The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Плачевная ситуация с безопасностью WebKit в дистрибутивах Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Плачевная ситуация с безопасностью WebKit в дистрибутивах Linux"  +/
Сообщение от opennews on 03-Фев-16, 11:33 
Один из разработчиков web-браузера Epiphany (GNOME Web) рассказал (https://blogs.gnome.org/mcatanzaro/2016/02/01/on-webkit-secu.../) о проблемах с поставкой  WebKit в составе дистрибутивов Linux. Если  дистрибутивы более-менее научились справляться с обновлением браузеров, то с обособленной поставкой браузерных движков всё очень плохо. В большинстве дистрибутивов поставляются устаревшие версии портов WebKit (WebKitGTK+, QtWebKit и WebKitEFL), содержащие обилие неисправленных опасных уязвимостей.


Дистрибутивы поставлены перед дилеммой - обеспечить поставку свежих версий, но столкнуться с чередой проблем из-за возможного нарушения совместимости с зависимостями, или остановиться на определённом выпуске движка, но утонуть в рутине по бэкпортированию  исправлений уязвимостей. В настоящее время актуальные версии WebKitGTK+ поддерживаются только в Arch и Fedora. Свежий WebKitGTK+ также доступен в Debian testing, за исключением периодов заморозки пакетной базы перед очередным релизом, Debian unstable и openSUSE Tumbleweed. В стабильных релизах  Debian и openSUSE поставляются устаревшие версии WebKitGTK+. В Ubuntu обновления выпускаются выборочно и с большой задержкой (в Ubuntu 14.04 сейчас WebKitGTK+ 2.4.8, хотя 2.4.9 вышел восемь месяцев назад, а в  Ubuntu 15.10 - WebKitGTK+ 2.8.5 в котором имеется 40 уязвимостей).

WebKitGTK+ используется в таких приложениях, как Anjuta, Banshee, Bijiben (GNOME Notes), Devhelp, Empathy, Evolution, Geany, Geary, GIMP, gitg, GNOME Builder, GNOME Documents, GNOME Initial Setup, GNOME Online Accounts, GnuCash, gThumb, Liferea, Midori, Rhythmbox, Shotwell, Sushi и Yelp (GNOME Help). Следует отметить, что бюллетени (http://webkitgtk.org/security/) с отчетами об устранённых в WebKitGTK+ уязвимостей, регулярно стали выходить только последнее время и разработчики приложений были вынуждены отслеживать связанные с безопасностью исправления самостоятельно. Несколько месяцев назад отношение к безопасности изменилось и WebKitGTK+ стал формировать регулярные отчеты с привязкой с идентификаторам CVE.

При этом всплывает новая проблема - сопровождение устаревающей ветки WebKitGTK+ 2.4, последней с поддержкой WebKit1 API. В новых выпусках WebKitGTK+ поддерживается только WebKit2 API, но не все приложения пока поддерживают данный API. Портирование исправлений в ветку WebKitGTK+ 2.4.x является трудоёмкой задачей и отнимает много ресурсов, поэтому скорее-всего поддержка этой ветки в ближайшем будущем будет прекращена. Как один из выходов упоминается удаление поддержки API WebKit1 из дистрибутивов, но такой шаг приведёт к невозможности использования рада популярных приложений.

Что касается WebKitEFL и QtWebKit, то WebKitEFL, развиваемый проектом Enlightenment, в обособленном виде не входит в состав дистрибутивов и, в основном, используется поставщиками решений для встраиваемых систем, которые не занимаются бекпортированием исправлений уязвимостей. Движок QtWebKit прекратил своё развитие, но несмотря на решение о переходе (https://www.opennet.ru/opennews/art.shtml?num=42091) на QtWebEngine (https://www.opennet.ru/opennews/art.shtml?num=38916), он по-прежнему используется в проектах KDE, в том числе в  Amarok, Calligra, KDevelop, KMail, Kontact, KTorrent, Quassel, Rekonq и Tomahawk. Ситуация с безопасностью QtWebKit оставляет желать лучшего, так как кодовая база движка на годы отстаёт от основного WebKit, а исправления бэкпортируются выборочно и не регулярно. Большое число уязвимостей остаются неисправленными и затрагивают все приложения на базе QtWebKit, которые не спешат переходить на новый движок QtWebEngine, поддерживаемый сообществом Qt.


URL: https://blogs.gnome.org/mcatanzaro/2016/02/01/on-webkit-secu.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=43806

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Gentoo"  +8 +/
Сообщение от burik666 on 03-Фев-16, 11:35 
в Gentoo есть stable - 2.8.5, unstable - 2.10.7
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Gentoo vs SUSE"  +2 +/
Сообщение от анонимчик on 03-Фев-16, 13:27 
В suse (13.2) - оф. 2.6.6,из дополнительных (stable) репов - 2.10.4
SUSE Leap 42.1 - оф. 2.8.5
SUSE Tumbleweed - оф. 2.10.4
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

55. "Gentoo"  +/
Сообщение от Pulfer (ok) on 03-Фев-16, 15:07 
В ROSA Desktop Fresh 2.4.9 и 2.8.5.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

73. "Gentoo"  +/
Сообщение от ананим.orig on 03-Фев-16, 16:43 
на самом деле в генте так:
$ eix net-libs/webkit-gtk
net-libs/webkit-gtk
     Доступные версии:      
     (3)    2.4.9(3/25)
     (2)    2.4.9-r200
     (4)    2.8.5(4/37) (~)2.10.4-r1(4/37) (~)2.10.7(4/37)
с тильдами - унстэйбл. установить можно одновременно (слоты) по одной версии из первой колонки в кавычках — (3), (2), (4).

