URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 114868
[ Назад ]
Исходное сообщение
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено opennews , 20-Июл-18 09:44 
В рамках проекта ASan Nightly (https://developer.mozilla.org/en-US/docs/Mozilla/Testing/ASa...) разработчики Mozilla начали (https://blog.mozilla.org/security/2018/07/19/introducing-the.../) публикацию ежедневно обновляемых сборок Firefox (\https://archive.mozilla.org/pub/firefox/nightly/latest-mozil.../), собранных с AddressSanitizer (https://github.com/google/sanitizers/wiki/AddressSanitizer) для выявления проблем в процессе работы с памятью, в том числе вызванных обращением к областям памяти после их освобождения (user-after-free) и различными вариантами переполнения буферов и стека.

Сборки примечательны включением автоматической отправки уведомлений о выявленных проблемах. Более того, на автоматически создаваемые уведомления распространяется действие программы (https://www.mozilla.org/en-US/security/client-bug-bounty/) выплаты вознаграждения за выявление уязвимостей. Т.е. пользователь может просто использовать браузер обычным образом, а в случае возникновения нештатной ситуации при просмотре какого-то сайта, например, краха, будет отправлено уведомление о проблеме, которое может получить денежное вознаграждение в случае, если проблема будет признана уязвимостью.


Размер вознаграждения может составить от 500 до 3000 долларов, в зависимости от опасности проблемы. Для участия в программе выплаты вознаграждения пользователь должен идентифицировать себя, указав свой email в поле
asanreporter.clientid через интерфейс about:config (если email не будет указан отчёты будут отправляться анонимно, а присуждённое вознаграждение будет рассматриваться как пожертвование проекту). Отмечается, что сборка ASan потребляет заметно больше памяти, по сравнению со штатными сборками, поэтому для комфортной работы рекомендуется 16 Гб ОЗУ.


URL: https://blog.mozilla.org/security/2018/07/19/introducing-the.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48992

Содержание
Сообщения в этом обсуждении
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено А , 20-Июл-18 09:44 
Им кто-то проговорился, что в ФФ память течет?

А они, бедные, годами думали, что все тип-топ?

Года через 4 скажут, что 32 Гб ОЗУ при старте браузера - многовато, но будет поздно, мозилла с ее 0.1% рынка уже будет никому не интересна.

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 09:51 
память течёт в хроме, а фф с 30 вкладкам у меня больше 3-4 гигов ОЗУ не ест, даже при условии что у меня её аж 16 гб
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 10:09 
Но, с оговоркой

Я изменил пару флагов в настройках https://habr.com/post/136743/
Флаги из статьи кстати работают до сих пор, замечу что Chrome так твикать браузер не позволяет и не позволит

Но результат это 3-4 гига памяти на любом кол-ве вкладок

Также Chrome будет жрать её ещё больше и вы никак не сможете на это повлиять

https://4pda.ru/2018/07/13/352371/

Я не про то что эта функциональность плоха, а про то что вы не можете отключить ничего лишнего что-бы это компенсировать

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 10:58 
Зато firefox неадекватно работает с атрибутом disabled. И всем их в компании плевать на это. 16 лет багу.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено fi , 20-Июл-18 10:36 
"3-4 гигов ОЗУ"  - все правильно, он вешается (((, а 32бит версия просто падает.

Похоже там до сих пор много 32бит указателей.

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 11:02 
3-4 гига... помню 128 мегабайт ОЗУ хватало
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено mma , 23-Июл-18 08:34 
Ха! 640кб хватит всем :)
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено brzm , 20-Июл-18 11:48 
Года 4 уже не работал с компами в которых менее 16 Гб оперативы. Можно сколько угодно экономить память, но требования безопасности перевешивают всё. Память стоит копейки, а пользовательские данные (мои во всяком случае) значительно дороже. Поэтому Chrome, без вариантов.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 16:35 
Chrome сам сливает твои данные, его взламывать не нужно.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 19:36 
Сколько можно повторять эту проклятую мантру про дешевую оперативку? Ее стоимость не отменяет того факта, что программы нужно оптимизировать, а не выпускать по принципу "хyяк-хyяк и в продакшын".
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 21:08 
> а пользовательские данные (мои во всяком случае) значительно дороже
> Поэтому Chrome, без вариантов

"Мои данные дороже, поэтому я буду использовать хреновый браузер, который сам же их и сливает", отличная логика!

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Тот_Самый_Анонимус , 21-Июл-18 07:06 
>а пользовательские данные (мои во всяком случае) значительно дороже

Ну куда без дешёвых понтов?
Раз дороже, может и заплатить разработчикам за улучшение качества не жалко будет?

