The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Инструмент аудита cross_fuzz позволил найти более ста ошибок..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от opennews (??) on 02-Янв-11, 11:39 
После полугода с момента создания был представлен (http://lcamtuf.blogspot.com/2011/01/announcing-crossfuzz-pot...) инструмент аудита cross_fuzz (http://lcamtuf.coredump.cx/cross_fuzz/), который призван находить ошибки в веб-браузерах. Cross_fuzz выявляет проблемы путём создания чрезвычайно длинных закрученных последовательностей DOM (http://en.wikipedia.org/wiki/Document_Object_Model) операций, которые затрагивают несколько документов одновременно, при этом проверяя возвращаемые объекты, рекурсивно используя их и создавая круговые зависимости, таким образом проверяя способности веб-браузеров по правильному и эффективному освобождению памяти (http://en.wikipedia.org/wiki/Garbage_collection_%28comp...) для более не используемых объектов. Код утилиты написан с использованием HTML/JavaScript.


С помощью cross_fuzz было найдено более ста ошибок во всех популярных веб-браузерах, включая Internet Explorer, Mozilla Firefox, Opera и веб браузерах, работающих на ...

URL: http://lcamtuf.blogspot.com/2011/01/announcing-crossfuzz-pot...
Новость: http://www.opennet.dev/opennews/art.shtml?num=29183

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +5 +/
Сообщение от pasha (??) on 02-Янв-11, 11:39 
Павильно, майкрософту очень __невыгодно__ заделывать дырки безопасности в браузерах...  ибо антивирям нечего будет лечить......  берешь продукт от майкрософта = заводишь проститутку, а ей нужен "доктор" - антивирь..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –4 +/
Сообщение от botman (ok) on 02-Янв-11, 11:55 
у них есть свой антивирус, для особо бедных и жадных на всякие критические обновления и доводку настроек безопасности под себя... просто его не разрешают включать в базовую систему и его ставят отдельно... чаще, конечно, не ставят и ничего не меняют... Windows 7 вообще не людьми делался... не для людей.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –3 +/
Сообщение от Kai on 02-Янв-11, 12:23 
Сотни миллионов юзеров с вами не согласятся )
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –4 +/
Сообщение от klalafuda on 02-Янв-11, 12:33 
> Сотни миллионов юзеров с вами не согласятся )

Кто ж их спрашивать то будет? Они все так - ошибка Природы. Досадная погрешность статистики не более.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от botman (ok) on 02-Янв-11, 13:17 
> Сотни миллионов юзеров с вами не согласятся )

Я посмотрел http://windows.microsoft.com/ru-RU/windows7/products/videos с ноутбука и мне это совсем не понравилось, особенно на тачпаде, особенно когда ноутом пользуется непривыкший к инновациям человек.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +2 +/
Сообщение от Аноним (??) on 02-Янв-11, 13:45 
мда. посмотрел эти видео. девушка то красиво говорит. вот только работать с этим невозможно. виндовс медиаплоер как был убожеством, так им и остался. интересно а глобальные комбинации клавиш хоть потдержуются?

"подведите мышь сюда, щелкните здесь, потрясите окно и добрый дядя боллмер споет песенку". фу. гном наше фсьо. а миллионы пусть дальше хавают эту виндовс.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от Gular (ok) on 02-Янв-11, 14:34 
гуглохром пишет missing plugin. там на сервилате видео?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от Аноним (??) on 02-Янв-11, 14:49 
wmv
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

69. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от skuzko on 04-Янв-11, 22:15 
> Я посмотрел http://windows.microsoft.com/ru-RU/windows7/products/videos с ноутбука и мне это совсем не понравилось, особенно на тачпаде, особенно когда ноутом пользуется непривыкший к инновациям человек.