но надо сказать что сборка в генту аналогично арчу (и это с большинством пакетов), а сабж справедлив для бинарных дистров, потому что основное время на пересборку как раз уходит на сабж (включая и кутэшную вариант), его зависимости, зависимости от него и их довольно много. потом хромиум, кеды, либреофис, фф и остальное. как-то так.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

115. "Gentoo"  +1 +/
Сообщение от Аноним (??) on 04-Фев-16, 04:11 
собрал как-то опенофис в генте. ну его нафиг, с тех пор ставлю бинарный пакет
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

126. "Gentoo"  +/
Сообщение от ананим.orig on 04-Фев-16, 14:38 
Можно подключить бинхост от кальки например:
> $ egrep "BINHOST|getbinpkg" /etc/portage/make.conf
> PORTAGE_BINHOST="${PORTAGE_BINHOST} http://mirror.cnet.kz/calculate/grp/default/x86_64"
> PORTAGE_BINHOST="${PORTAGE_BINHOST} http://mirror.cnet.kz/calculate/grp/x/x86_64"
> FEATURES = "${FEATURES} getbinpkg"

ну или ещё от какого бинпрного дистра генту.

но ло я у себя собираю сам — нужных мне флагов нет. собирается (у меня) ~1.5 часа. раз в пол-года/год.
хотя то, что app-office/libreoffice-bin есть — тоже не плохо.

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

3. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 11:51 
>WebKitGTK+ используется в таких приложениях, как Anjuta, Banshee, Bijiben (GNOME Notes), Devhelp, Empathy, Evolution, Geany, Geary, GIMP, gitg, GNOME Builder, GNOME Documents, GNOME Initial Setup, GNOME Online Accounts, GnuCash, gThumb, Liferea, Midori, Rhythmbox, Shotwell, Sushi и Yelp (GNOME Help).
>используется в проектах KDE, в том числе в Amarok, Calligra, KDevelop, KMail, Kontact, KTorrent, Quassel, Rekonq и Tomahawk.

Зачем использовать браузерный движок, там где нет браузера? Evolution и KMail вероятно отрисовывают html письма, но для этого WebKit избыточен, Yelp видимо справку в html хранит, но пять-же WebKit тут лишний.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +6 +/
Сообщение от RazrFalcon email(ok) on 03-Фев-16, 11:54 
>> отрисовывают html письма, но для этого WebKit избыточен

Вы не поверите. Тем более альтернативы WebKit, даже для банальной отрисовки примитивного html в письмах, просто нет.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –4 +/
Сообщение от th3m3 (ok) on 03-Фев-16, 12:13 
Как это нет, а Gecko?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от soarin (ok) on 03-Фев-16, 12:45 
Ну так там всё печально https://developer.mozilla.org/en-US/docs/Gecko/Embedding_Moz...
Тем более gecko по сути доживает своё, как и XUL
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

101. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 19:39 
servo)))
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

9. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 12:23 
Для писем движка уровня Tkhtml/dillo/netsurf/w3m более чем достаточно.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

27. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –2 +/
Сообщение от Аноним (??) on 03-Фев-16, 13:56 
Удваиваю этого тёзку. Кому недостаточно - вебморды в помощь.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

30. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +3 +/
Сообщение от Crazy Alex (ok) on 03-Фев-16, 14:07 
И вместо письма получается поломанное нечто, в котором не видно половины контента. Плавали, знаем.

Это для написания HTML-письма достаточно простейшего редактора - там особо сложных средств не нужно. Но то, что прилетает, может быть любой сложности - оно ж часто не руками пишется, а подставляются данные в какой-то HTML-шаблон. И должно остаться читабельным.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

38. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +3 +/
Сообщение от тоже Аноним email(ok) on 03-Фев-16, 14:29 
У меня довольно обычное дело - приход поломанного нечто, среди которого, собственно, текст.
Потому что Thunderbird заблокировал всю прочую лапшу из соображений безопасности. Еще ни разу не пришлось пожалеть об этом - любоваться на многомеговые логотипы и баннеры отправителя мне совершенно незачем...
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

72. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Celcion (ok) on 03-Фев-16, 16:31 
Админам локалхоста - конечно, не зачем. А если в таком виде пришло деловое письмо манагеру в конторе - то он не будет слушать про то, почему ему достаточно отрисовывания лишь примитивного HTML. :-)
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

79. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от тоже Аноним email(ok) on 03-Фев-16, 17:32 
Мои давно сидят на том же ТВ - никаких жалоб на письма, кроме кривых кодировок из тех уголков страны, где все еще не вымер KOI-8.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

92. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от anonymous (??) on 03-Фев-16, 18:36 
> Админам локалхоста - конечно, не зачем. А если в таком виде пришло
> деловое письмо манагеру в конторе - то

…стоит хорошо подумать, нужно ли вести дела с такими таварисчами.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

99. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +3 +/
Сообщение от Celcion (ok) on 03-Фев-16, 19:33 
>> Админам локалхоста - конечно, не зачем. А если в таком виде пришло
>> деловое письмо манагеру в конторе - то
> …стоит хорошо подумать, нужно ли вести дела с такими таварисчами.