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Anonymous_ , 21-Июл-18 12:34 
> Память стоит копейки

Память сейчас стоит дохрена, ~$10 за гигабайт.
А 5-6 лет назад она стоила ~$5 за гигабайт, т.е. была в два раза дешевле.

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено NuclearWar , 21-Июл-18 20:02 
Не можешь похвастаться мозгами, способными оптимизировать программу -- хвастайся дешевизной оперативки!
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено q95746354546 , 22-Июл-18 02:04 
2018 год. Память не стоит копейки 8Гб, две по 4 Гб планки стоят примерно от 6 до 9 тысяч рублей. Средняя пенсия 14 тысяч рублей в Росcии. Не надо мереть только по своим доходам и доходам своих знакомых. В Петербурге средняя зарплата 20 тысяч рублей в месяц и минус квартплата.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено q95746354546 , 22-Июл-18 02:18 
От 20 тысяч отнять стоимость квартплаты.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено q95746354546 , 23-Июл-18 04:42 
Надо понимать, что зарплата зависит и от профессиии, и от квалификацыи, от рода деятельности, и от других факторов, регион проживания. Есть работы с зарплатой от 4 до 150 тысячь рублей и выше. http://piterbu.ru/pozitiv/6683-srednyaya-zarplata-v-sankt-pe...

Около 20 тысяч рублей возможно по Петербургу и не средняя зарплата, проверять надо, но точно не редкая в 2018 году.

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним84701 , 22-Июл-18 22:57 
> 2018 год. Память не стоит копейки 8Гб, две по 4 Гб планки
> стоят примерно от 6 до 9 тысяч рублей.

Покопался в почтовом ящике:
В 2011 покупал две корсаровские ноутбучные планки по 4ГБ за ~$25/шт.
Вот он, "прогресс" вместе с  "невидимой, но жадной рукой рынка", етить их ...


"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено q95746354546 , 23-Июл-18 05:02 
В 14 году DVD-R 4.7 Гб диск в бумажном конверте стоил 11-15 рублей, в пластиковом корпусе около 25 рублей.  С 15 года и в 2018 году DVD-R диск ситоит около 80-120 рублей.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено технофил , 01-Авг-18 02:55 
Во-первых, DVD — теперь раритет, сравнивайте стоимость единицы информации с современными лазерными дисками (BD), во-вторых, рубль дешевеет быстрее полезных вещей (золото, медь, джоули).
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено gpyra , 22-Июл-18 21:47 
Ты просто ужасен)
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Mokasin , 23-Июл-18 11:29 
Пару дней назад попытался сравнить потребление памяти на 5 вкладках при практически одинаковых дополнениях между последними хромиумом и фф-ночнушкой. Есть кое-какие удобства у фф, которые мне нужны, из-за которых не теряю надежду на него вернуться. Оказалось, что фф в тех же условиях есть 900 Мб, а хромиум 500 Мб. Остался на хромиуме.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено anonymous , 20-Июл-18 10:36 
Firefox 52.9.0 x64 на Linux запущен 7 дней назад (57 дней uptime), 4 окна, на данный момент около 150 вкладок, виртуальная 5.2ГБ, резидентная 2.2ГБ.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 10:58 
> 4 окна
> 150 вкладок

Боюсь представить, какой "порядок" у вас дома творится

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено anonymous , 20-Июл-18 11:50 
Дома два окна и более 500 вкладок.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Anonymouss , 20-Июл-18 17:44 
А дверей сколько?
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Гентушник , 20-Июл-18 16:01 
Это ещё чего.
У меня дома на FF сейчас где-то 1500 вкладок открыто, думаю уже пора начать закрывать.
В pre-quantum версиях FF начинал жёстко тупить уже на ~800 вкладках, а квантум сейчас вроде хорошо держит (я просто недавно обновился с LTS-версии FF).
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 19:38 
Кнопку "Закрыть вкладку" для кого сделали? Для папуасов племени Тумба-Юмба?
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено paulus , 20-Июл-18 20:17 
>Кнопку "Закрыть вкладку" для кого сделали?

Для пользователей Хрома, там все вкладки активные и подгружаються сразу при открытии! С таким количеством может все зависнуть... А фф подгружат только активную вкладку, поэтому некоторые их могут держать как закладки.., если что. Хотя в моем понимании это жесть.

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено анон , 21-Июл-18 18:25 
Как закладки тоже использую. Да выглядит жестко для пользователей хромого.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Гентушник , 21-Июл-18 00:16 
> Кнопку "Закрыть вкладку" для кого сделали? Для папуасов племени Тумба-Юмба?

Хз, не пользуюсь этой кнопкой. Слишком много телодвижений.
Мне проще раз в месяц закрыть все (или почти все) вкладки разом, чем щёлкать на кнопку закрытия к каждой из них.

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 22-Июл-18 09:56 
> Хз, не пользуюсь этой кнопкой. Слишком много телодвижений.

Сейчас где-то обрадовались гномеры - еще одна кнопка, которую они могут перевести в раздел "не нужно".

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 21:09 
Можно поставить дополнение Panorama View, что скроет вкладки и они не будут ощущаться
(хотя я тестил на сотне, когда уже явно немного тупили, а после скрытия перестали)
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 10:54 
>>> Current requirements are:

    Linux-based Operating System
    16 GB of RAM recommended
    Special ASan Nightly Firefox Build

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено 123 , 20-Июл-18 14:03 
Будущие минимальные требования для работы браузеров.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено пользователь , 01-Авг-18 03:29 
Вообще, это зависит не только от браузера, но и от дополнений и настроек. Они принципиально отличают Firefox от прочих браузеров для небольшой доли пользователей, но дают уникальные функции и жрут память не хуже голого Firefox. В моей конфигурации, например, 16 ГБ мало даже для запуска без вкладок, но после автоматической сборки мусора Firefox жрёт 3 ГБ + вкладки + постоянно течёт. Так что указывать единые для всех параметры — введение в заблуждение, сообщать о своих характеристиках — ничтожно малая доля полезной информации, не заслуживающая прочтения большим количеством людей. Лучше оценивать по данным телеметрии многих пользователей, учитывать мощность открываемых сайтов и писать в требованиях не константу, а формулу. Более того, ориентируюсь на вручную написанные истории успеха про 3 ГБ памяти и меньше, многие совершают статистическую ошибку, так как истории неуспеха пользователей реже пишутся, реже публикуются, чем происходят, что отклоняет среднее значение памяти Firefox по отзывам в меньшую сторону.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 16:56 
Не 32, но 2-3 гига это норма при обычном использовании. Даже хром ест меньше, но здешних обитателей как всегда, 100 вкладок и 1 гиг оперативы, тут бесполезно что-то кому-то объяснять.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 21-Июл-18 03:31 

> Года через 4 скажут, что 32 Гб ОЗУ при старте браузера -
> многовато, но будет поздно, мозилла с ее 0.1% рынка уже будет
> никому не интересна.

Установив у себя 32Г , я думал хватит надольше.

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 10:33 
и Rust придумали, и кучу компонент на нем переписали - и все-равно проблемы с памятью.
да что же это такое?!
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 11:22 
> и Rust придумали, и кучу компонент на нем переписали

Переписали, но в основную ветку вроде только два компонента внедрили,
откуда кучу?

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 15:17 
Вот именно! Стоило городить Rust, Servo и Quantum, чтобы взять оттуда только пару компонентов, а проблемы с памятью победить с помощью обычного плюсового AddressSanitizer?
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним84701 , 20-Июл-18 15:40 
> Вот именно! Стоило городить Rust, Servo и Quantum, чтобы взять оттуда только
> пару компонентов, а проблемы с памятью победить с помощью обычного плюсового AddressSanitizer?

Ну да, там делов-то -- знай себе переписывай 1000 строк в час. Если чуть поднажать (24/7/365), как раз за 3 года успели бы переписать все жалкие (всего-то в два раза больше ядра пингвина) 30 млн. строк кода!

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 16:10 
Из этих 30 миллионов - половина JS и ещё 2 - Rust. Можно, конечно, переписать всё это ещё раз, а потом придумать ещё один ЯП и начать переписывать всё на нём.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 16:52 
Так не для памяти городили Rust, Servo и Quantum. Ты вообще не в теме что ли?
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 17:01 
Rust не для памяти? O RLY?! То есть половина синтаксиса посвящена владению памятью, это главная его selling-фишка (и главный геморрой при написании программ), но при этом Rust городили не для памяти?
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 19:47 
Безопасному владению памятью, огорождаясь от наследственных проблем C++. Хоть один пример приведи, где писали про меньшее потребление памяти и оптимизацию? И про скорость тоже не было. Только про безопасность.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено НяшМяш , 20-Июл-18 21:42 
Как концепция владения памятью определяет, сколько памяти будет жрать программа? Это зависит от архитектуры и пряморукости программиста. Главное, зачем они начали использовать Rust - это относительно простое параллельное программирование, чему как раз эта самая концепция и способствует.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 22:23 
Вы вообще в курсе что такое AddressSanitizer и для чего он нужен?
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Ordu , 21-Июл-18 01:29 
Rust не даёт гарантий отсутствия утечек памяти. Например, std::mem::forget[1] нисколько не unsafe функция, и вызывать её можно без unsafe блока. Но если forget -- это вроде как контролируемый мемлик, то есть и менее очевидные способы потерять память. Они в довольно специальных случаях работают, но когда речь идёт о сотнях тысяч и миллионах строк кода, можно быть уверенным, что где-нибудь они сработают.

Кроме того, rust'овые крейты в целом довольно разгильдяйски относятся к DoS проблемам, и в частности к мемликам[2].

[1] https://doc.rust-lang.org/std/mem/fn.forget.html
[2] https://www.reddit.com/r/rust/comments/8zpp5f/auditing_popul.../

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Kuromi , 21-Июл-18 20:38 
Реально RUST-ового кода в ФФ пока совсем не много. Частично Stylo, mp4 парсер, USB-HID для U2F... Так что особого выхлопа не заметно пока.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 10:33 
Телеметрия выходит на новый уровень
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено нах , 20-Июл-18 11:05 
ну круто же ж - теперь за нее пла...пардон, обещают заплатить!

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 10:58 
каких-таких проблем, на расте ж написано
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Анонимушка , 20-Июл-18 20:10 
Ещё не весь на Rust переписали
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 11:00 
Проблема с памятью только одна - не хватает любого объема
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено iPony , 20-Июл-18 11:15 
Во. И во флатпаке вам с поддержкой Wayland c ночнушки, и сборки с ASan, и в Snap итак и сяк - обмазаться с головой можно
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 11:43 
>действие программы выплаты вознаграждения за выявление уязвимостей

Разве американские компании имеют право выплачивать гражданам санкционных стран?

Для Microsoft Bug Bounty Programs пишут:

https://technet.microsoft.com/en-us/library/dn425055.aspx

    WHO IS NOT ELIGIBLE TO PARTICIPATE?

    You are a resident of any countries under U.S. sanctions (see link for current sanctions list posted by the United States Treasury Department);

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено iPony , 20-Июл-18 12:29 
Естественно. По ссылкам, которые ты привёл всё же написано.
Представляешь, санкции - это не значит, что ничего нельзя совсем.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 13:10 
>санкции - это не значит, что ничего нельзя совсем.

Репортить баги можно, вот только денег за это не выплатят.

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Alex , 20-Июл-18 16:11 
Если ты не сотрудник оборонного завода - выплатят. Под саннциями только ряд физ. и юрлиц, врядли ты входишь в их число.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Вареник , 20-Июл-18 18:24 
Ты Греф, Абрамович и кто там еще из списка физлиц под санкциями?

Или на росале/уралвагонзаводе прямо с рабочего места зарабатывать решил, роняя браузер?

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено НяшМяш , 20-Июл-18 21:44 
Из физлиц, не оглашённых поимённо, можно разве что крымчан вспомнить.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 01-Авг-18 03:44 
Если копать глубоко, по букве закона обоих стран, то прилично наберётся: 1%‒10% заинтересованного населения. Всё это из-за того, что некоторые пользователи работали или работают в ограниченных санкциями компаниях, некоторые катались по скидкам и акциям через спорную госграницу, для некоторых приняли закон о запрете соблюдения иностранных запретов, некоторые — крымчане, и другие источники правил.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 20-Июл-18 19:42 
> Представляешь, санкции - это не значит, что ничего нельзя совсем.

Но ведь... по телевизору сказали... Там же не могут врать? Ведь нет?

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 21-Июл-18 14:13 
Ребят, посоветуйте, пожалуйста, расширение для Firefox для блокировки сайтов, лучшее из Open Source.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено inferrna , 21-Июл-18 14:19 
umatrix
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 21-Июл-18 14:55 
UMatrix - блокировщик рекламы и контента вообщет.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 21-Июл-18 15:01 
А есть для UMatrix список блокировки сайтов, например с госпропагандой итп?

Ну все эти крупыне новостные сайты, вроде Ленты и ББС и все эти кремлёвские блоггеры итд, я вот хочу разом забанить всё это. Было бы классно.

"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 22-Июл-18 16:08 
Чем тебе BBC то не нравиться?
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 21-Июл-18 15:53 
А как называлось расширение для Лисички по безопасности, там или енот или бобёр был, тут ещё новость была когда-то на сайте?
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено AnonPlus , 21-Июл-18 16:49 
PrivacyBadger
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 21-Июл-18 16:50 
Privacy Badger и Privacy Possum.
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 23-Июл-18 03:59 
Главное не ставить Privacy Mephitidae, а то вонять будет сильно
"Началось формирование ASan-сборок Firefox для выявления проб..."
Отправлено Аноним , 28-Июл-18 21:09 
Ашан-сборки