The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Плачевная ситуация с безопасностью WebKit в дистрибутивах Linux

03.02.2016 10:25

Один из разработчиков web-браузера Epiphany (GNOME Web) рассказал о проблемах с поставкой WebKit в составе дистрибутивов Linux. Если дистрибутивы более-менее научились справляться с обновлением браузеров, то с обособленной поставкой браузерных движков всё очень плохо. В большинстве дистрибутивов поставляются устаревшие версии портов WebKit (WebKitGTK+, QtWebKit и WebKitEFL), содержащие неисправленные опасные уязвимости.

Дистрибутивы поставлены перед дилеммой - обеспечить поставку свежих версий, но столкнуться с чередой проблем из-за возможного нарушения совместимости с зависимостями, или остановиться на определённом выпуске движка, но утонуть в рутине по бэкпортированию исправлений уязвимостей. В настоящее время актуальные версии WebKitGTK+ поддерживаются только в Arch и Fedora. Свежий WebKitGTK+ также доступен в Debian testing, за исключением периодов заморозки пакетной базы перед очередным релизом, Debian unstable и openSUSE Tumbleweed. В стабильных релизах Debian и openSUSE поставляются устаревшие версии WebKitGTK+. В Ubuntu обновления выпускаются выборочно и с большой задержкой (в Ubuntu 14.04 сейчас WebKitGTK+ 2.4.8, хотя 2.4.9 вышел восемь месяцев назад, а в Ubuntu 15.10 - WebKitGTK+ 2.8.5 в котором имеется 40 уязвимостей).

WebKitGTK+ используется в таких приложениях, как Anjuta, Banshee, Bijiben (GNOME Notes), Devhelp, Empathy, Evolution, Geany, Geary, GIMP, gitg, GNOME Builder, GNOME Documents, GNOME Initial Setup, GNOME Online Accounts, GnuCash, gThumb, Liferea, Midori, Rhythmbox, Shotwell, Sushi и Yelp (GNOME Help). Следует отметить, что бюллетени с отчетами об устранённых в WebKitGTK+ уязвимостей, регулярно стали выходить только последнее время и разработчики приложений были вынуждены отслеживать связанные с безопасностью исправления самостоятельно. Несколько месяцев назад отношение к безопасности изменилось и WebKitGTK+ стал формировать регулярные отчеты с привязкой к идентификаторам CVE.

При этом всплывает новая проблема - сопровождение устаревающей ветки WebKitGTK+ 2.4, последней с поддержкой WebKit1 API. В новых выпусках WebKitGTK+ поддерживается только WebKit2 API, но не все приложения пока поддерживают данный API. Портирование исправлений в ветку WebKitGTK+ 2.4.x является трудоёмкой задачей и отнимает много ресурсов, поэтому скорее всего поддержка этой ветки в ближайшем будущем будет прекращена. Как один из выходов упоминается удаление поддержки API WebKit1 из дистрибутивов, но такой шаг приведёт к невозможности использования ряда популярных приложений.

Что касается WebKitEFL и QtWebKit, то WebKitEFL, развиваемый проектом Enlightenment, в обособленном виде не входит в состав дистрибутивов и, в основном, используется поставщиками решений для встраиваемых систем, которые не занимаются бекпортированием исправлений уязвимостей. Движок QtWebKit прекратил своё развитие, но несмотря на решение о переходе на QtWebEngine, он по-прежнему используется в проектах KDE, в том числе в Amarok, Calligra, KDevelop, KMail, Kontact, KTorrent, Quassel, Rekonq и Tomahawk. Ситуация с безопасностью QtWebKit оставляет желать лучшего, так как кодовая база движка на годы отстаёт от основного WebKit, а исправления бэкпортируются выборочно и не регулярно. Большое число уязвимостей остаются неисправленными и затрагивают все приложения на базе QtWebKit, которые не спешат переходить на новый движок QtWebEngine, поддерживаемый сообществом Qt.

  1. Главная ссылка к новости (https://blogs.gnome.org/mcatan...)
  2. OpenNews: Дискуссия о возможности включения QtWebEngine в дистрибутивы Linux и другие ОС
  3. OpenNews: Доступен кандидат в релизы Qt 5.4
  4. OpenNews: Первый предварительный выпуск Qt WebEngine, переведённый на браузерный движок Blink
  5. OpenNews: Qt переходит с WebKit на браузерный движок Blink и технологии Chromium
Лицензия: CC-BY
Тип: Тема для размышления
Короткая ссылка: https://opennet.ru/43806-webkit
Ключевые слова: webkit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (115) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, burik666 (?), 11:35, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    в Gentoo есть stable - 2.8.5, unstable - 2.10.7
     
     
  • 2.19, анонимчик (?), 13:27, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В suse (13.2) - оф. 2.6.6,из дополнительных (stable) репов - 2.10.4
    SUSE Leap 42.1 - оф. 2.8.5
    SUSE Tumbleweed - оф. 2.10.4
     
  • 2.55, Pulfer (ok), 15:07, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В ROSA Desktop Fresh 2.4.9 и 2.8.5.
     