Покажите мне ту контору, где исключительно админы решают как работать всей конторе, включая высший манагерский состав - и я побегу туда просто стремглав. :-)
Ну, речь, разумеется, про крупные конторы, а не "Рога и Копыта".

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

111. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Crazy Alex (ok) on 04-Фев-16, 01:05 
Я уже много лет не видел ни одной большой конторы, где стандартный шаблон письма был бы не в HTML. Предлагаете вообще не вести дел с корпорациями?
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

77. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Andrey Mitrofanov on 03-Фев-16, 16:58 
> У меня довольно обычное дело - приход поломанного нечто, среди которого, собственно,
> текст.
> Потому что Thunderbird заблокировал всю прочую лапшу из соображений безопасности. Еще ни

С большим удовольствием наблюдал получателя на аутглюке ответа (кем-то из "линуксных", но не мозиловским), цитировавшего в HTML  мой HTML-ответ (seamonkey (debian:iceape); эксперимент~) на его собственное "кошерное" exchange-аутглюк-HTML-послание.  Каждый ответил "как надо, как положено по почтовым гайдлайнам" == HTML-ем (да, не вложением исходного, но _цитированием_), получатель на майкрософте получил "айяйяй, белая страни-и-ица".   Я признал эксперимент сокрушительным успехом, подтвердившим мою предыдущую практику "html-почта? Нет, но, спасибо, нет".

Пересел на GNUS. Научился расшифровывать некоторые особо сломанные html-куски почт (находить в info список ктопок и пробовать все подряд из нужной главы). Если но просто не читается. Когда-нибудь освою его до высот повторить тот эксперимент над жертвами оатгрюков...

++http://youbroketheinternet.org/map

> разу не пришлось пожалеть об этом - любоваться на многомеговые логотипы
> и баннеры отправителя мне совершенно незачем...

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

85. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –1 +/
Сообщение от Crazy Alex (ok) on 03-Фев-16, 17:59 
Да не в человеческих письмах дело, а в том, что роботы рассылают - уведомления всякие и т.п. отвечать на них не нужно, но вот прочесть нормлаьно - хотелось бы. Честно говоря, я бы предпочёл, чтобы там основной контент вообще в PDF был, а html и text - только как альтернативы на случай чего.
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

103. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от тоже Аноним (ok) on 03-Фев-16, 20:39 
Это что же вам такое пишут роботы, что его лучше читать в PDF?
Графики? Карты? Фотороботы?
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

110. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Crazy Alex (ok) on 04-Фев-16, 01:02 
Ну вот сейчас гляну, что там сверху в инбоксе.

Платёжки из банка, например. Пока там стандартный не покорёженный вид - всё понятно моментально. Что-то отрисовалось криво - сиди, выясняй, где там что.

Интернет-магазин, приславший письмо об изменении статуса заказа, обычно заботится, чтобы сам статус был чем-то выделен, и его не надо было искать во всём письме. И так далее, и тому подобное.

Гуглоалерт на новости (есть у них возможность подписаться на новости о каким-то ключевикам и раз в день получать подборку свежего) - удобно иметь тот же интерфейс, что и на странице поисковика, даже если удалённая графика отключена - выглядит нормально.

FSF присылает очень хорошо отформатированные письма.

Как-то так.

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

118. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от тоже Аноним (ok) on 04-Фев-16, 08:46 
> Интернет-магазин, приславший письмо об изменении статуса заказа, обычно заботится, чтобы сам статус был чем-то выделен, и его не надо было искать во всём письме.

Видимо, интернет-магазин заботится и о том, чтобы покупателю не было скучно читать это уведомление, и вбухивает в письмо о статусе заказа столько воды, что саму информацию о статусе в письме приходится искать? Хотя ее логичнее было бы вовсе вынести в заголовок.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

127. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от анонимус вульгарис on 04-Фев-16, 15:43 
>FSF присылает очень хорошо отформатированные письма.

FSF присылает и исходник в виде хорошо отформатированного и прекрасно читаемого markdown.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

88. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от . on 03-Фев-16, 18:05 
БЛЖАД! Вот же у людей жизнь! А я на работе - работаю ... :(

;-)

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

83. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Crazy Alex (ok) on 03-Фев-16, 17:55 
Попробуй открыть то же самое письмов Trojita, которая тоже внешний контент, скрипты и т.п. по умолчанию блокирует - удивишься. Потом что громоптиц и половину внутреннего контента не показывает. И это он ещё среди приличных и таки использует полноценный HTML-движок.

Баннеры баннерами, но частенько среди макарон вычленить полезный контент становится сложновато.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

4. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +3 +/
Сообщение от RazrFalcon email(ok) on 03-Фев-16, 11:53 
Странный наезд. Кому надо, тот будет RR дистрибутивы использовать.
О QtWebKit автор видимо вообще ничего не знает, ибо QtWebEngine вышел совсем недавно и не поддерживает кучу фич, а он ожидал что все проги на QtWebKit за неделю перепишут на QtWebEngine и выложат в репозитории? Такого не бывает.

Тем более во всех перечисленных прогах WebKit используется для отображения пары страничек, а не как полноценный браузер.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от й on 03-Фев-16, 12:26 
> Кому надо, тот будет RR дистрибутивы использовать.