Только у меня на видео лаги заметны? 0_о
Такое ощущение, что это кеды на древнем нетбуке запустили -_-

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –2 +/
Сообщение от Lain_13 email on 02-Янв-11, 14:05 
Кстати. Парадоксально, но факт. Этот антивирус лучше, чем популярный в народе NOD32 (например: http://soft-club.ucoz.ru/news/shestoe_testirovanie_antivirus...). Более того, в плане обнаружения известной дряни он очень даже не плох.
Хоть тут М$ сделали нечто условно полезное для своих пользователей.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +8 +/
Сообщение от Anon2048 on 02-Янв-11, 14:15 
Они не делали, они купили компанию-разработчика.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

32. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от Аноним (??) on 02-Янв-11, 16:46 
мега лол. ничего нормального сами сделать не могут.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

40. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –1 +/
Сообщение от анон on 02-Янв-11, 18:09 
По твоему, Балмер лично должен был отправлять патчи?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

41. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от тоже Аноним email(ok) on 02-Янв-11, 19:35 
Популярность в народе - это, пожалуй, единственное достоинство НОДа.
Впрочем, есть и второе - легендарная скорость работы.
Собственно, первое - следствие непонимания причин и следствий второго ;)

> в плане обнаружения известной дряни он очень даже не плох

Вам в последнее время часто попадается известная дрянь? Мне - часто, у меня юзеры энергично получают второе высшее и натаскивают из вузов черт знает что.
Но лечить машинки приносят в основном со свежей заразой - винлокеры те же выходят чуть не ежедневно. И какой смысл в антивирусе, который только и умеет, что "обнаружение известной дряни"?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

44. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от Карбофос (ok) on 02-Янв-11, 21:02 
если человек эникейщик, то без разницы, сколько у него образований. он хоть как айти-дуб. а дипломами они могут перед бабушками трясти.
вот как раз, неведомую, самопальную дрянь, антивирь тоже должна хорошо находить.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

51. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от тоже Аноним email(ok) on 02-Янв-11, 23:48 
Вы точно со мной разговариваете? И точно в этой теме?

Можно аргументировать, с чего антивирусу хорошо находить неведомую, самопальную дрянь, если очередной штамм этой дряни только тем и отличается от предыдущего, что замусорен до полного неопознания сигнатурными антивирусами?

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

52. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от Карбофос (ok) on 02-Янв-11, 23:58 
точно в этой теме. зачем я должен аргументировать банальные вещи?
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

53. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от тоже Аноним email(ok) on 03-Янв-11, 00:16 
Боже упаси, низачем не должны.
Ну, не случилось взаимопонимания. Бывает. Не будем делать из этого проблему...
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

43. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от Карбофос (ok) on 02-Янв-11, 21:00 
робяты из софт-клуба (!!!) покруче ребяток из phoronix'а по результатам тестов.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

66. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +1 +/
Сообщение от Perl_Jam on 03-Янв-11, 21:37 
<offtop>
эх, ребята, забыли вы счастливые времена, когда каждый зверь был шедевром. достаточно посмотреть исходники onehalf, vienna.643 ... да тому же стоуну можно поставить памятник просто за "популярность" и размер, это вам не нынешние троянские слоны =)
и вообще, сколько было прекрасных полиморфов и стелсов, которые надо было плотно по-аналайзить сначала.. а вы сигнатуры, сигнатуры.. эх, нет в нынешних зверях искры божьего гнева, скоро писать их будут даже не на делфи, а чувствую, на питоне..
</offtop>
=) с наступившим всех! =)
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от User294 (ok) on 02-Янв-11, 21:44 
> у них есть свой антивирус, для особо бедных и жадных

О да. Вместо того чтобы оперативно фиксить дыры, майкрософт традиционно занимается раздолбайством. Ну да, заниматься жульнической "оптимизацией" прохождения SunSpider с точки зрения маркетолухов куда приоритетнее чем латать дыры. Ведь красивыми цифрами в тесте - можно и пощеголять, навесив лапши на уши хомячкам. А вот законопаченными дырами - не очень пощеголяешь как-то.

> на всякие критические обновления

Дык где вы возьмете обновления если их MS не выпустил?! Ну я там понимаю в случае вебкита и мозиллы - может еще прийти некий Василий Пупкин, да худо-бедно родить патч затыкающий дыру, если мозгом не обделен и разбирается в вопросе. И врядли кто будет отбиваться от такого патча ногами.