     
  • 3.73, ананим.orig (?), 16:43, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    на самом деле в генте так:
    $ eix net-libs/webkit-gtk
    [I] net-libs/webkit-gtk
         Доступные версии:      
         (3)    2.4.9(3/25)
         (2)    2.4.9-r200
         (4)    2.8.5(4/37) (~)2.10.4-r1(4/37) (~)2.10.7(4/37)
    с тильдами - унстэйбл. установить можно одновременно (слоты) по одной версии из первой колонки в кавычках — (3), (2), (4).

    но надо сказать что сборка в генту аналогично арчу (и это с большинством пакетов), а сабж справедлив для бинарных дистров, потому что основное время на пересборку как раз уходит на сабж (включая и кутэшную вариант), его зависимости, зависимости от него и их довольно много. потом хромиум, кеды, либреофис, фф и остальное. как-то так.

     
     
  • 4.115, Аноним (-), 04:11, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    собрал как-то опенофис в генте. ну его нафиг, с тех пор ставлю бинарный пакет
     
     
  • 5.126, ананим.orig (?), 14:38, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подключить бинхост от кальки например:
    > $ egrep "BINHOST|getbinpkg" /etc/portage/make.conf
    > PORTAGE_BINHOST="${PORTAGE_BINHOST} http://mirror.cnet.kz/calculate/grp/default/x86_64"
    > PORTAGE_BINHOST="${PORTAGE_BINHOST} http://mirror.cnet.kz/calculate/grp/x/x86_64"
    > FEATURES = "${FEATURES} getbinpkg"

    ну или ещё от какого бинпрного дистра генту.

    но ло я у себя собираю сам — нужных мне флагов нет. собирается (у меня) ~1.5 часа. раз в пол-года/год.
    хотя то, что app-office/libreoffice-bin есть — тоже не плохо.

     

  • 1.3, Аноним (-), 11:51, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >WebKitGTK+ используется в таких приложениях, как Anjuta, Banshee, Bijiben (GNOME Notes), Devhelp, Empathy, Evolution, Geany, Geary, GIMP, gitg, GNOME Builder, GNOME Documents, GNOME Initial Setup, GNOME Online Accounts, GnuCash, gThumb, Liferea, Midori, Rhythmbox, Shotwell, Sushi и Yelp (GNOME Help).
    >используется в проектах KDE, в том числе в Amarok, Calligra, KDevelop, KMail, Kontact, KTorrent, Quassel, Rekonq и Tomahawk.

    Зачем использовать браузерный движок, там где нет браузера? Evolution и KMail вероятно отрисовывают html письма, но для этого WebKit избыточен, Yelp видимо справку в html хранит, но пять-же WebKit тут лишний.

     
     
  • 2.6, RazrFalcon (ok), 11:54, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >> отрисовывают html письма, но для этого WebKit избыточен

    Вы не поверите. Тем более альтернативы WebKit, даже для банальной отрисовки примитивного html в письмах, просто нет.

     
     
  • 3.8, th3m3 (ok), 12:13, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Как это нет, а Gecko?
     
     
  • 4.15, soarin (ok), 12:45, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так там всё печально https://developer.mozilla.org/en-US/docs/Gecko/Embedding_Mozilla
    Тем более gecko по сути доживает своё, как и XUL
     
     
  • 5.101, Аноним (-), 19:39, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    servo)))
     
  • 3.9, Аноним (-), 12:23, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Для писем движка уровня Tkhtml/dillo/netsurf/w3m более чем достаточно.
     
     
  • 4.27, Аноним (-), 13:56, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Удваиваю этого тёзку. Кому недостаточно - вебморды в помощь.
     
  • 4.30, Crazy Alex (ok), 14:07, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И вместо письма получается поломанное нечто, в котором не видно половины контента. Плавали, знаем.

    Это для написания HTML-письма достаточно простейшего редактора - там особо сложных средств не нужно. Но то, что прилетает, может быть любой сложности - оно ж часто не руками пишется, а подставляются данные в какой-то HTML-шаблон. И должно остаться читабельным.

     
     
  • 5.38, тоже Аноним (ok), 14:29, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У меня довольно обычное дело - приход поломанного нечто, среди которого, собственно, текст.
    Потому что Thunderbird заблокировал всю прочую лапшу из соображений безопасности. Еще ни разу не пришлось пожалеть об этом - любоваться на многомеговые логотипы и баннеры отправителя мне совершенно незачем...
     