т.е. все пользователи гнома и gimp? ну-ну.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

138. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 06-Фев-16, 08:50 
Фич там если и меньше, то не намного. Разве что синхронный доступ порезали. А вот то, что QtWebEngine задолбались собирать даже в передовых дистрибутивах Linux, не говоря об альтернативных ОС, говорит само за себя.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

5. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +14 +/
Сообщение от Аноним (??) on 03-Фев-16, 11:53 
> Anjuta, Banshee, Bijiben (GNOME Notes), Devhelp, Empathy, Evolution, Geany, Geary, GIMP, gitg, GNOME Builder, GNOME Documents, GNOME Initial Setup, GNOME Online Accounts, GnuCash, gThumb, Liferea, Midori, Rhythmbox, Shotwell, Sushi и Yelp (GNOME Help).

Ok. Плееры, IM, IDE, графические редакторы, просмотрщики изображений, etc. Безусловно, им всем жизненно необходим самый навороченный движок для рендеринга веб-страниц, ну куда ж мы без такого движка в 2016-м году. Давно пора вебкит с coreutils слинковать, а лучше даже с ядром.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от ryoken email(ok) on 03-Фев-16, 11:58 
> Ok. Плееры, IM, IDE, графические редакторы, просмотрщики изображений, etc. Безусловно,
> им всем жизненно необходим самый навороченный движок для рендеринга веб-страниц, ну
> куда ж мы без такого движка в 2016-м году. Давно пора
> вебкит с coreutils слинковать, а лучше даже с ядром.

Поттеринга насаммонить не боитесь? :D

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +3 +/
Сообщение от Аноним (??) on 03-Фев-16, 12:44 
Кстати, было бы неплохо создать проект systemd-webkitd. Во-первых: можно было бы переписать встроенный вебсервер на экспрессе, во-вторых: версия системдоса могла бы увеличиться на немалое значение.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

33. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от 1 (??) on 03-Фев-16, 14:13 
тссс ... А вдруг прочитает, а ты тег <sarcasm> не поставил ?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

32. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Crazy Alex (ok) on 03-Фев-16, 14:12 
Части - нужен. Тем, кто выгребает страницы из интернета и хочет показать их нормально, а не в виде лапши из-за того, что какой-нибудь новый колоночнй режим не поддерживается.

Друго части - не нужен. И они сидят на старье. которое дыряво. О чём и статья. Не, ну можно взять что-то совсем убогое и не способное показать 90% современной разметки - но тогда не надо удивляться жалобам и сокращению пользовательской базы.

Вообще - поблема тут в том, чо браузероделы в гробу видели остальной софт (обычно - в буквальнм смысле - это конкуренты "веб-приложениям") и давно забили на стабильный внешний API.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

40. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +3 +/
Сообщение от тоже Аноним email(ok) on 03-Фев-16, 14:33 
> Тем, кто выгребает страницы из интернета и хочет показать их нормально

...стоит вызывать системный браузер, передавая ему адрес, и не выеживаться.
А программа, в которой встроен свой браузер для показа сайта автора - первый претендент на лечение элефантиаза эвтаназией.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

87. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Crazy Alex (ok) on 03-Фев-16, 18:04 
В принципе - согласен, и очень даже согласен. Вызвать, скормить и встроить в окно почтовика. В текущих реалиях - не выйдет. Потому что браузеру надо при этом отдать не просто адрес, а изрядный кусок всего около - каким сайтам доверяем в плане удалённого контента, врубать ли JS, а самое главное - как вы браузеру встроенный в письмо и закодированный MIME контент отдадите? Браузер же нынче - вещь в себе, которая нормально взамидействовать с другим софтом не может и не хочет. А вот движок - со скрипом, но можно застаивть это делать.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

104. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –1 +/
Сообщение от тоже Аноним (ok) on 03-Фев-16, 20:47 
Ну, если бы мне нужно было не просто вызвать сайт, а передать ему какую-то нетривиальную информацию, я бы отправил ее курлом, получил в ответ id, по которому сайт готов увидеть пользователя, обладая этой информацией, и таки вызвал системный браузер, передав ему адрес с единственным параметром. Ну, с парой, если еще безопасность нужно навести...
Совершенно не повод встраивать браузер в программу.
Если же нет сайта, а программа сама генерит HTML-код - ну, адреса с file:// вроде бы тоже любой браузер открывает...
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

109. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Crazy Alex (ok) on 04-Фев-16, 00:55 
Ну вот расскажите хотя бы, как это для почтовика будет работать:

Есть HTML-контент письма, есть assets (css, картинки etc), включённые в это же письмо. Есть запросы ко внешним сайтам, некоторые занесены в почтовике в белый список, некоторые - нет. Как будем это браузеру скармливать?

Для локального хранилища, в которое ложатся страницы и ссылаются на кратинки и прочее по каким-то хитрым урлам (MAF тот же, или CHM) - что делать будем?

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

119. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от тоже Аноним (ok) on 04-Фев-16, 08:50 
> Ну вот расскажите хотя бы, как это для почтовика будет работать:

Для почтовика, интернет-мессенджера и прочих программ, непосредственно и постоянно работающих с интернетом, это действительно не подходит. Но к ним и требования по постоянному обновлению логичнее применять, чем к Rhythmbox, например. В новости в основном упоминаются программы не из "зоны риска", и обновления для них вполне могут по году не выходить.

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

136. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от lululu on 05-Фев-16, 12:53 
Параметрами:
unchm x out.chm --to=/tmp/ae47/
x-inbrowser.exe --stoplistedfiles= --hosts= --file/tmp/ae47/index.html

Ну или на худой конец через прокси, но это костыль.