> и доводку настроек безопасности под себя...

Ага, и что предлагается доводить? Вы можете запатчить индусский говнокод? Или предлагается лечить кривость говнокода путем удаления из системы троянов? А может, правильнее было бы лечить говнокод путем его патчинга, а? А то что майкрософт отобрал у всех такую возможность а сам раздолбайствует - ну так вот тут мы и видим все плюсы проприетарного подхода разработки: вендору насрать, а остальные ничего не могут. И вот так в проприетарщине везде.

> просто его не разрешают включать в базовую систему и его ставят отдельно...
> чаще, конечно, не ставят и ничего не меняют... Windows 7 вообще не людьми
> делался... не для людей.

Да вообще продукты майкрософт последние лет 5-7 делаются хрен знает для кого. Не, маркетолухи у МС отличные - они впаривают не только совершенно заурядную операционку, но и заведомо провальные говнопродукты даже, глюкавые чуть более чем полностью. Проблема только в том что хорошие у MS только маркетологи. А все остальное - плохое или в лучшем случае - совершенно заурядное. А сам майкрософт на проблемы своей клиентуры срать хотел. Нет обратной связи. Вообще. Майкрософт за клиентов решает что и как им должно быть надо (разумеется, только то что они могут продать). Сие майкрософта имхо через некоторое время погубит. Т.к. не укладывается сие в рыночную модель и не является естественным состоянием дел.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

61. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от Crazy Alex (??) on 03-Янв-11, 17:53 
Мне вот другое непонятно: они ж там должны это всё осознавать. Ну ладно там - принципиальные проблемы, вроде необходимости перезагрузки системы для установки патча, и как следствие - выпуск обновлений раз в месяц (хотя для десктопа явно предпочтительнее лишний раз перезагрузиться). Но вот почему не сделать конкурентоспособный безопасный браузер - я правда не понимаю. Ресурсов-то у них хватает. Чем им лучше, что к юзеру на десктоп пролезает опенсорс в виде мозиллы или гугловский хром?
Почему "маркет" для приложений не сделать, как сейчас модно, и гнатьустановку/ обновления стороннего софта через него? Еще и прибыль бы получили - чем держать совй электронный магазин или использовать сторонний явно масса мелких производителей софта предпочла бы родной майкрософтовский. Если нагрузки велики будут (что вполне может быть - пользователская база большая)- так можно было бы для фривари/опенсорса держать всё на сервере разработчика, а в маркете - только подписи/хэши...
В общем, странно. Ну ладно "корпорация зла" - но не дураки же они?
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

5. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от klalafuda on 02-Янв-11, 12:12 

Микрософту то, бедному, что за радость с этих антивирей :-?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

34. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от szh (ok) on 02-Янв-11, 16:54 
> майкрософту очень __невыгодно__ заделывать дырки безопасности в браузерах...

нет, выгодно.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

46. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +2 +/
Сообщение от User294 (ok) on 02-Янв-11, 21:55 
> нет, выгодно.

И так и сяк, имхо. С одной стороны, багфиксинг дохода не приносит. Вообще. Поэтому по умолчанию любая коммерческая фирма первым делом постарается сэкономить на отлове и починке багов. В конечном итоге, традиционным проприетарщикам главное - продать. А что там потом с вами случится - всем пофигу. В лицензии написано AS IS? Ну вот и хавайте. А то что будет вкусно - никто и не обещал. С другой стороны, бэкслэш и плохая репутация в области секурити никого не красят. А если клиент зайдя на сайт получает трояна и потом его работа встает - он,  определенно, недоволен. Поэтому дыры все-таки стараются чинить. Только вот в компаниях типа майкрософта - ботообразным человековинтикам в саппорте и R&D в общем то глубоко плевать на вас, ваши проблемы, проблемы продуктов, клиентов и прочая.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

50. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +2 +/
Сообщение от Карбофос (ok) on 02-Янв-11, 22:48 
напрямую нет, косвенно - да. когда для конторы важнее подавать половинчатые решения, выдавая их за решение всех проблем, то для них такой маркетинг будет всегда важнее и качественное латание дыр и качественный софт вообще - одно из последних дел. маркетингом облопошить дилетантов и стричь капусту, занимаясь патентовым троллингом.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

2. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –8 +/
Сообщение от botman (ok) on 02-Янв-11, 11:45 
Брались голые браузеры, без ничего... разве это тест? это какой-то сферический конь в вакууме.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +1 +/
Сообщение от klalafuda on 02-Янв-11, 12:08 
> Брались голые браузеры, без ничего... разве это тест? это какой-то сферический конь в вакууме.