     
  • 6.72, Celcion (ok), 16:31, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Админам локалхоста - конечно, не зачем. А если в таком виде пришло деловое письмо манагеру в конторе - то он не будет слушать про то, почему ему достаточно отрисовывания лишь примитивного HTML. :-)
     
     
  • 7.79, тоже Аноним (ok), 17:32, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Мои давно сидят на том же ТВ - никаких жалоб на письма, кроме кривых кодировок из тех уголков страны, где все еще не вымер KOI-8.
     
  • 7.92, anonymous (??), 18:36, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Админам локалхоста - конечно, не зачем. А если в таком виде пришло
    > деловое письмо манагеру в конторе - то

    …стоит хорошо подумать, нужно ли вести дела с такими таварисчами.

     
     
  • 8.99, Celcion (ok), 19:33, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Покажите мне ту контору, где исключительно админы решают как работать всей конто... текст свёрнут, показать
     
  • 8.111, Crazy Alex (ok), 01:05, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я уже много лет не видел ни одной большой конторы, где стандартный шаблон письма... текст свёрнут, показать
     
  • 6.77, Andrey Mitrofanov (?), 16:58, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С большим удовольствием наблюдал получателя на аутглюке ответа кем-то из линук... большой текст свёрнут, показать
     
     
  • 7.85, Crazy Alex (ok), 17:59, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да не в человеческих письмах дело, а в том, что роботы рассылают - уведомления всякие и т.п. отвечать на них не нужно, но вот прочесть нормлаьно - хотелось бы. Честно говоря, я бы предпочёл, чтобы там основной контент вообще в PDF был, а html и text - только как альтернативы на случай чего.
     
     
  • 8.103, тоже Аноним (ok), 20:39, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это что же вам такое пишут роботы, что его лучше читать в PDF Графики Карты Ф... текст свёрнут, показать
     
     
  • 9.110, Crazy Alex (ok), 01:02, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот сейчас гляну, что там сверху в инбоксе Платёжки из банка, например Пока... текст свёрнут, показать
     
     
  • 10.118, тоже Аноним (ok), 08:46, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо, интернет-магазин заботится и о том, чтобы покупателю не было скучно чита... текст свёрнут, показать
     
  • 10.127, анонимус вульгарис (?), 15:43, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    FSF присылает и исходник в виде хорошо отформатированного и прекрасно читаемого ... текст свёрнут, показать
     
  • 7.88, . (?), 18:05, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    БЛЖАД! Вот же у людей жизнь! А я на работе - работаю ... :(

    ;-)

     
  • 6.83, Crazy Alex (ok), 17:55, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Попробуй открыть то же самое письмов Trojita, которая тоже внешний контент, скрипты и т.п. по умолчанию блокирует - удивишься. Потом что громоптиц и половину внутреннего контента не показывает. И это он ещё среди приличных и таки использует полноценный HTML-движок.

    Баннеры баннерами, но частенько среди макарон вычленить полезный контент становится сложновато.

     

  • 1.4, RazrFalcon (ok), 11:53, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Странный наезд. Кому надо, тот будет RR дистрибутивы использовать.
    О QtWebKit автор видимо вообще ничего не знает, ибо QtWebEngine вышел совсем недавно и не поддерживает кучу фич, а он ожидал что все проги на QtWebKit за неделю перепишут на QtWebEngine и выложат в репозитории? Такого не бывает.

    Тем более во всех перечисленных прогах WebKit используется для отображения пары страничек, а не как полноценный браузер.

     
     
  • 2.10, й (?), 12:26, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Кому надо, тот будет RR дистрибутивы использовать.

    т.е. все пользователи гнома и gimp? ну-ну.

     
     
  • 3.138, Аноним (-), 08:50, 06/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Фич там если и меньше, то не намного. Разве что синхронный доступ порезали. А вот то, что QtWebEngine задолбались собирать даже в передовых дистрибутивах Linux, не говоря об альтернативных ОС, говорит само за себя.
     

  • 1.5, Аноним (-), 11:53, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    > Anjuta, Banshee, Bijiben (GNOME Notes), Devhelp, Empathy, Evolution, Geany, Geary, GIMP, gitg, GNOME Builder, GNOME Documents, GNOME Initial Setup, GNOME Online Accounts, GnuCash, gThumb, Liferea, Midori, Rhythmbox, Shotwell, Sushi и Yelp (GNOME Help).

    Ok. Плееры, IM, IDE, графические редакторы, просмотрщики изображений, etc. Безусловно, им всем жизненно необходим самый навороченный движок для рендеринга веб-страниц, ну куда ж мы без такого движка в 2016-м году. Давно пора вебкит с coreutils слинковать, а лучше даже с ядром.

     
     
  • 2.7, ryoken (ok), 11:58, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ok. Плееры, IM, IDE, графические редакторы, просмотрщики изображений, etc. Безусловно,
    > им всем жизненно необходим самый навороченный движок для рендеринга веб-страниц, ну
    > куда ж мы без такого движка в 2016-м году. Давно пора
    > вебкит с coreutils слинковать, а лучше даже с ядром.

    Поттеринга насаммонить не боитесь? :D

     
     
  • 3.14, Аноним (-), 12:44, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Кстати, было бы неплохо создать проект systemd-webkitd. Во-первых: можно было бы переписать встроенный вебсервер на экспрессе, во-вторых: версия системдоса могла бы увеличиться на немалое значение.
     
     
  • 4.33, 1 (??), 14:13, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    тссс ... А вдруг прочитает, а ты тег <sarcasm> не поставил ?
     
  • 2.32, Crazy Alex (ok), 14:12, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Части - нужен. Тем, кто выгребает страницы из интернета и хочет показать их нормально, а не в виде лапши из-за того, что какой-нибудь новый колоночнй режим не поддерживается.

    Друго части - не нужен. И они сидят на старье. которое дыряво. О чём и статья. Не, ну можно взять что-то совсем убогое и не способное показать 90% современной разметки - но тогда не надо удивляться жалобам и сокращению пользовательской базы.

    Вообще - поблема тут в том, чо браузероделы в гробу видели остальной софт (обычно - в буквальнм смысле - это конкуренты "веб-приложениям") и давно забили на стабильный внешний API.

     
     
  • 3.40, тоже Аноним (ok), 14:33, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Тем, кто выгребает страницы из интернета и хочет показать их нормально

    ...стоит вызывать системный браузер, передавая ему адрес, и не выеживаться.
    А программа, в которой встроен свой браузер для показа сайта автора - первый претендент на лечение элефантиаза эвтаназией.

     
     
  • 4.87, Crazy Alex (ok), 18:04, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В принципе - согласен, и очень даже согласен. Вызвать, скормить и встроить в окно почтовика. В текущих реалиях - не выйдет. Потому что браузеру надо при этом отдать не просто адрес, а изрядный кусок всего около - каким сайтам доверяем в плане удалённого контента, врубать ли JS, а самое главное - как вы браузеру встроенный в письмо и закодированный MIME контент отдадите? Браузер же нынче - вещь в себе, которая нормально взамидействовать с другим софтом не может и не хочет. А вот движок - со скрипом, но можно застаивть это делать.
     
     
  • 5.104, тоже Аноним (ok), 20:47, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, если бы мне нужно было не просто вызвать сайт, а передать ему какую-то нетривиальную информацию, я бы отправил ее курлом, получил в ответ id, по которому сайт готов увидеть пользователя, обладая этой информацией, и таки вызвал системный браузер, передав ему адрес с единственным параметром. Ну, с парой, если еще безопасность нужно навести...
    Совершенно не повод встраивать браузер в программу.
    Если же нет сайта, а программа сама генерит HTML-код - ну, адреса с file:// вроде бы тоже любой браузер открывает...
     
     
  • 6.109, Crazy Alex (ok), 00:55, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот расскажите хотя бы, как это для почтовика будет работать:

    Есть HTML-контент письма, есть assets (css, картинки etc), включённые в это же письмо. Есть запросы ко внешним сайтам, некоторые занесены в почтовике в белый список, некоторые - нет. Как будем это браузеру скармливать?

    Для локального хранилища, в которое ложатся страницы и ссылаются на кратинки и прочее по каким-то хитрым урлам (MAF тот же, или CHM) - что делать будем?

     
     
  • 7.119, тоже Аноним (ok), 08:50, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну вот расскажите хотя бы, как это для почтовика будет работать:

    Для почтовика, интернет-мессенджера и прочих программ, непосредственно и постоянно работающих с интернетом, это действительно не подходит. Но к ним и требования по постоянному обновлению логичнее применять, чем к Rhythmbox, например. В новости в основном упоминаются программы не из "зоны риска", и обновления для них вполне могут по году не выходить.

     
  • 7.136, lululu (?), 12:53, 05/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Параметрами:
    unchm x out.chm --to=/tmp/ae47/
    x-inbrowser.exe --stoplistedfiles= --hosts= --file/tmp/ae47/index.html

    Ну или на худой конец через прокси, но это костыль.

     
  • 2.98, Аноним (-), 19:24, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Боюсь, что будет наоборот. Браузер уже поглощает плееры, IM, IDE, графические редакторы, просмотрщики изображений, etc. Следующим шагом будет systemd и ядро.
     
     
  • 3.100, Andrey Mitrofanov (?), 19:36, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Боюсь, что будет наоборот. Браузер уже поглощает плееры, IM, IDE, графические редакторы,
    > просмотрщики изображений, etc. Следующим шагом будет systemd и ядро.

    ¡No pasarán! https://www.reddit.com/r/emacs/comments/4241oy/xwidget_branch_has_been_merged_

     

  • 1.11, anonimous (?), 12:26, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Напомните, а зачем запихивали аж целый брузерный движок вообще во все приложения? Неужели не существует какого-нибудь простенького рендерера html? В половине примеров в статье ничего больше и не нужно.
     