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

98. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Аноним (??) on 03-Фев-16, 19:24 
Боюсь, что будет наоборот. Браузер уже поглощает плееры, IM, IDE, графические редакторы, просмотрщики изображений, etc. Следующим шагом будет systemd и ядро.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

100. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Andrey Mitrofanov on 03-Фев-16, 19:36 
> Боюсь, что будет наоборот. Браузер уже поглощает плееры, IM, IDE, графические редакторы,
> просмотрщики изображений, etc. Следующим шагом будет systemd и ядро.

¡No pasarán! https://www.reddit.com/r/emacs/comments/4241oy/xwidget_branc.../

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

11. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +2 +/
Сообщение от anonimous on 03-Фев-16, 12:26 
Напомните, а зачем запихивали аж целый брузерный движок вообще во все приложения? Неужели не существует какого-нибудь простенького рендерера html? В половине примеров в статье ничего больше и не нужно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –1 +/
Сообщение от Аноним (??) on 03-Фев-16, 13:01 
Существует, khtml так же известный сейчас как WebKit :-)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

21. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –1 +/
Сообщение от тоже Аноним email(ok) on 03-Фев-16, 13:28 
Мне одному кажется, что, если в рендерере HTML появилась хотя бы возможность уязвимости - это таки означает, что после того, как он был простеньким, разработка свернула куда-то не туда?

И такое еще соображение: ведь в основном в этих программах движок рендерит не какие-то сайты из интернета, а ту разметку, что ему нагенерировала сама программа. Не факт, что вообще существуют сценарии эксплуатации уязвимости - даже широко известной - в самой программе. А в этом случае новая версия движка программе нужна, как козе баян.

Или я ошибаюсь и там достаточно начудить в выводе ссылку на exploit-there.org, щелкнуть по ней - и все само загрузится без регистрации и СМС?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

56. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от й on 03-Фев-16, 15:10 
добро пожаловать в современный мир фронт-энда, где некоторым уже мешает, что webkit не умеет в es6.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

113. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 04-Фев-16, 01:07 
"Удумайте" у себя в голове, не знаю на лоб приклейте или просто запомните, что ничего общего между khtml и webkit никогда не было, нет и не будет. WebKit - это не дальнейшее развитие khtml. khtml - это скорее основа, подход к построению веб-движков в целом (хотя даже сегодня khtml после кучи обновлений - полное бревно, которое в свое время бросили и серьезно не развивали. Так, перекочевал один и тот же код с одной версии kde в другую, да и дело с концом). Сходство между ними - это как сравнить повозку 40-х годов и суперкар 2015 года. Вроде и колеса у обоих есть, да вот не то.
И никак этот khtml сейчас не известен, кроме как khtml. Мания величия что ли? ИМХО ерунда, не более.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

114. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Michael Shigorin email(ok) on 04-Фев-16, 01:08 
> И никак этот khtml сейчас не известен, кроме как khtml.

А что расскажете про Windows 3.11?

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

34. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +3 +/
Сообщение от Crazy Alex (ok) on 03-Фев-16, 14:13 
Потому что для современного HTML не может быть простеньких движков, есть сложные, а есть некорректные.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

41. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от анонимус вульгарис on 03-Фев-16, 14:36 
Почему же, простенький движок написать можно. Только где найти корректный HTML, чтобы он в таком движке отображался...
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

65. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 15:55 
Настолько просто что сейчас прямо богатый выбор движков на рынке. Как раз та ситуация когда радуешься что существует ещё и IE, а не только монстр-вебкит и полудохлый файрфокс.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

89. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +2 +/
Сообщение от Crazy Alex (ok) on 03-Фев-16, 18:07 
Вы спецификацию HTML5 давно видели, со всеми колоночными режимами и подобным? А CSS современного, со всеми анимациями? А это тот минимум который надо поддерживать, даже если JS вообще игнорировать.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

82. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 17:46 
> Неужели не существует какого-нибудь простенького рендерера html?

Есть. QTextBrowser.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +2 +/
Сообщение от omnomnim on 03-Фев-16, 12:29 
Привет PS4, емнип именно через webkit её ломанули.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +2 +/
Сообщение от qq (??) on 03-Фев-16, 12:33 
Я просто тащусь какие тут все умные. Легко сказать «зачем тащили?» не написав ни строчки кода…
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +10 +/
Сообщение от анон on 03-Фев-16, 13:45 
> Я просто тащусь какие тут все умные. Легко сказать «зачем тащили?» не
> написав ни строчки кода…

#!/bin/sh
echo "Зачем тащили?"

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

31. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +10 +/
Сообщение от Аноним (??) on 03-Фев-16, 14:08 
Зачем тащить целый shell, если надо просто вывести одну строчку?
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

16. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Аноним (??) on 03-Фев-16, 12:59 
А при чём тут дистрибутивы, если это авторы WebKit* кинули своих пользователей.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +3 +/
Сообщение от Аноним (??) on 03-Фев-16, 13:10 
Ну наконец-то новость, где Арч с Федорой лучшие.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 15:56 
> Ну наконец-то новость, где Арч с Федорой лучшие.

Но ведь ещё есть gentoo + suse про которыых просто не написали в статье.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

84. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от фцв on 03-Фев-16, 17:56 
Там нет, даже в нестабильных репах
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

130. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 04-Фев-16, 18:13 
да во всех дистрах Linux примерно 1-а х-ня.
тк Линус - системно и и последовательно выковыривает и троллит как из ядра так и тулчейна все связанное с повышением безопасности и улучшениями на тему. ну за единичными исключениями, весьма странно реализованными, зачастую.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 13:28 
На маке WebKit свежий, ага линукс не дырявый...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 14:44 
Ты новость вообще читал? Как WebKitGTK+, QtWebKit и WebKitEFL могут быть свежими если их авторы не обновляют версии используемые в приложениях?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

49. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Аноним (??) on 03-Фев-16, 14:55 
> Как WebKitGTK+, QtWebKit и WebKitEFL могут быть свежими если их авторы не обновляют версии используемые в приложениях?

Ну так в ubuntu/debian/rhel всегда так, это не арчик и не гента.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

53. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 14:58 
>> Как WebKitGTK+, QtWebKit и WebKitEFL могут быть свежими если их авторы не обновляют версии используемые в приложениях?
> Ну так в ubuntu/debian/rhel всегда так, это не арчик и не гента.

А пользователи арчика и не генты видимо сами переписывают все приложения на новый API WebKit2?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

28. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 14:00 
Может быть действительно, webkit, как графический интерфейс системы - нормальное решение? Вместо всех этих Gnome, KDE, а вместе с ними и GTK и Qt?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –3 +/
Сообщение от Аноним (??) on 03-Фев-16, 14:27 
> Дистрибутивы поставлены перед дилеммой - обеспечить поставку свежих версий, но столкнуться с чередой проблем из-за возможного нарушения совместимости с зависимостями, или остановиться на определённом выпуске движка, но утонуть в рутине по бэкпортированию исправлений уязвимостей.

Пользователи генты смеются над вашими проблемами

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Аноним (??) on 03-Фев-16, 14:48 
> Пользователи генты смеются над вашими проблемами

Угу, пользователи генты сами переписали все приложения с API WebKit1 на новый API WebKit2.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от анонимус вульгарис on 03-Фев-16, 14:32 
Чувак правильно всё описал, но не сделал правильного вывода. А правильный вывод был бы: надо делать LTS-ветки WebKit, в которые входили бы только критические багфиксы, и делать их должен апстрим, а не майнтейнеры дистрибутивов, каждый в своей песочнице.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от тоже Аноним email(ok) on 03-Фев-16, 14:39 
> надо делать

Кому надо и кому это делать, не подскажете?

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

48. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 14:54 
> Чувак правильно всё описал, но не сделал правильного вывода. А правильный вывод
> был бы: надо делать LTS-ветки WebKit, в которые входили бы только
> критические багфиксы, и делать их должен апстрим, а не майнтейнеры дистрибутивов,
> каждый в своей песочнице.

Вообще у Debian есть правило, не поставлять приложений с известными проблемами безопасности. Были случаи удаления пакетов и из stable из-за этого.

Непонятно почему они с WebKit* церемонятся.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

68. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 16:01 
Потому что если удалить все перечисленные и не перечисленные в новости пакеты, то в stable останется только ядро и coreutils.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

95. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 18:42 
> Потому что если удалить все перечисленные и не перечисленные в новости пакеты,
> то в stable останется только ядро и coreutils.

Нет. Популярность WebKit вами слишком преувеличена :-)

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

50. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –2 +/
Сообщение от Аноним (??) on 03-Фев-16, 14:55 
Отсутствие поддержки компенсируется неуловимостью программ в линуксе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Andrey Mitrofanov on 03-Фев-16, 15:11 
> Конкуреры и поставил вместо него китайское
>небо и земля!

А вот и китайские малварщики со свежей саморекламой. Правильно! Не всё сурсфоржам, да мозилам масленица.

--http://youbroketheinternet.org/map

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

63. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от анонимус вульгарис on 03-Фев-16, 15:52 
https://ru.wikipedia.org/wiki/CoolNovo
Состояние: Проект закрыт
Лицензия: собственническая
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

67. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –2 +/
Сообщение от Нанобот (ok) on 03-Фев-16, 15:58 
а потом ещё и орут на каждом углу, что это "Unix way" и что это типа круто
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору
Часть нити удалена модератором

80. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от тоже Аноним email(ok) on 03-Фев-16, 17:36 
Да, про принцип KISS в этой ветке - это очень правильно.
NOW KISS, собеседнички.
Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

97. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 03-Фев-16, 18:51 
> Unix way уже давно трансформировался в принцип KISS.

Нет: инструментальность отдельно, простота отдельно.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

86. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +3 +/
Сообщение от Нимано on 03-Фев-16, 18:00 
> Отказавшись от DLL и собирая ПО из исходников они лишили себя возможности
> исправить ошибку в одном месте. Теперь нужно "за ручку" водить каждую
> программу.

Ну да, куда уж SO-шкам до них! Да те же долбaные краснoглазые ограничения, не грузящие по умолчанию DLL^W тьфу, SO из "папки" с программой никуда не годятся! Ведь при штопанье дыр будет достаточно обновить либу в /usr/lib" – а это слишком просто!1

То ли дело форточка, где каждая вторая программа тянет с собой свои, "правильные" версии либ непосредственно в своей "папке" и где можно сильно удивиться, обнаружив в системе с полдюжины "libssl32.dll" (вроде бы так опенэсэсэльная либа называется) еще благородно-стабильной версии 0.9.7

> Молодцы! Накосячили везде где только можно! Допустили все возможные архитектурные ошибки!

