NDTV - Flash in Java sta dve nekoč precej priljubljeni tehnologiji za pripravo interaktivnih vsebin na spletnih straneh. Flash je služil predvsem animaciji in predvajanju videoposnetkov (Macromediina odločitev za pribavo VP6 kodeka je v veliki meri omogočila YouTube), Java pa programersko bolj zahtevnim aplikacijam. Žal se je skozi leta izkazalo, da sta imela oba vtičnika (pre)številne varnostne pomanjkljivosti, ki so nepridipravom omogočale vdore v računalnike njunih uporabnikov. Po več letih slabe publicitete sta oba veliko izgubila na popularnosti. Uporabniki so se jima začeli izogibati oz. ju blokirati. Lani so zadeve so prišle tako daleč, da sta Chrome oz. Firefox začela po privzetem blokirati oba vtičnika. To je bilo mogoče predvsem zavoljo dejstva, da se je HTML standard razvil do točke, ko je večino interaktivnih vsebin (še zlasti oglasov) mogoče pripraviti kar z nativnimi standardi, brez vsakršnih vtičnikov.
In s tem obe tehnologiji postajata vedno manj pomembni. Adobe sicer še ni povsem vrgel puške v koruzo in za zdaj svojim razvijalcem zgolj "priporoča" prehod na HTML5 (čeprav The Verge pravi, da bo z njim konec v manj kot dveh letih, zlasti zaradi zmage Googlovega WebM video kodeka nad H.265 ter zato, ker je Google preko svojega DoubleClick omrežja prepovedal Flash oglase).
Oracle, zdajšnji lastnik Jave, pa je nedavno sporočil, da ga v prihodnjih verzijah Jave več ne bo. Razvijalcem zato svetujejo, da manjše aplikacije prenesejo na HTML5, večje in zahtevnejše pa predelajo v namizne in jih preko spleta zgolj zaganjajo (z rabo tehnologije Java Web Start).
Javascript je torej (vsaj v brskalnikih) premagal Javo.
Nekje sem zasledil, da Flash in Java predstavljata več kot 2/3 vseh ranljivosti. Dejansko se z odstranitvijo teh dveh komponent varnost drastično izboljša. Ostane pa še Adobov PDF...
Sranje. Kako bo s podpisnimi komponentami na edavkih in eupravi? Prva je odvisna od Jave (in je v resnici delovala), druga pa namesti native plugin v browser in ves cas podpira za nekaj verzij zastarele brskalnike. Webcrypto API je se vedno nekje v zraku.
Javascript je torej (vsaj v brskalnikih) premagal Javo.
Torej sta to dva različna pojma?
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j
Hmm ali se komu sanja s katero tehnologijo sedaj lahko v vseh browserjih beremo "SmarCard", Activex se poslavlja, jave ni več... Menda ja ne bo potrebno za vsak brskalnik razvijati posebej. No razen če razvijem java aplikacijo in jo zaganjam preko web starta???
Za tiste, ki so bolj počasni v razumevanju - to, da se PDF support seli v brskalnike je po mojem mnenju super rešitev. Tako kot se je "Flash support" preselil v obliki HTML 5.
Pač, dejstvo je, da za ogledovanje PDF-ja ne rabimo Adobovega bloatwara, ki poleg nekaj malega uporabnih a malo uporabljanih funkcionalnosti prinaša kopico ranljivosti.
Sranje. Kako bo s podpisnimi komponentami na edavkih in eupravi? Prva je odvisna od Jave (in je v resnici delovala), druga pa namesti native plugin v browser in ves cas podpira za nekaj verzij zastarele brskalnike. Webcrypto API je se vedno nekje v zraku.
E-uprava že uporablja samostojno komponento (ProXSign) ki deluje kot samostojen program (in se lahko zažene samo ko potrebuješ npr. podpisovanje) in ne več kot vključek in ga stran/brskalnik samo pokliče, ko ga potrebuje (pri podpisovanju). eDavki pa mislim, da imajo še vtičnike in še vedno potrebujejo Javo.
...all those moments will be lost in time, like tears in the rain...
Sranje. Kako bo s podpisnimi komponentami na edavkih in eupravi? Prva je odvisna od Jave (in je v resnici delovala), druga pa namesti native plugin v browser in ves cas podpira za nekaj verzij zastarele brskalnike. Webcrypto API je se vedno nekje v zraku.
E-uprava že uporablja samostojno komponento (ProXSign) ki deluje kot samostojen program (in se lahko zažene samo ko potrebuješ npr. podpisovanje) in ne več kot vključek in ga stran/brskalnik samo pokliče, ko ga potrebuje (pri podpisovanju). eDavki pa mislim, da imajo še vtičnike in še vedno potrebujejo Javo.
Sranje. Kako bo s podpisnimi komponentami na edavkih in eupravi? Prva je odvisna od Jave (in je v resnici delovala), druga pa namesti native plugin v browser in ves cas podpira za nekaj verzij zastarele brskalnike. Webcrypto API je se vedno nekje v zraku.
E-uprava že uporablja samostojno komponento (ProXSign) ki deluje kot samostojen program (in se lahko zažene samo ko potrebuješ npr. podpisovanje) in ne več kot vključek in ga stran/brskalnik samo pokliče, ko ga potrebuje (pri podpisovanju). eDavki pa mislim, da imajo še vtičnike in še vedno potrebujejo Javo.
No ja za Linux je še ni: http://www.si-ca.si/podpisna_komponenta... Na OS X pa deluje OK, sem oddal decembra elektronsko vlogo za znižano plačilo vrtca. :-) Ampak je potrebno prej korenske certifikete SIGEN-CA in SIGOV-CA namestit, če tudi uporabljaš KLIK NLB cerfitikat, in jasno ACNLB korenski...skratka še vedno veliko "balasta")..da dejanko podpis deluje (test podpisa deluje brez tega)
...all those moments will be lost in time, like tears in the rain...
Za tiste, ki so bolj počasni v razumevanju - to, da se PDF support seli v brskalnike je po mojem mnenju super rešitev. Tako kot se je "Flash support" preselil v obliki HTML 5.
Pač, dejstvo je, da za ogledovanje PDF-ja ne rabimo Adobovega bloatwara, ki poleg nekaj malega uporabnih a malo uporabljanih funkcionalnosti prinaša kopico ranljivosti.
Ne razumem v čem je razlika med pdfiumum v tvojem chromu (ki je grozljivo hroščata koda napisana v C++89 in ima toliko buffer overflowov da nam crkne analizator) in med Adober readerjem ki je vsaj hiter in precej bolj popatchan.
Razen v tem da je kvaliteta PDF softwara pomembna za Adobe (ker s tehnologije služijo), Googlu pa tako dol visi da niti najhujših hroščev ne popravijo.
Sranje. Kako bo s podpisnimi komponentami na edavkih in eupravi? Prva je odvisna od Jave (in je v resnici delovala), druga pa namesti native plugin v browser in ves cas podpira za nekaj verzij zastarele brskalnike. Webcrypto API je se vedno nekje v zraku.
E-uprava že uporablja samostojno komponento (ProXSign) ki deluje kot samostojen program (in se lahko zažene samo ko potrebuješ npr. podpisovanje) in ne več kot vključek in ga stran/brskalnik samo pokliče, ko ga potrebuje (pri podpisovanju). eDavki pa mislim, da imajo še vtičnike in še vedno potrebujejo Javo.
No ja za Linux je še ni: http://www.si-ca.si/podpisna_komponenta... Na OS X pa deluje OK, sem oddal decembra elektronsko vlogo za znižano plačilo vrtca. :-) Ampak je potrebno prej korenske certifikete SIGEN-CA in SIGOV-CA namestit, če tudi uporabljaš KLIK NLB cerfitikat, in jasno ACNLB korenski...skratka še vedno veliko "balasta")..da dejanko podpis deluje (test podpisa deluje brez tega)
Ubistvu sigen pa nlb korenskih certifikatov tud v brskalnikih ni...
Drugače pa vsi HTML5 fanatiki... html5 še vedno ne zna kup reči, ki so bile možne z javo/flashem. Ko jih bo znal se grem stavit da bo tudi tam kup hroščev.
Pa še en detajl - html5 ni "pravi" standard, je bolj priporočilo. Želim vesele urice vsem razvijalcem, katerim se APi spreminja redno in pa morajo podpirat par različnih brskalnikov.
No ja za Linux je še ni: http://www.si-ca.si/podpisna_komponenta... Na OS X pa deluje OK, sem oddal decembra elektronsko vlogo za znižano plačilo vrtca. :-) Ampak je potrebno prej korenske certifikete SIGEN-CA in SIGOV-CA namestit, če tudi uporabljaš KLIK NLB cerfitikat, in jasno ACNLB korenski...skratka še vedno veliko "balasta")..da dejanko podpis deluje (test podpisa deluje brez tega)
Tudi meni ni všeč, da je uradno še ni za Linux, a s staro verzijo sem se še na Silvestra lahko podpisoval na eDavkih v Mageji 5.
Mene drugače zanima kako naj bi WebM (oz. VP9) premagal H.265, kakor je navedeno v novici.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Ne razumem v čem je razlika med pdfiumum v tvojem chromu (ki je grozljivo hroščata koda napisana v C++89 in ima toliko buffer overflowov da nam crkne analizator) in med Adober readerjem ki je vsaj hiter in precej bolj popatchan.
Hja, če je stanje tako, sicer ni razlike, ampak upam pa, da se bo varnost izboljšala.
Javascript je torej (vsaj v brskalnikih) premagal Javo.
Torej sta to dva različna pojma?
JS je skriptni jezik in vse kar ima z javo skupnega je ime. Nič ni povezan JavaScript z Javo.
Hvala za razlago. Tudi tebi jype.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j
Chromium naj bi sandboxal, v Firefoxu pa tega trenutno se ni. Ne vem pa, kako varna je Chromiumova implementacija, saj je privzeto dostopen celoten filesystem, kar lahko nepridipravu omogoci dostop do SSH in PGP kljucev ter raznih podobnih zadev. Tocno to se je zgodilo Firefoxu z vgrajenim pdf readerjem.
Sranje. Kako bo s podpisnimi komponentami na edavkih in eupravi? Prva je odvisna od Jave (in je v resnici delovala), druga pa namesti native plugin v browser in ves cas podpira za nekaj verzij zastarele brskalnike. Webcrypto API je se vedno nekje v zraku.
Obetajo se težave, lahko pa to obrnemo v svoj prid (sicer teti ne morem računat)...
Java sintaksa je zelo zelo malo podobna JavaScript sintaksi.
Ah, daj no! Si kdaj videl Python?
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Za tiste, ki so bolj počasni v razumevanju - to, da se PDF support seli v brskalnike je po mojem mnenju super rešitev. Tako kot se je "Flash support" preselil v obliki HTML 5.
Pač, dejstvo je, da za ogledovanje PDF-ja ne rabimo Adobovega bloatwara, ki poleg nekaj malega uporabnih a malo uporabljanih funkcionalnosti prinaša kopico ranljivosti.
Ne razumem v čem je razlika med pdfiumum v tvojem chromu (ki je grozljivo hroščata koda napisana v C++89 in ima toliko buffer overflowov da nam crkne analizator) in med Adober readerjem ki je vsaj hiter in precej bolj popatchan.
Razen v tem da je kvaliteta PDF softwara pomembna za Adobe (ker s tehnologije služijo), Googlu pa tako dol visi da niti najhujših hroščev ne popravijo.
Khmmm, moje izkušnje so drugačne: tudi na kišti brez SSDja je odpiranje PDFjev v Chromu 10x hitrejše kot v AR. Poskusi odpreti 1000 stranski PDF dokument v enem in drugem. (V drugem boš z nekaj sreče čez dva dni celo dočakal odprtje... Ali pa še to ne.) Poskusi še skrolati po straneh, kar spet veeeliko bolje dela v Chromu. Ali pa 1000 stranski dokument natisniti...
Za tiste, ki so bolj počasni v razumevanju - to, da se PDF support seli v brskalnike je po mojem mnenju super rešitev. Tako kot se je "Flash support" preselil v obliki HTML 5.
Pač, dejstvo je, da za ogledovanje PDF-ja ne rabimo Adobovega bloatwara, ki poleg nekaj malega uporabnih a malo uporabljanih funkcionalnosti prinaša kopico ranljivosti.