     
  • 2.17, Аноним (-), 13:01, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Существует, khtml так же известный сейчас как WebKit :-)
     
     
  • 3.21, тоже Аноним (ok), 13:28, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мне одному кажется, что, если в рендерере HTML появилась хотя бы возможность уязвимости - это таки означает, что после того, как он был простеньким, разработка свернула куда-то не туда?

    И такое еще соображение: ведь в основном в этих программах движок рендерит не какие-то сайты из интернета, а ту разметку, что ему нагенерировала сама программа. Не факт, что вообще существуют сценарии эксплуатации уязвимости - даже широко известной - в самой программе. А в этом случае новая версия движка программе нужна, как козе баян.

    Или я ошибаюсь и там достаточно начудить в выводе ссылку на exploit-there.org, щелкнуть по ней - и все само загрузится без регистрации и СМС?

     
     
  • 4.56, й (?), 15:10, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    добро пожаловать в современный мир фронт-энда, где некоторым уже мешает, что webkit не умеет в es6.
     
  • 3.113, Аноним (-), 01:07, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    "Удумайте" у себя в голове, не знаю на лоб приклейте или просто запомните, что ничего общего между khtml и webkit никогда не было, нет и не будет. WebKit - это не дальнейшее развитие khtml. khtml - это скорее основа, подход к построению веб-движков в целом (хотя даже сегодня khtml после кучи обновлений - полное бревно, которое в свое время бросили и серьезно не развивали. Так, перекочевал один и тот же код с одной версии kde в другую, да и дело с концом). Сходство между ними - это как сравнить повозку 40-х годов и суперкар 2015 года. Вроде и колеса у обоих есть, да вот не то.
    И никак этот khtml сейчас не известен, кроме как khtml. Мания величия что ли? ИМХО ерунда, не более.
     
     
  • 4.114, Michael Shigorin (ok), 01:08, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > И никак этот khtml сейчас не известен, кроме как khtml.

    А что расскажете про Windows 3.11?

     
  • 2.34, Crazy Alex (ok), 14:13, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Потому что для современного HTML не может быть простеньких движков, есть сложные, а есть некорректные.
     
     
  • 3.41, анонимус вульгарис (?), 14:36, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Почему же, простенький движок написать можно. Только где найти корректный HTML, чтобы он в таком движке отображался...
     
     
  • 4.65, Аноним (-), 15:55, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Настолько просто что сейчас прямо богатый выбор движков на рынке. Как раз та ситуация когда радуешься что существует ещё и IE, а не только монстр-вебкит и полудохлый файрфокс.
     
  • 4.89, Crazy Alex (ok), 18:07, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы спецификацию HTML5 давно видели, со всеми колоночными режимами и подобным? А CSS современного, со всеми анимациями? А это тот минимум который надо поддерживать, даже если JS вообще игнорировать.
     
  • 2.82, Аноним (-), 17:46, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Неужели не существует какого-нибудь простенького рендерера html?

    Есть. QTextBrowser.

     

  • 1.12, omnomnim (?), 12:29, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Привет PS4, емнип именно через webkit её ломанули.
     
  • 1.13, qq (??), 12:33, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я просто тащусь какие тут все умные. Легко сказать «зачем тащили?» не написав ни строчки кода…
     
     
  • 2.25, анон (?), 13:45, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > Я просто тащусь какие тут все умные. Легко сказать «зачем тащили?» не
    > написав ни строчки кода…

    #!/bin/sh
    echo "Зачем тащили?"

     
     
  • 3.31, Аноним (-), 14:08, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Зачем тащить целый shell, если надо просто вывести одну строчку?
     

  • 1.16, Аноним (-), 12:59, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А при чём тут дистрибутивы, если это авторы WebKit* кинули своих пользователей.
     
  • 1.18, Аноним (-), 13:10, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ну наконец-то новость, где Арч с Федорой лучшие.
     
     
  • 2.66, Аноним (-), 15:56, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну наконец-то новость, где Арч с Федорой лучшие.

    Но ведь ещё есть gentoo + suse про которыых просто не написали в статье.

     
     
  • 3.84, фцв (?), 17:56, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Там нет, даже в нестабильных репах
     
  • 2.130, Аноним (-), 18:13, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    да во всех дистрах Linux примерно 1-а х-ня.
    тк Линус - системно и и последовательно выковыривает и троллит как из ядра так и тулчейна все связанное с повышением безопасности и улучшениями на тему. ну за единичными исключениями, весьма странно реализованными, зачастую.
     

  • 1.20, Аноним (-), 13:28, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На маке WebKit свежий, ага линукс не дырявый...
     
     
  • 2.43, Аноним (-), 14:44, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ты новость вообще читал? Как WebKitGTK+, QtWebKit и WebKitEFL могут быть свежими если их авторы не обновляют версии используемые в приложениях?
     
     
  • 3.49, Аноним (-), 14:55, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как WebKitGTK+, QtWebKit и WebKitEFL могут быть свежими если их авторы не обновляют версии используемые в приложениях?

    Ну так в ubuntu/debian/rhel всегда так, это не арчик и не гента.

     
     
  • 4.53, Аноним (-), 14:58, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Как WebKitGTK+, QtWebKit и WebKitEFL могут быть свежими если их авторы не обновляют версии используемые в приложениях?
    > Ну так в ubuntu/debian/rhel всегда так, это не арчик и не гента.

    А пользователи арчика и не генты видимо сами переписывают все приложения на новый API WebKit2?

     

  • 1.28, Аноним (-), 14:00, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может быть действительно, webkit, как графический интерфейс системы - нормальное решение? Вместо всех этих Gnome, KDE, а вместе с ними и GTK и Qt?
     
  • 1.37, Аноним (-), 14:27, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > Дистрибутивы поставлены перед дилеммой - обеспечить поставку свежих версий, но столкнуться с чередой проблем из-за возможного нарушения совместимости с зависимостями, или остановиться на определённом выпуске движка, но утонуть в рутине по бэкпортированию исправлений уязвимостей.

    Пользователи генты смеются над вашими проблемами

     
     
  • 2.45, Аноним (-), 14:48, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пользователи генты смеются над вашими проблемами

    Угу, пользователи генты сами переписали все приложения с API WebKit1 на новый API WebKit2.

     

  • 1.39, анонимус вульгарис (?), 14:32, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Чувак правильно всё описал, но не сделал правильного вывода. А правильный вывод был бы: надо делать LTS-ветки WebKit, в которые входили бы только критические багфиксы, и делать их должен апстрим, а не майнтейнеры дистрибутивов, каждый в своей песочнице.
     
     
  • 2.42, тоже Аноним (ok), 14:39, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > надо делать

    Кому надо и кому это делать, не подскажете?

     
  • 2.48, Аноним (-), 14:54, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Чувак правильно всё описал, но не сделал правильного вывода. А правильный вывод
    > был бы: надо делать LTS-ветки WebKit, в которые входили бы только
    > критические багфиксы, и делать их должен апстрим, а не майнтейнеры дистрибутивов,
    > каждый в своей песочнице.

    Вообще у Debian есть правило, не поставлять приложений с известными проблемами безопасности. Были случаи удаления пакетов и из stable из-за этого.

    Непонятно почему они с WebKit* церемонятся.

     
     
  • 3.68, Аноним (-), 16:01, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что если удалить все перечисленные и не перечисленные в новости пакеты, то в stable останется только ядро и coreutils.
     
     
  • 4.95, Аноним (-), 18:42, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что если удалить все перечисленные и не перечисленные в новости пакеты,
    > то в stable останется только ядро и coreutils.

    Нет. Популярность WebKit вами слишком преувеличена :-)

     

  • 1.50, Аноним (-), 14:55, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Отсутствие поддержки компенсируется неуловимостью программ в линуксе.
     
     
  • 2.57, Andrey Mitrofanov (?), 15:11, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Конкуреры и поставил вместо него китайское
    >небо и земля!

    А вот и китайские малварщики со свежей саморекламой. Правильно! Не всё сурсфоржам, да мозилам масленица.

    --http://youbroketheinternet.org/map

     
  • 2.63, анонимус вульгарис (?), 15:52, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    https://ru.wikipedia.org/wiki/CoolNovo
    Состояние: Проект закрыт
    Лицензия: собственническая
     
     
  • 3.67, Нанобот (ok), 15:58, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а потом ещё и орут на каждом углу, что это "Unix way" и что это типа круто
     
     
     
    Часть нити удалена модератором

  • 5.80, тоже Аноним (ok), 17:36, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, про принцип KISS в этой ветке - это очень правильно.
    NOW KISS, собеседнички.
     
  • 5.97, Michael Shigorin (ok), 18:51, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Unix way уже давно трансформировался в принцип KISS.

    Нет: инструментальность отдельно, простота отдельно.

     
  • 3.86, Нимано (?), 18:00, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну да, куда уж SO-шкам до них Да те же долбaные краснoглазые ограничения, не гр... большой текст свёрнут, показать
     
     
     
    Часть нити удалена модератором

  • 5.108, Буратино (?), 23:37, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >При правильном написании программ, они общие файлы ложат в общую папку и проблемы версий не возникает

    Вась, а Вась?
    А это что: https://ru.wikipedia.org/wiki/DLL_hell

     
  • 5.123, Аноним (-), 11:34, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну, разумеется!
    как это «поклонник» Майкрософт будет любить что-то отечественное?
     