Ээээ... Пардон, а с чем собственно должны быть браузеры, чтобы тест был более объективным :-? Естественно не в масштабах конкретно заданной машины Васи Пупкина но в масштабах всей Сети с характерными пользовательскими настройками и расширениями.

Допустим, то, что N человек используют NoScript а фоксе (и лишь N/10 делают это осмысленно и корректно) мало кого волнует, если, скажем, остальные N*1000.. пользователей ничего о нем не слышали и, очевидно, использовать никогда не будут.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –2 +/
Сообщение от botman (ok) on 02-Янв-11, 12:59 
> Ээээ... Пардон, а с чем собственно должны быть браузеры, чтобы тест был
> более объективным :-? Естественно не в масштабах конкретно заданной машины Васи
> Пупкина но в масштабах всей Сети с характерными пользовательскими настройками и
> расширениями.

Это скорее экстремальный тест движка браузера чем что-то о чём вы с пафосом тут напечатали, а именно "но в масштабах всей Сети с характерными пользовательскими настройками и расширениями". На неубиваемость движка лучше вообще не надеяться и не гонять как самоубийца там где не следует.

> Допустим, то, что N человек используют NoScript а фоксе (и лишь N/10
> делают это осмысленно и корректно) мало кого волнует, если, скажем, остальные
> N*1000.. пользователей ничего о нем не слышали и, очевидно, использовать никогда
> не будут.

Да при чём тут NoScript? Вы ещё заявите что Adobe Flash, Adobe Reader и прочие расширения типа "Silverlight" поставлены на N машинах, а на остальных N*1000 вообще не стояло и не будет стоять никаких дремучих версий Flash и Adobe Reader, потому-что они все такие непривиредливые, белые и пушистые. Firefox хоть позволяет проверить эти экстэншены и обновить их, а при отсутствии возможности отключить их к чёртовой бабушке. А об AdBlock Plus с подписками по регионам, да и о возможностях NoScript уже многие слышали, и частенько используют эти или подобные плагины не от того что они хотят выделиться из серой массы, и не обязательно делают это в Firefox.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

29. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от stimpack on 02-Янв-11, 16:40 
ну там где крахи - там и дыры. лучше залатать их сегодня, чем получить через них более серьезные проблемы завтра.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от iCat (ok) on 02-Янв-11, 13:26 
> Брались голые браузеры, без ничего...

Именно голые, без "ничего", ибо то, что "чего" - это уже не браузерово дело :)
В конце концов, если в уазике поменять мосты, коробку и движок, то на нём вполне можно ездить ;)

Или, на Ваш взгляд, дело браузера - только декорации окошек?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от botman (ok) on 02-Янв-11, 13:58 
Да нет, это всё замечательно что движки латают, я всеми руками и ногами за! Но, блин, они каждый год это делают и каждый год находят дырищ не меньше чем в предыдущем году залатали. Поэтому лучше уж пусть браузер декорациями окон управляет чем безконтрольно лазает по интернету и выполняет неизвестно какие задачи. Сейчас развелось этих контекстных рекламщиков и банеропоказывалок хоть попой жуй, нафиг мне этот телевизор с бесконечной рекламой вместо интернета.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

37. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от уазик email on 02-Янв-11, 17:27 
уазик пройдёт там, где все джипы, может быть кроме хаммаера, встанут
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

42. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от flint (??) on 02-Янв-11, 20:11 
Джип - понятие абстрактное, если не считать название компании.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

59. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от iCat (ok) on 03-Янв-11, 16:42 
>уазик пройдёт там, где все джипы, может быть кроме хаммаера, встанут

хаммер супростив с LandCruiser - "всё равно что плотник супротив столяра".

А вот Браузер обязан обеспечивать качественный веб-сёрфинг. Не зависимо от количества и качества установленных "плугинов".

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

47. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от User294 (ok) on 02-Янв-11, 21:58 
> Брались голые браузеры, без ничего... разве это тест? это какой-то сферический конь
> в вакууме.

Если уж с голыми браузерами такой капец, то если добавить в браузер еще что-то - будет вообще полный швах. Чем больше кода, тем больше в нем багов потенциально. Багов браузера недостаточно и предлагается отхватить багов еще где-то? А почему это надо делать в рамках тестирования браузеров то? В браузерах столь мало проблем что предлагается искать их еще и в постороннем коде? oO

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от Аноним (??) on 02-Янв-11, 12:28 
Как вы, черт побери, физически представляете себе использование NoScript, скажем, если приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от klalafuda on 02-Янв-11, 12:32 
> Как вы, черт побери, физически представляете себе использование NoScript, скажем, если приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?

ExtJS! ExtJS! Скандируют трибуны.. ;)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +2 +/
Сообщение от iCat (ok) on 02-Янв-11, 13:29 
>> Как вы, черт побери, физически представляете себе использование NoScript, скажем, если приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?
> ExtJS! ExtJS! Скандируют трибуны.. ;)

Угу... "Слой_изоленты-слой_ваты-слой_изоленты-три_презерватива-целлофановый_пакет-резиновая_женщина"


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

30. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от stimpack on 02-Янв-11, 16:44 
>>> Как вы, черт побери, физически представляете себе использование NoScript, скажем, если приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?
>> ExtJS! ExtJS! Скандируют трибуны.. ;)
> Угу... "Слой_изоленты-слой_ваты-слой_изоленты-три_презерватива-целлофановый_пакет-резиновая_женщина"

Увы, ajax перевернул интернет. и слава богу. Например, появилась возможность делать осмысленные web-программы (не обязательно на extJS), а не просто информационные табло, которыми до этого являлось 90% сайтов.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

54. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +1 +/
Сообщение от fyjybv on 03-Янв-11, 02:12 
осмысленность, она в головах, а не в ajax'е.
если кто-то не может без этой свистоперделки сделать вменяемое приложение, то "вон из профессии"
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

56. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от К.О. on 03-Янв-11, 10:07 
Ну-ка, сделайте мне на голом HTML (без JS/DOM) вменяемую форму ввода с проверкой ввода по мере заполнения полей без полной перезагрузки страницы. Это самое простое, что пришло в голову.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

58. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +2 +/
Сообщение от тоже Аноним email(ok) on 03-Янв-11, 14:17 
Проверка ввода - вспомогательный механизм, отключение которого не должно влиять ни на что, кроме удобства пользователя. Разве не так?
Например, у меня на сайте нужно нажать кнопку, чтобы купить ключ. Если JS включен - кнопка заменяется ключом без перезагрузки страницы. Если выключен - срабатывает как отправка формы. Стандартное же решение...
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

62. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –1 +/
Сообщение от szh (ok) on 03-Янв-11, 18:16 
> осмысленность, она в головах, а не в ajax'е.
> если кто-то не может без этой свистоперделки сделать вменяемое приложение, то "вон из профессии"

ты свои hello world приложениями не называй, и все станет на свои места, великий пейсатель форм

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

64. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –1 +/
Сообщение от Crazy Alex (??) on 03-Янв-11, 18:24 
>> осмысленность, она в головах, а не в ajax'е.
>> если кто-то не может без этой свистоперделки сделать вменяемое приложение, то "вон из профессии"
> ты свои hello world приложениями не называй, и все станет на свои
> места, великий пейсатель форм

А "вменяемые приложения" должны быть логически отделены от страницы, например как во флеше/сервелате/прочих плагинах. Выделяется отдельный кусок окна, и за его пределеми без специальных мер приложение ничего сделать не может. В плане безопасности, а особенно в плане защиты приватности такой вариант на порядок лучше, чем нынешняя модель.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

65. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от szh (ok) on 03-Янв-11, 18:38 
> А "вменяемые приложения" должны быть логически отделены от страницы, например как во флеше/сервелате/прочих плагинах. Выделяется отдельный кусок окна, и за его пределеми без специальных мер приложение ничего сделать не может. В плане безопасности, а особенно в плане защиты приватности такой вариант на порядок лучше, чем нынешняя модель.

Ты предлагаешь чтобы js не мог работать с DOM ? Радикальный даунгрейд возможностей ты задумал!

> Выделяется отдельный кусок окна, и за его пределеми без специальных мер приложение ничего сделать не может.

js в песочнице работает "и за его пределеми без специальных мер приложение ничего сделать не может."

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

63. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от Crazy Alex (??) on 03-Янв-11, 18:21 
А потом ЭТО невозможно сохранить/обработать автоматикой/дать ссылку, зато можно получить кучу глюков, связанных с JS, неадекватную реакцию на плохое соединение это вообще сплошь и рядом, начиная с GMail), утечки приватных данных и т.д. В этом плане веб как источник информации с появлением аякса только ухудшился - то, что раньше делалось связкой Google + wget + grep, сейчас приходится руками перебирать.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

14. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –1 +/
Сообщение от botman (ok) on 02-Янв-11, 13:38 
Цель ведь не отказаться от JS, а заблокировать его использование на сайтах непонятного происхождения. Сайты с версией фронт-энда без JS я встречаю сплошь и рядом, а вот построенные исключительно на JS - только сайты с разным мусором. Мне мусор не нужен, а вам?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

21. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +1 +/
Сообщение от filosofem (ok) on 02-Янв-11, 14:39 
Вредоносный код могут пропихнуть на любой сайт. Панацеи не существует и NoScript при всех плюсах далек от панацеи.
Только комплексный подход и контролируемая паранойя дают некоторую гарантию защищенности.

ЗЫ Прогнал фузз в ночных сборках фаерфокса 3.6 и 4.0, никаких крэшей и течек не обнаружилось.

ЗЫЗЫ Просмотр кода навел на мысль, что полезной функцией для защиты было бы не блокировка джаваскрипта на основе домена и адреса как в NoScript, а запрет некоторых сомнительных функций вроде eval() и конструкций потенциально эксплойтящих уязвимости браузера. Нормальные програмеры их все равно не используют.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

31. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +2 +/
Сообщение от stimpack on 02-Янв-11, 16:46 
> ЗЫЗЫ Просмотр кода навел на мысль, что полезной функцией для защиты было
> бы не блокировка джаваскрипта на основе домена и адреса как в
> NoScript, а запрет некоторых сомнительных функций вроде eval() и конструкций потенциально
> эксплойтящих уязвимости браузера. Нормальные програмеры их все равно не используют.

А меня ваша мысль навела на мысль об оригинальной иконке для управления степенью запрета скрипта в строке статуса браузера: полностью голая жопа (для внешнего вторжения), голая наполовину, на треть и полностью в бронированных труселях.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

38. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от filosofem (ok) on 02-Янв-11, 17:36 
>и полностью в бронированных труселях

Согласен, но только не забывайте, что на каждую хитрую жопу в бронированных труселях найдется болт с автогеном.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

48. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от User294 (ok) on 02-Янв-11, 22:01 
> Как вы, черт побери, физически представляете себе использование NoScript, скажем, если
> приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?

Разрешите JS только для хостов которым доверяете. А зачем вам выполнять JS с какого-то непонятного хоста который вообще к сайту не относится? Как бонус - всякие говнорекламеры с нежелательной активностью типа внезапно вылетающих "попапов" закрывающих полстраницы - тоже неплохо пролетают.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

20. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от raptor email on 02-Янв-11, 14:37 
Можно подробнее про Оперу (напр. ссылку). Просто пользуюсь ей и новость заинтересовала.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –4 +/
Сообщение от Аноним (??) on 02-Янв-11, 15:10 
Судя по новости, Opera наименее глючная и баги исправляются наиболее оперативно, несмотря на закрытый код.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от raptor email on 02-Янв-11, 15:17 
Нет, пользуюсь оперой давно и убедился что некоторые косяки не исправляются месецами, а то и годами. 11 версия - первая (после 10.10) в которой старые косяки исправляют (перемены в компании произошли)
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –1 +/
Сообщение от Аноним (??) on 02-Янв-11, 15:22 
Ну да, согласен, но я, как и в новости, имел в виду 11-ю версию и выше.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

35. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от Аноним (??) on 02-Янв-11, 17:01 
Хе-хе, судя по господам минусующим, такое у них отношение к объективному сравнению браузеров, где выигрывает Opera. Напоминает женское "ты не прав потому что мне не нравится тво
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

36. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от Аноним (??) on 02-Янв-11, 17:01 
Хе-хе, судя по господам минусующим, такое у них отношение к объективному сравнению браузеров, где выигрывает Opera. Напоминает женское "ты не прав потому что мне не нравится твое мнение".
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от pavlinux (ok) on 02-Янв-11, 15:51 
А у меня, в Firefox, забавный глюк -
1. Открывают Ютюб, запускаю песню.
2. Открываю вторую вкладку с ютюб, запускаю другую песню.
3. Сразу же закрываю первую вкладку.
4. Но то, что игралось в первой, так и продолжает петь, вместе с тем, что на второй.

Вот такой многоканальный плеер :)


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от botman (ok) on 02-Янв-11, 16:02 
прикольный глюк, это flash или mplayer так глючит?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от pavlinux (ok) on 02-Янв-11, 16:10 
Скорее flash 64-битный (Shockwave Flash 10.2 d161), хотя фиг его знает, не всегда глючит.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

39. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от botman (ok) on 02-Янв-11, 17:47 
> Скорее flash 64-битный (Shockwave Flash 10.2 d161), хотя фиг его знает, не
> всегда глючит.

попробуй обновить на 64-битный Flash 10.3 d162, глючит гораздо меньше предыдущих релизов, плюс акселерация на нём у меня завелась в Linux, практически такой-же быстрый как VDPAU у mplayer.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

33. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от stimpack on 02-Янв-11, 16:49 
Это из серии "если вы нечаянно вызвали ментов, они всегда найдут преступника"


Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

49. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –4 +/
Сообщение от Трухин_Юрий_Владимирович (ok) on 02-Янв-11, 22:34 
вы хоть сами-то пробовали? у меня ничего не крашится... все странички открылись. а то что счетчик написал 200x - я не знаю что это. мало ли кто что мог написать. все странички открылись и я скрины сделал. при чем тут крахи... http://img5.imageshack.us/i/captureik.png/
http://img218.imageshack.us/i/capture2pu.png/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +1 +/
Сообщение от Gera (??) on 03-Янв-11, 12:38 
Какое извращение! Мне за вас стыдно... Даже слов нет! =(
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

67. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  –1 +/
Сообщение от Трухин_Юрий_Владимирович (ok) on 03-Янв-11, 21:40 
в чем извращение? в том, что все работает?
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

60. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от demimurych email(ok) on 03-Янв-11, 17:34 
простите на какие? ни в тексте новости ни в ссылке на оригинал ссылок для ИЕ нет.
или я что то пропустил?
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

68. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от szh (ok) on 04-Янв-11, 00:49 
Ого!
You are not authorized to access bug #594645.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

70. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от Трухин_Юрий_Владимирович (ok) on 05-Янв-11, 15:48 
Интересная статья о безопасности ПО http://soft.cnews.ru/articles/safe/186/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от szh (ok) on 06-Янв-11, 01:21 
и в этой статье все счетчики багов у майкрософт занижены, как мы видим из данной новости.
Майкрософт баги замалчивает, по полгода держит пользователей в опасности, в то время как остальные их признают и исправляют. Твой собрат по МС пиару смачно переврал ситуацию.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

72. "Инструмент аудита cross_fuzz позволил найти более ста ошибок..."  +/
Сообщение от Трухин_Юрий_Владимирович (ok) on 06-Янв-11, 12:15 
статистика уязвимостей взята с secunia. можете посмотреть сами
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру