LINUX.ORG.RU

Вышла первая публичная версия браузера Gngr, написанного на Java

 ,


1

3

Исходные тексты браузера опубликованы на GitHub под лицензией GPLv2.

Браузер реализован на языке Java, что, по мнению разработчиков, выгодно отличает его от остальных браузеров в плане безопасности. В программах на Java невозможны такие часто встречающиеся уязвимости как переполнение буфера или выход за границы массива.

Кроме того в браузере по умолчанию отключены JavaScript и Cookie, не поддерживаются плагины, не передаются http_referer-ы на посещаемую страницу.

На данный момент браузер не подходит для регулярного использования, так как работает далеко не на всех сайтах.

Браузер требует для работы Java 8 (Oracle JRE или OpenJDK).

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: Klymedy (всего исправлений: 2)
Ответ на: комментарий от Hertz

Как раз теперь будет проще объяснить тормоза браузера - «это не в коде проблемы, это просто Java тормозит» :-)

А вообще идея интересная, посмотрим как оно пойдет

Pinkbyte ★★★★★
()
Ответ на: комментарий от x4DA

На терабайте оперативной памяти - летать будет, я уверен. Это ж энтерпрайз-язык, а не какие-то студенческие поделки на б-гомерзком C++

// тег сарказм отклеился, но я думаю и так всё понятно

Pinkbyte ★★★★★
()
Ответ на: комментарий от I-Love-Microsoft

Через 100 лет ты откажешься от своих слов ^_^

Я думаю большинству здесь присутствующих будет откровенно пофиг, что произойдет с индустрией через 100 лет, по причине того, что из могилы как-то всё пофиг.

Pinkbyte ★★★★★
()
Ответ на: комментарий от EXL

Джава и безопасность — взаимоисключающие параграфы. Одно время мне надоедало из-за неё вычищать мокрые письки и винлокеры с экранов юзверей. Зато выработал правило: если не хочешь, чтобы юзвери мучали тебя своими винлокерами — отрубай в их браузере Java, желательно вырезая её вместе с корнями

Ты с JS не попутал?

LongLiveUbuntu ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

Нет, не попутал. Причём тут вообще Js, когда разговор про Java: http://www.opennet.ru/opennews/art.shtml?num=33521

Java в браузере до сих пор такой уязвимый шлак, что все адекватные браузеры делают «click-to-play» на её апплетах.

EXL ★★★★★
()
Ответ на: комментарий от EXL

И в чем уязвимость java? В том, что пользователи не обновляют ПО? С такой логикой как ты вообще живешь?

anonymous
()
Ответ на: комментарий от anonymous

С тем что там CVE на CVE и CVE погоняет. И это несмотря на ежемесячные обновления, которые пачку новых CVE приносят. Особенно в 2011-2012 годах было весело, когда даже несмотря на последние версии Java юзеры всё равно ловили винлокеры через дырки именно в этих апплетах. Выключаешь/удаляешь юзверям Java и они больше не мучают тебе мозг. В конце концов всем надоела эта уязвимая хренотень и разработчики браузеров таки впилили click-to-play на вечно уязвимые апплеты. Увы, «особо прошаренных» юзеров, которые не читают того, что им пишут, даже click-to-play не спасает.

Именно поэтому в этой новости речь о безопасности в контексте Java выглядит просто смешно.

EXL ★★★★★
()
Последнее исправление: EXL (всего исправлений: 1)
Ответ на: комментарий от Dron

Неа, походу полностью своя реализация всего и вся.

Тогда проект очень интересный. Не как standalone браузер, но как реализация движка, что есть достаточно сложная задача.

Legioner ★★★★★
()
Ответ на: комментарий от EXL

Смотри, не умри от смеха. В любом продукте есть уязвимости. Приведи пример ПО с пользовательской базой java без уязвимостей.

Выключаешь/удаляешь юзверям Java и они больше не мучают тебе мозг

лол. Сначала ставишь ненужную хрень, потом удаляешь ненужную хрень. А зачем ставил-то?)

В конце концов всем надоела эта уязвимая хренотень и разработчики браузеров таки впилили click-to-play на вечно уязвимые апплеты.

Где они уязвимые-то? Пруфы будут или просто балабол?

anonymous
()
Ответ на: комментарий от EXL

Ты попутал. Java в апплетах исполняет произвольный код, получаемый из недоверенных источников. Браузер на Java НЕ исполняет произвольный код, полученный из недоверенных источников.