  • 4.129, Аноним (-), 17:11, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вот любитель костылей
     

  • 1.60, Аноним (-), 15:34, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    единственный работающий вменяемо браузер на вэбкит- сафари, как не крути
     
     
  • 2.71, Аноним (-), 16:16, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто парни из Эппл, похоже, кодят на Макбук Эйрах, в которых оперативка на вес золота, а парни из Гугл, видимо, на мейнфреймах, что один и тот же движок может жрать в 3-4 раза меньше оперативки на одних и тех же страницах.
     
     
  • 3.131, й (?), 00:33, 05/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    у safari и chrome как минимум js-движок разный. попробуйте создайте простейшее js-приложение с использованием слова 'const' и увидите, как последнее сафари этот js не прожуёт, а хром будет работать.
     
  • 2.124, Аноним (-), 11:35, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > ни крути

    не благодари

     

  • 1.62, Нимано (?), 15:49, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В большинстве дистрибутивов поставляются
    > устаревшие версии портов WebKit (WebKitGTK+, QtWebKit и WebKitEFL), содержащие обилие
    > неисправленных опасных уязвимостей.

    ЧСИ – из-за (или: для) жабосрипто-джитов даже W^X (mprotect, noexec) не включить, хотя как раз здесь оно было бы очень кстати.


     
     
  • 2.139, Аноним (-), 09:00, 06/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> В большинстве дистрибутивов поставляются
    >> устаревшие версии портов WebKit (WebKitGTK+, QtWebKit и WebKitEFL), содержащие обилие
    >> неисправленных опасных уязвимостей.
    > ЧСИ – из-за (или: для) жабосрипто-джитов даже W^X (mprotect, noexec) не включить,
    > хотя как раз здесь оно было бы очень кстати.

    Включить можно, работа вся проделана уже для iOS. Просто разработчики боялись, что из-за дополнительных вызовов mprotect сядет производительность. В исходниках можете найти строчку про ASSEMBLER_WX_EXCLUSIVE, если не ошибаюсь, и посмотреть.

     

  • 1.69, Аноним (-), 16:05, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот вам и проблема увеличение версий. Где LTS с багфиксами на 5-10 лет? Ну ладно-ладно, хотя бы год-два
     
  • 1.76, Тузя (ok), 16:55, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вот, webkit окончательно превратился в IE6.
    v - Несовместимости со стандартами есть
    v - Проблемы с закрыванием уязвимостей есть.
    Специально для проплаченных троллей: MS так и не решила подобную проблему. Написали новый браузер и движок, что, на самом деле, им тоже не поможет.

    Затормозить развитие браузерных движков не удастся - факт. Возложить на меинтейнеров дистрибутивов или разрабов обвязок бэкпортирование в легаси-ветки - не вариант. Тупиковая ситуация, imho.

    На мой взгляд, только ужесточение API обвязок webkit, регулярный выпуск CVE обвязок и своевременное обновление кодовой базы этих обвязок при своеверменном обновлении пакетов в дистрибах приведет к какому-то компромиссу между обратной совместимостью и безопасностью. А вообще это самые настоящие IE-проблемы в линуксе. Печаль.

     
     
  • 2.90, Crazy Alex (ok), 18:11, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, это проблема браузерного подхода, когда разработчику всё, что за пределами браузера - в лучшем случае безразлично,  в худшем - враждебно, потому что он хочет глобального ухода на веб-приложения. И уж всяко у него нет никакого желания учитывать инересы стронних приложений и делать ради этого дполнительную работу.
     
     
  • 3.106, Тузя (ok), 21:55, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Можно бесконечно говорить о причинах и искать виноватых. Решать проблему это не помогает.
    Разработчики браузеров уже сделали свою работу. Они залатали дыру в движке и выпустили новую версию и движка, и браузера. На базе открытых движков созданы проекты обвязки такие как WebKitGTK+, например. С обновлением этих пакетов есть проблема.

    На мой взгляд, ее нужно решать разработчикам WebKitGTK+. Надо обновлять кодовую базу и выпускать обновления по заранее спланированным расписаниям. LTS и бэкпортирование недопустимы, так как нужно успевать за обновлениями самого движка, только деньги и время выкинуть на ветер. Да и сложность проекта, знаете ли, не hello world. Проще насильно заставить обновить hello world-ды, которые его юзают, чем самим тащить LTS.

     

  • 1.78, lululu (?), 17:08, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А это всё потому что нельзя выбирать версии библиотек относительно программ и библиотеки глобальны. Ахиллесова пята линукс.
     
     
  • 2.81, Andrey Mitrofanov (?), 17:40, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А это всё потому что нельзя выбирать версии библиотек относительно программ и

    Кто Вам не разрешает? Скажите ему, чтоб не шалилЮ а то накажу.

    Ставьте и пользуйте сколько Вам угодно разных версий одной библиотеки -- мы все Вам разрешаем!

