История изменений
Исправление
Legioner,
(текущая версия)
:
поддерживать Java-апплеты (а он не начнёт, потому что это никому не нужно)
Почему ты так думаешь?
Потому что они в публичном интернете не используются нигде. Нет для них задач. Единственная задача, для которой сейчас нужны Java-апплеты – взаимодействие с криптографическим оборудованием (криптотокены), но эти устройства используются на всяких банковских сайтах, которые к публичным отнести нельзя. Да и развиваются JS-апи, которые в будущем, скорее всего, вытеснят апплеты.
Что мешает им запилить подобное? Мне кажется, если он будет активно развиваться, то рано или поздно получит такую возможность.
Ну как получит, так станет уязвимым наравне с остальными браузерами. Но, мне так думается, что быстрее JS-апи разовьётся :)
На самом деле вектор атаки на песочницу есть. Если они поддерживают JavaScript, значит они захотят поддерживать его эффективно. Интерпретируемый JavaScript, как в Internet Explorer 6, сейчас на многих сайтах будет тормозить. А эффективно JavaScript исполнять можно только компилируя его в Java Bytecode. Собственно тут и возможны векторы атаки, хотя и куда более сложные, надо не только поломать песочницу, но ещё и умудриться подсунуть такой JavaScript, который будет транслироваться в нужный для атаки байткод.
По хорошему нужны 2 режима. Безопасный движок и потенциально опасный производительный движок. Безопасный движок работает по умолчанию, производительный движок работает на сайтах из белого списка. Тогда злоумышленнику надо помимо поиска уязвимости ещё и подсунуть свой код на белый сайт. Это дополнительная планка. Хотя неуловимому Джо она не нужна.
Исправление
Legioner,
:
поддерживать Java-апплеты (а он не начнёт, потому что это никому не нужно)
Почему ты так думаешь?
Потому что они в публичном интернете не используются нигде. Нет для них задач. Единственная задача, для которой сейчас нужны Java-апплеты – взаимодействие с криптографическим оборудованием (криптотокены), но эти устройства используются на всяких банковских сайтах, которые к публичным отнести нельзя. Да и развиваются JS-апи, которые в будущем, скорее всего, вытеснят апплеты.
Что мешает им запилить подобное? Мне кажется, если он будет активно развиваться, то рано или поздно получит такую возможность.
Ну как получит, так станет уязвимым наравне с остальными браузерами. Но, мне так думается, что быстрее JS-апи разовьётся :)
На самом деле вектор атаки на песочницу есть. Если они поддерживают JavaScript, значит они захотят поддерживать его эффективно. Интерпретируемый JavaScript, как в Internet Explorer 6, сейчас на многих сайтах будет тормозить. А эффективно JavaScript исполнять можно только компилируя его в Java Bytecode. Собственно тут и возможны векторы атаки, хотя и куда более сложные, надо не только поломать песочницу, но ещё и умудриться подсунуть такой JavaScript, который будет транслироваться в нужный для атаки байткод.
По хорошему нужны 2 режима. Безопасный движок и потенциально опасный производительный движок. Безопасный движок работает по умолчанию, производительный движок работает на сайтах из белого списка. Тогда злоумышленнику надо помимо поиска уязвимости ещё и подсунуть свой код на белый сайт. Это дополнительная планка.
Исправление
Legioner,
:
поддерживать Java-апплеты (а он не начнёт, потому что это никому не нужно)
Почему ты так думаешь?
Потому что они в публичном интернете не используются нигде. Нет для них задач. Единственная задача, для которой сейчас нужны Java-апплеты – взаимодействие с криптографическим оборудованием (криптотокены), но эти устройства используются на всяких банковских сайтах, которые к публичным отнести нельзя. Да и развиваются JS-апи, которые в будущем, скорее всего, вытеснят апплеты.
Что мешает им запилить подобное? Мне кажется, если он будет активно развиваться, то рано или поздно получит такую возможность.
Ну как получит, так станет уязвимым наравне с остальными браузерами. Но, мне так думается, что быстрее JS-апи разовьётся :)
На самом деле вектор атаки на песочницу есть. Если они поддерживают JavaScript, значит они захотят поддерживать его эффективно. Интерпретируемый JavaScript, как в Internet Explorer 6, сейчас на многих сайтах будет тормозить. А эффективно JavaScript исполнять можно только компилируя его в Java Bytecode. Собственно тут и возможны векторы атаки, хотя и куда более сложные, надо не только поломать песочницу, но ещё и умудриться подсунуть такой JavaScript, который будет транслироваться в нужный для атаки байткод.
Исправление
Legioner,
:
поддерживать Java-апплеты (а он не начнёт, потому что это никому не нужно)
Почему ты так думаешь?
Потому что они в публичном интернете не используются нигде. Нет для них задач. Единственная задача, для которой сейчас нужны Java-апплеты – взаимодействие с криптографическим оборудованием (криптотокены), но эти устройства используются на всяких банковских сайтах, которые к публичным отнести нельзя. Да и развиваются JS-апи, которые в будущем, скорее всего, вытеснят апплеты.
Что мешает им запилить подобное? Мне кажется, если он будет активно развиваться, то рано или поздно получит такую возможность.
Ну как получит, так станет уязвимым наравне с остальными браузерами. Но, мне так думается, что быстрее JS-апи разовьётся :)
Исходная версия
Legioner,
:
поддерживать Java-апплеты (а он не начнёт, потому что это никому не нужно)
Почему ты так думаешь?
Потому что они в публичном интернете не используются нигде. Нет для них задач. Единственная задача, для которой сейчас нужны Java-апплеты – взаимодействие с криптографическим оборудованием (криптотокены), но эти устройства используются на всяких банковских сайтах, которые к публичным отнести нельзя.
Что мешает им запилить подобное? Мне кажется, если он будет активно развиваться, то рано или поздно получит такую возможность.
Ну как получит, так станет уязвимым наравне с остальными браузерами.