Да что вы во ... * погодите, у меня тут уведомление в нотификаторе красным подсвечивается:
* "WARNING! HEAVY VENTILATOR OVERLOAD! 20 SECONDS TILL SELF-DESTRUCTION! PLEASE LEAVE THE CIRCUS TENT!"

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору
Часть нити удалена модератором

108. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Буратино on 03-Фев-16, 23:37 
>При правильном написании программ, они общие файлы ложат в общую папку и проблемы версий не возникает

Вась, а Вась?
А это что: https://ru.wikipedia.org/wiki/DLL_hell

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

123. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Аноним (??) on 04-Фев-16, 11:34 
ну, разумеется!
как это «поклонник» Майкрософт будет любить что-то отечественное?
Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

129. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 04-Фев-16, 17:11 
Вот любитель костылей
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

60. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Аноним (??) on 03-Фев-16, 15:34 
единственный работающий вменяемо браузер на вэбкит- сафари, как не крути
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Аноним (??) on 03-Фев-16, 16:16 
Просто парни из Эппл, похоже, кодят на Макбук Эйрах, в которых оперативка на вес золота, а парни из Гугл, видимо, на мейнфреймах, что один и тот же движок может жрать в 3-4 раза меньше оперативки на одних и тех же страницах.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

131. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от й on 05-Фев-16, 00:33 
у safari и chrome как минимум js-движок разный. попробуйте создайте простейшее js-приложение с использованием слова `const' и увидите, как последнее сафари этот js не прожуёт, а хром будет работать.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

124. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 04-Фев-16, 11:35 
> ни крути

не благодари

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

62. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Linux"  +/
Сообщение от Нимано on 03-Фев-16, 15:49 
> В большинстве дистрибутивов поставляются
> устаревшие версии портов WebKit (WebKitGTK+, QtWebKit и WebKitEFL), содержащие обилие
> неисправленных опасных уязвимостей.

ЧСИ – из-за (или: для) жабосрипто-джитов даже W^X (mprotect, noexec) не включить, хотя как раз здесь оно было бы очень кстати.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

139. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Linux"  +/
Сообщение от Аноним (??) on 06-Фев-16, 09:00 
>> В большинстве дистрибутивов поставляются
>> устаревшие версии портов WebKit (WebKitGTK+, QtWebKit и WebKitEFL), содержащие обилие
>> неисправленных опасных уязвимостей.
> ЧСИ – из-за (или: для) жабосрипто-джитов даже W^X (mprotect, noexec) не включить,
> хотя как раз здесь оно было бы очень кстати.

Включить можно, работа вся проделана уже для iOS. Просто разработчики боялись, что из-за дополнительных вызовов mprotect сядет производительность. В исходниках можете найти строчку про ASSEMBLER_WX_EXCLUSIVE, если не ошибаюсь, и посмотреть.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

69. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 03-Фев-16, 16:05 
Вот вам и проблема увеличение версий. Где LTS с багфиксами на 5-10 лет? Ну ладно-ладно, хотя бы год-два
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

76. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Тузя (ok) on 03-Фев-16, 16:55 
Ну вот, webkit окончательно превратился в IE6.
v - Несовместимости со стандартами есть
v - Проблемы с закрыванием уязвимостей есть.
Специально для проплаченных троллей: MS так и не решила подобную проблему. Написали новый браузер и движок, что, на самом деле, им тоже не поможет.

Затормозить развитие браузерных движков не удастся - факт. Возложить на меинтейнеров дистрибутивов или разрабов обвязок бэкпортирование в легаси-ветки - не вариант. Тупиковая ситуация, imho.

На мой взгляд, только ужесточение API обвязок webkit, регулярный выпуск CVE обвязок и своевременное обновление кодовой базы этих обвязок при своеверменном обновлении пакетов в дистрибах приведет к какому-то компромиссу между обратной совместимостью и безопасностью. А вообще это самые настоящие IE-проблемы в линуксе. Печаль.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

90. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –1 +/
Сообщение от Crazy Alex (ok) on 03-Фев-16, 18:11 
Нет, это проблема браузерного подхода, когда разработчику всё, что за пределами браузера - в лучшем случае безразлично,  в худшем - враждебно, потому что он хочет глобального ухода на веб-приложения. И уж всяко у него нет никакого желания учитывать инересы стронних приложений и делать ради этого дполнительную работу.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

106. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Тузя (ok) on 03-Фев-16, 21:55 
Можно бесконечно говорить о причинах и искать виноватых. Решать проблему это не помогает.
Разработчики браузеров уже сделали свою работу. Они залатали дыру в движке и выпустили новую версию и движка, и браузера. На базе открытых движков созданы проекты обвязки такие как WebKitGTK+, например. С обновлением этих пакетов есть проблема.

На мой взгляд, ее нужно решать разработчикам WebKitGTK+. Надо обновлять кодовую базу и выпускать обновления по заранее спланированным расписаниям. LTS и бэкпортирование недопустимы, так как нужно успевать за обновлениями самого движка, только деньги и время выкинуть на ветер. Да и сложность проекта, знаете ли, не hello world. Проще насильно заставить обновить hello world-ды, которые его юзают, чем самим тащить LTS.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

78. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –1 +/
Сообщение от lululu on 03-Фев-16, 17:08 
А это всё потому что нельзя выбирать версии библиотек относительно программ и библиотеки глобальны. Ахиллесова пята линукс.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

81. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +3 +/
Сообщение от Andrey Mitrofanov on 03-Фев-16, 17:40 
> А это всё потому что нельзя выбирать версии библиотек относительно программ и

Кто Вам не разрешает? Скажите ему, чтоб не шалилЮ а то накажу.

Ставьте и пользуйте сколько Вам угодно разных версий одной библиотеки -- мы все Вам разрешаем!

Я даже знаю полтора пакеж-манажера, которые это умеют. Но Вы для начала -- руками, зачем лишать себя удовольствия сделать так, как сказал, правильно?

> библиотеки глобальны. Ахиллесова пята линукс.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

105. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от svicer (ok) on 03-Фев-16, 21:46 
> библиотеки глобальны. Ахиллесова пята линукс.

Это почему вдруг, несмогёте env подставить?

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

132. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от lululu on 05-Фев-16, 11:23 
В том и проблема что их полтора, а Debian/Ubuntu/Arch/Fedora не управляют пакетами на ypовне редакций вообще никак.
Да, в принципе это возможно, но не автоматически.
И попытавшись воспользоваться этим я обрекаю себя на веселуху с неучтёнными файлами и/или проблемами с зависимостями.
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

135. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Andrey Mitrofanov on 05-Фев-16, 11:50 
> В том и проблема что их полтора, а Debian/Ubuntu/Arch/Fedora не управляют пакетами
> на ypовне редакций вообще никак.
> Да, в принципе это возможно, но не автоматически.
> И попытавшись воспользоваться этим я обрекаю себя на веселуху с неучтёнными файлами
> и/или проблемами с зависимостями.

Вольному воля: кто хочет - делает, кто не хочет ищет отговорки.

Да дистрибутивные пакеж-манагеры решают вполне конкретные, и ограниченные, задачи. Не "хочу всего-всего и побольше". Учёные ещё исследуют разрешимость такой проблемы.

Бонус-трек:  Полтора п.м. - Guix и брат его Nix.  И ещё 0.33 вдогонку: Stow.
             GNU Guix http://www.gnu.org/software/guix/
                        Nix https://nixos.org/nix/
             GNU Stow https://www.gnu.org/software/stow/

Ответить | Правка | ^ к родителю #132 | Наверх | Cообщить модератору

112. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Michael Shigorin email(ok) on 04-Фев-16, 01:07 
> А это всё потому что нельзя выбирать версии библиотек относительно программ и
> библиотеки глобальны.

http://www.akkadia.org/drepper/dsohowto.pdf

> Ахиллесова пята линукс.

Если Вы лично безграмотны -- это Ваша лично проблема.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

133. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –1 +/
Сообщение от lululu on 05-Фев-16, 11:43 
Я не писал что я грамотен. Но это не повод за мой счёт самоутверждаться, пожалуйста.
Я говорю про уровень управления пакетами.
Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

117. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 04-Фев-16, 05:01 
Не знаю как в вашем дистрибутиве Linux, а у меня в Debian можно установить хоть 10 разных версий libglew: libglew11, libglew15, libglew18... -dev пакет только от одной.

В официальном репозитории - только одна версия. Это да.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

134. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –1 +/
Сообщение от lululu on 05-Фев-16, 11:44 
Ну да, вручную... =)
А потом ругают configure ; make ; make install
Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

96. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Linux"  +/
Сообщение от Michael Shigorin email(ok) on 03-Фев-16, 18:45 
> В настоящее время актуальные версии WebKitGTK+ поддерживаются только в Arch и Fedora.

http://packages.altlinux.org/ru/Sisyphus/srpms/libwebkitgtk4...
http://packages.altlinux.org/ru/Sisyphus/srpms/libwebkitgtk2...

А вообще да, проверял сегодняшние регулярки и аккурат на gnome3 с той самой epiphany опять задумался -- что с этим вопросом обстоит.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

102. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от Вареник on 03-Фев-16, 20:21 
А зачем самые последние багфиксы безопасности веб-движка в перечисленных программах (Anjuta, GIMP, etc...)?

"исследователям безопасности" раздувают проблему.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

121. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Andrey Mitrofanov on 04-Фев-16, 09:52 
> "исследователям безопасности" раздувают проблему.

Писатели "ещё одного броузера на каком-то там движке" машут транспорантами за свободу авторов того "какого-то там движка" класть на поддержку версий своего добреца страрше двух коммитов.   Виноваты дистрибутивы -- все.  Он, правда, не знает, что мифический единорог "беопасность" туточки не при чём.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

137. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от lululu on 05-Фев-16, 12:59 
В почтовом клиенте очень нужна.
Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

107. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +1 +/
Сообщение от anonymous (??) on 03-Фев-16, 22:29 
дружно все переходим на netsurf
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

116. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  –1 +/
Сообщение от Аноним (??) on 04-Фев-16, 04:58 
Проблема не в линуксе, а в Webkit. Им следует долго поддерживать минорные релизы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

120. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Coder on 04-Фев-16, 09:04 
На QtWebEngine я бы и сам перешел. Не хватает только QWebElement, QNetworkAccessManager и QWebFrame::addToJavaScriptWindowObject
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

125. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от anonymous (??) on 04-Фев-16, 13:01 
Хинт: в QtWebEngine этого никогда не будет
Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

140. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 07-Фев-16, 17:52 
Нефиг писать интерфейс приложений на HTML
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

141. "Плачевная ситуация с безопасностью WebKit в дистрибутивах Li..."  +/
Сообщение от Аноним (??) on 08-Фев-16, 13:30 
первый комментарий по делу. удваиваю.
Ответить | Правка | ^ к родителю #140 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor