую вкладку.
4. Но то, что игралось в первой, так и продолжает петь, вместе с тем, что на второй.Вот такой многоканальный плеер :)
прикольный глюк, это flash или mplayer так глючит?
Скорее flash 64-битный (Shockwave Flash 10.2 d161), хотя фиг его знает, не всегда глючит.
> Скорее flash 64-битный (Shockwave Flash 10.2 d161), хотя фиг его знает, не
> всегда глючит.попробуй обновить на 64-битный Flash 10.3 d162, глючит гораздо меньше предыдущих релизов, плюс акселерация на нём у меня завелась в Linux, практически такой-же быстрый как VDPAU у mplayer.
Это из серии "если вы нечаянно вызвали ментов, они всегда найдут преступника"
вы хоть сами-то пробовали? у меня ничего не крашится... все странички открылись. а то что счетчик написал 200x - я не знаю что это. мало ли кто что мог написать. все странички открылись и я скрины сделал. при чем тут крахи... http://img5.imageshack.us/i/captureik.png/
http://img218.imageshack.us/i/capture2pu.png/
Какое извращение! Мне за вас стыдно... Даже слов нет! =(
в чем извращение? в том, что все работает?
простите на какие? ни в тексте новости ни в ссылке на оригинал ссылок для ИЕ нет.
или я что то пропустил?
Ого!
You are not authorized to access bug #594645.
Интересная статья о безопасности ПО http://soft.cnews.ru/articles/safe/186/
и в этой статье все счетчики багов у майкрософт занижены, как мы видим из данной новости.
Майкрософт баги замалчивает, по полгода держит пользователей в опасности, в то время как остальные их признают и исправляют. Твой собрат по МС пиару смачно переврал ситуацию.
статистика уязвимостей взята с secunia. можете посмотреть сами