Ne razumem v čem je razlika med pdfiumum v tvojem chromu (ki je grozljivo hroščata koda napisana v C++89 in ima toliko buffer overflowov da nam crkne analizator) in med Adober readerjem ki je vsaj hiter in precej bolj popatchan.
Razen v tem da je kvaliteta PDF softwara pomembna za Adobe (ker s tehnologije služijo), Googlu pa tako dol visi da niti najhujših hroščev ne popravijo.
C++89 ne obstaja :-) C++98 morda? Chrome je drugač napisan v C++11, to vem, ker sam sodelujem pri tem projektu. Sicer ne na PDF prikazovalniku, ampak na črkovalniku. Kaj se pa tiče hroščatosti je pa tak, aktivno se dela na odpravi hroščev, tut s pomočjo LLVMjevih sanitizerjev. Koda ni perfektna, je pa boljša od večine odprtokodnih projektov :-)
Java sintaksa je zelo zelo malo podobna JavaScript sintaksi.
Ah, daj no! Si kdaj videl Python?
Ja in? Še vedno ne pomeni, da sta si sintaksi podobni.
In od kod ima potem JavaScript ime? To je skriptna oblika Jave! Ima weak typing in prototype OO, drugače pa je veliko kode v JS veljavna koda v Javi.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
C++89 ne obstaja :-) C++98 morda? Chrome je drugač napisan v C++11, to vem, ker sam sodelujem pri tem projektu. Sicer ne na PDF prikazovalniku, ampak na črkovalniku. Kaj se pa tiče hroščatosti je pa tak, aktivno se dela na odpravi hroščev, tut s pomočjo LLVMjevih sanitizerjev. Koda ni perfektna, je pa boljša od večine odprtokodnih projektov :-)
Ja, 98. Typo. O kvaliteti kode v Chromeu ne bom sodil, sam pdfium je pa crap. Sicer crap z razlogom (star Foxit codebase ki niti STLja ni uporabljal), sam je vseeno grozen kos legacy C++ kode kjer se še zelo lepo občasno kar malo casta pointerje v 32-bit na kakem kraju in bolj slabo sanitizira bran input.
Saj se koda čisti, samo po kvaliteti pač ni niti na nivoju ARja (in to je zelo nizek standard) in pride z "bonusom" kjer ti po novem Chrome vedno odpre PDF s tem readerjem namesto tvojim izbranim. Kar pomeni da si pač prisiljen vedno znova tvegati da ti luknja v tej kodi pohodi računalnik.
In od kod ima potem JavaScript ime? To je skriptna oblika Jave! Ima weak typing in prototype OO, drugače pa je veliko kode v JS veljavna koda v Javi.
Dejansko ima JavaScript ime po Javi samo zato, ker je Netscape zadnji hip spremenil ime, ko je v svoj brskalnik dodal tudi podporo za Javo (v beta verzijah so mu pravili LiveScript). Sintaksa Jave in JavaScripta je podobna približno toliko, kot Jave in Cja.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
Chromium naj bi sandboxal, v Firefoxu pa tega trenutno se ni. Ne vem pa, kako varna je Chromiumova implementacija, saj je privzeto dostopen celoten filesystem, kar lahko nepridipravu omogoci dostop do SSH in PGP kljucev ter raznih podobnih zadev. Tocno to se je zgodilo Firefoxu z vgrajenim pdf readerjem.
Chromeov PDF viewer teče v NaCl sandboxu, tako da nima nikakršnega dostopa do OS, še manj pa do datotečnega sistema (razen do lokalnega HTML5 filesystema od spletne strani). Pri Firefoxu pa je itak v JavaScript/asm.js skompajlan, torej tudi v "sandboxu", tako kot vsak drugi JavaScript, ki teče na spletni strani.
...in pride z "bonusom" kjer ti po novem Chrome vedno odpre PDF s tem readerjem namesto tvojim izbranim. Kar pomeni da si pač prisiljen vedno znova tvegati da ti luknja v tej kodi pohodi računalnik.
Zakaj bi bil v karkoli prisiljen? Saj ga lahko disablaš v chrome:plugins.