Все CVE, про которые ты пишешь, это уязвимости песочницы Java. В браузере, написанном на Java нет места песочнице, пока он не начнёт поддерживать Java-апплеты (а он не начнёт, потому что это никому не нужно). Поэтому все уязвимости песочницы на него никак не влияют. Так же, как они не влияют на серверный движок LOR-а, который тоже написан на Java.

Поэтому браузер на Java будет весьма безопасен и, вероятно, безопасней других браузеров.

Другой вопрос, что современные браузеры в принципе достаточно защищены и дополнительная безопасность им не особо нужна.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 2)
Ответ на: комментарий от lazy_aleks

Сам удивился, что не тормозит.

да на самом деле ничего удивительного, вот впилят носорога и печеньки, тогда посмотрим. Не удивлюсь если будет работать лучше конкверора

RedPossum ★★★★★
()
Ответ на: комментарий от anonymous

лол. Сначала ставишь ненужную хрень, потом удаляешь ненужную хрень. А зачем ставил-то?)

С чего ты взял, что я им ставил эту пакость? Они сами себе и поставили. Я лишь только удалял/отключал.

Где они уязвимые-то? Пруфы будут или просто балабол?

В гугле «Firefox уязвимость Java» для больше шарма можешь ещё и «0day» добавить и читай свои пруфы на здоровье. Если бы они не были так уязвимы, то Firefox и Chrome не поставил бы на них click-to-play, а оставил бы всё как было раньше: то есть без всяких «Нажмите, чтобы запустить апплет». Апплеты запускались бы без подтверждения, как сейчас Adobe Flash.

EXL ★★★★★
()
Ответ на: комментарий от EXL

С чего ты взял, что я им ставил эту пакость? Они сами себе и поставили. Я лишь только удалял/отключал.

facepalm.jpg Любому дураку понятно, что виноваты java и путин

В гугле «Firefox уязвимость Java» для больше шарма можешь ещё и «0day» добавить и читай свои пруфы на здоровье. Если бы они не были так уязвимы, то Firefox и Chrome не поставил бы на них click-to-play, а оставил бы всё как было раньше: то есть без всяких «Нажмите, чтобы запустить апплет». Апплеты запускались бы без подтверждения, как сейчас Adobe Flash.

все с тобой ясно, балаболка

anonymous
()
Ответ на: комментарий от Legioner

поддерживать Java-апплеты (а он не начнёт, потому что это никому не нужно)

Почему ты так думаешь? Что мешает им запилить подобное? Мне кажется, если он будет активно развиваться, то рано или поздно получит такую возможность.

EXL ★★★★★
()
Ответ на: комментарий от anonymous

Любому дураку понятно, что виноваты java и путин

Обосрался? Скати всё в нацпол!

Короче, иди своей дорогой, сталкер.

EXL ★★★★★
()
Ответ на: комментарий от EXL

Не хило у хейтера-балаболки бомбануло. Лучше научись доказывать свои слова и не говорить о том, в чем не разбираешься. Тогда и сливаться перестанешь.

anonymous
()
Ответ на: комментарий от anonymous
Ответ на: комментарий от EXL

поддерживать Java-апплеты (а он не начнёт, потому что это никому не нужно)

Почему ты так думаешь?

Потому что они в публичном интернете не используются нигде. Нет для них задач. Единственная задача, для которой сейчас нужны Java-апплеты – взаимодействие с криптографическим оборудованием (криптотокены), но эти устройства используются на всяких банковских сайтах, которые к публичным отнести нельзя. Да и развиваются JS-апи, которые в будущем, скорее всего, вытеснят апплеты.

Что мешает им запилить подобное? Мне кажется, если он будет активно развиваться, то рано или поздно получит такую возможность.

Ну как получит, так станет уязвимым наравне с остальными браузерами. Но, мне так думается, что быстрее JS-апи разовьётся :)

На самом деле вектор атаки на песочницу есть. Если они поддерживают JavaScript, значит они захотят поддерживать его эффективно. Интерпретируемый JavaScript, как в Internet Explorer 6, сейчас на многих сайтах будет тормозить. А эффективно JavaScript исполнять можно только компилируя его в Java Bytecode. Собственно тут и возможны векторы атаки, хотя и куда более сложные, надо не только поломать песочницу, но ещё и умудриться подсунуть такой JavaScript, который будет транслироваться в нужный для атаки байткод.

По хорошему нужны 2 режима. Безопасный движок и потенциально опасный производительный движок. Безопасный движок работает по умолчанию, производительный движок работает на сайтах из белого списка. Тогда злоумышленнику надо помимо поиска уязвимости ещё и подсунуть свой код на белый сайт. Это дополнительная планка. Хотя неуловимому Джо она не нужна.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 4)
Ответ на: комментарий от Legioner

Потому что они в публичном интернете не используются нигде. Нет для них задач. Единственная задача, для которой сейчас нужны Java-апплеты – взаимодействие с криптографическим оборудованием (криптотокены), но эти устройства используются на всяких банковских сайтах, которые к публичным отнести нельзя.

Я встречал апплеты на сайте Intel'а, вот пруф. Там через них определяли железо и выдавали необходимые драйвера. Сейчас кажется они слезли с этой иглы.

Кстати, некоторые юзеры после того, как зашли на сайт Intel'а и скачали драйвера, включали в браузере незамедлительный запуск любых апплетов, что печально сказывалось на их безопасности. Лечил подобный случай.

EXL ★★★★★
()
Последнее исправление: EXL (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

На терабайте оперативной памяти - летать будет, я уверен. Это ж энтерпрайз-язык, а не какие-то студенческие поделки на б-гомерзком C++

Открыл Лису и его (с одной вкладкой): Лиса — 352M, у него — 217M.

aidan ★★★★
()
Ответ на: комментарий от alt-x

Уязвимости в жабе публикуются пачками и исправляютс по пол-года.
Ну, это касаемо оракуля. Или они его будт на какой-то принципиально другой жабе пускать?

Yustas ★★★★
()
Ответ на: комментарий от EXL

Бомбануло тут только у тебя, раз ты не смог по первым ссылкам в гугле пробежаться.

Поиск доказательства глупостей ложится на ляпнувшего глупость. Так вообще-то везде принято.

Т.е. ты серьезно для доказательства «вечно уязвимой java» кидаешь пруф на 1 (прописью - один) 0-day 2013 года (сейчас 2014 кончается, на секундочку), который был закрыт через 2 дня после обнаружения и которому была подвержена только Java7 ? А есть ли хоть одно ПО сравнимое по юзербазе с java, в котором бы не было уязвимостей?

Лицо уже фейспалмом разбил.

anonymous
()
Ответ на: комментарий от Legioner

современные браузеры в принципе достаточно защищены и дополнительная безопасность им не особо нужна

https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/

Критические уязвимости, стабильно, каждый релиз.

Причем это только паблик.

edigaryev ★★★★★
()
Последнее исправление: edigaryev (всего исправлений: 1)
Ответ на: комментарий от devnullopers

А где ты там браузер увидел? Это просто просмотрщик интерактивных картинок, которые рендерит серверный Presto. Об этом сам официальный представитель Opera (pepelspbey) говорил.

И кстати говоря, в первых версиях оперы мини (середина двухтысячных) был интересный баг: если админ форума юзает оперу мини и забывает разлогиниться с форума после выхода, то ты (тоже используя оперу) заходишь на форум с его учётки с сохранением всех прав.

EXL ★★★★★
()
Последнее исправление: EXL (всего исправлений: 1)

Как собрать-то его?

alix ★★★★
()
Ответ на: комментарий от anonymous

Ага, щас, вот из последнего.

Потенциально может привести. А может не привести. А ещё браузерные процессы обычно пускаются в специальной песочнице, которую тоже надо обойти, чтобы напакостить.

Но пример хороший, показательный, да.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

Через jconsole попробуй посмотреть Java-овский процесс, там будет лучше видно потребление.

exl@exl-Lenovo-G560e:~/Downloads$ java -jar gngr-v0-0-0.jar

Exception: java.lang.OutOfMemoryError thrown from the UncaughtExceptionHandler in thread "Image Animator 0"

Exception: java.lang.OutOfMemoryError thrown from the UncaughtExceptionHandler in thread "CacheManager"
Killed

Поздно, я окткрыл пару страничек, а оно съело всю память, загрузило проц на 90% и упало с ООМ. Я так и не понял, почему GC не работает?

http://i.imgur.com/Mk6fNxV.png

Ява:

exl@exl-Lenovo-G560e:~/Downloads$ java -version
java version "1.8.0_25"
Java(TM) SE Runtime Environment (build 1.8.0_25-b17)
Java HotSpot(TM) 64-Bit Server VM (build 25.25-b02, mixed mode)
EXL ★★★★★
()
Ответ на: комментарий от EXL

Видимо память где то подтекает или просто в каких то местах неоптимально написано и жрёт много памяти. Это же ранняя альфа, не стоит от неё слишком много ожидать. GC не может не работать, но он не волшебник, если приложение держит ссылки на объекты, он не может быть удалён.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)

Когда производители железа делают его еще быстрее, что бы текущие приложения не тормозили, то появляется очередной разработчик, ставящий и самое современное железо на колени. И все это под лозунгом - для лучшей безопасности. Но где на самом деле эта безопасность многие хорошо знают.

andreyu ★★★★★
()
Ответ на: комментарий от anonymous

А есть ли хоть одно ПО сравнимое по юзербазе с java, в котором бы не было уязвимостей?

Ява - это язык программирования. Написан явно не на себе самом. Следовательно он сливает тому языку, который использовался для его написания.

Но вы продолжайте использовать яву, кто вам запрещает?

andreyu ★★★★★
()
Ответ на: комментарий от Legioner

Видимо память где то подтекает или просто в каких то местах неоптимально написано и жрёт много памяти. Это же ранняя альфа, не стоит от неё слишком много ожидать. GC не может не работать, но он не волшебник, если приложение держит ссылки на объекты, он не может быть удалён.

В этом вся безопасность и энтерпрайзность явы и прочего говна.

andreyu ★★★★★
()
Ответ на: комментарий от andreyu

При чём тут ява? Сожрала бы поделка на плюсах всю память, засунула систему в своп, ООМ киллер бы её прибил (по пути прибив ещё пару подвернувшихся под руку процессов). Это лучше что ли?

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Legioner

При чём тут ява?

При том, что про яву пишут, как про идеал безопасности. А на деле приложения на яве хер работают.

andreyu ★★★★★
()
Ответ на: комментарий от andreyu

Ява - это язык программирования.

Верно.

Написан явно не на себе самом.

Официальная спецификация написана на английском. Реализаций есть наверное несколько десятков. Естественно в том числе есть и на себе самой.

Если речь про самую популярную реализацию Oracle JDK – стандартная библиотека написана практически полностью на Java. Компилятор написан на Java. Среды выполнения есть разные под разные платформы. Sun-овский JVM был написан на C. Oracle HotSpot на C++. IBM J9 на C++. Есть маргинальные реализации, написанные на Java, лиспе, джаваскрипте и других языках.

Следовательно он сливает тому языку, который использовался для его написания.

Не следовательно. У вас сломалась логика, по которой все языки сливают машинному коду, в то время как верно обратное.

Legioner ★★★★★
()
Ответ на: комментарий от andreyu

При том, что про яву пишут, как про идеал безопасности. А на деле приложения на яве хер работают.

Ты хоть осознаёшь, что твои HTTP-запросы на linux.org.ru обрабатывает приложение на яве, которое работает 24/7/365? И с сегфолтами и переполнениями буфера не падает, подтверждая идеал безопасности.

Идеалом безопасности Java не является. Но это гигантский шаг вперёд в сравнение с C/C++.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Legioner

При чем тут все языки? Вопрос стоял так - «А есть ли хоть одно ПО сравнимое по юзербазе с java». Ваша логика сможет осилить такой вопрос?

andreyu ★★★★★
()
Ответ на: комментарий от Legioner

Ты хоть осознаёшь, что твои HTTP-запросы на linux.org.ru

Да.

обрабатывает приложение на яве, которое работает 24/7/365?

Вот только не нужно про 24/7/365.

И с сегфолтами и переполнениями буфера не падает, подтверждая идеал безопасности.

О да, не падает. Не знал, что школьникам в этой четверти вместо оценок траву выдали.

Идеалом безопасности Java не является. Но это гигантский шаг вперёд в сравнение с C/C++.

Да, гигантское потребление памяти и огромные тормоза ява-приложений я уже видел.

andreyu ★★★★★
()
Ответ на: комментарий от f1xmAn

Незагруженные вкладки всё равно жрут память (около 200 КБ на вкладку), в сумме довольно ощутимо выходит. Кроме того, они увеличивают время запуска и вообще лишних тормозов добавляют.

MiniRoboDancer ★☆
()
Ответ на: комментарий от Dmitry_Sokolowsky

У меня сейчас 375. И не спрашивайте, как я до такой жизни докатился, не успеваю разгребать.

MiniRoboDancer ★☆
()

Браузер реализован на языке Java, что, по мнению разработчиков, выгодно отличает его

Интересно, с какими мыслями автор это писал?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.