    Я даже знаю полтора пакеж-манажера, которые это умеют. Но Вы для начала -- руками, зачем лишать себя удовольствия сделать так, как сказал, правильно?

    > библиотеки глобальны. Ахиллесова пята линукс.

     
     
  • 3.105, svicer (ok), 21:46, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > библиотеки глобальны. Ахиллесова пята линукс.

    Это почему вдруг, несмогёте env подставить?

     
  • 3.132, lululu (?), 11:23, 05/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В том и проблема что их полтора, а Debian/Ubuntu/Arch/Fedora не управляют пакетами на ypовне редакций вообще никак.
    Да, в принципе это возможно, но не автоматически.
    И попытавшись воспользоваться этим я обрекаю себя на веселуху с неучтёнными файлами и/или проблемами с зависимостями.
     
     
  • 4.135, Andrey Mitrofanov (?), 11:50, 05/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > В том и проблема что их полтора, а Debian/Ubuntu/Arch/Fedora не управляют пакетами
    > на ypовне редакций вообще никак.
    > Да, в принципе это возможно, но не автоматически.
    > И попытавшись воспользоваться этим я обрекаю себя на веселуху с неучтёнными файлами
    > и/или проблемами с зависимостями.

    Вольному воля: кто хочет - делает, кто не хочет ищет отговорки.

    Да дистрибутивные пакеж-манагеры решают вполне конкретные, и ограниченные, задачи. Не "хочу всего-всего и побольше". Учёные ещё исследуют разрешимость такой проблемы.

    Бонус-трек:  Полтора п.м. - Guix и брат его Nix.  И ещё 0.33 вдогонку: Stow.
                 GNU Guix http://www.gnu.org/software/guix/
                            Nix https://nixos.org/nix/
                 GNU Stow https://www.gnu.org/software/stow/

     
  • 2.112, Michael Shigorin (ok), 01:07, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А это всё потому что нельзя выбирать версии библиотек относительно программ и
    > библиотеки глобальны.

    http://www.akkadia.org/drepper/dsohowto.pdf

    > Ахиллесова пята линукс.

    Если Вы лично безграмотны -- это Ваша лично проблема.

     
     
  • 3.133, lululu (?), 11:43, 05/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я не писал что я грамотен. Но это не повод за мой счёт самоутверждаться, пожалуйста.
    Я говорю про уровень управления пакетами.
     
  • 2.117, Аноним (-), 05:01, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю как в вашем дистрибутиве Linux, а у меня в Debian можно установить хоть 10 разных версий libglew: libglew11, libglew15, libglew18... -dev пакет только от одной.

    В официальном репозитории - только одна версия. Это да.

     
     
  • 3.134, lululu (?), 11:44, 05/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну да, вручную... =)
    А потом ругают configure ; make ; make install
     

  • 1.96, Michael Shigorin (ok), 18:45, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В настоящее время актуальные версии WebKitGTK+ поддерживаются только в Arch и Fedora.

    http://packages.altlinux.org/ru/Sisyphus/srpms/libwebkitgtk4/changelog
    http://packages.altlinux.org/ru/Sisyphus/srpms/libwebkitgtk2/changelog

    А вообще да, проверял сегодняшние регулярки и аккурат на gnome3 с той самой epiphany опять задумался -- что с этим вопросом обстоит.

     
  • 1.102, Вареник (?), 20:21, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А зачем самые последние багфиксы безопасности веб-движка в перечисленных программах (Anjuta, GIMP, etc...)?

    "исследователям безопасности" раздувают проблему.

     
     
  • 2.121, Andrey Mitrofanov (?), 09:52, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > "исследователям безопасности" раздувают проблему.

    Писатели "ещё одного броузера на каком-то там движке" машут транспорантами за свободу авторов того "какого-то там движка" класть на поддержку версий своего добреца страрше двух коммитов.   Виноваты дистрибутивы -- все.  Он, правда, не знает, что мифический единорог "беопасность" туточки не при чём.

     
  • 2.137, lululu (?), 12:59, 05/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В почтовом клиенте очень нужна.
     

  • 1.107, anonymous (??), 22:29, 03/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    дружно все переходим на netsurf
     
  • 1.116, Аноним (-), 04:58, 04/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Проблема не в линуксе, а в Webkit. Им следует долго поддерживать минорные релизы.
     
  • 1.120, Coder (?), 09:04, 04/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На QtWebEngine я бы и сам перешел. Не хватает только QWebElement, QNetworkAccessManager и QWebFrame::addToJavaScriptWindowObject
     
     
  • 2.125, anonymous (??), 13:01, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Хинт: в QtWebEngine этого никогда не будет
     

  • 1.140, Аноним (-), 17:52, 07/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нефиг писать интерфейс приложений на HTML
     
     
  • 2.141, Аноним (-), 13:30, 08/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    первый комментарий по делу. удваиваю.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру