История изменений
Исправление
Legioner,
(текущая версия)
:
Правильно ли я понимаю, что сокеты в джаве небезопасные, а если их добавить в браузер – будут безопасные?
Правильно.
В чем разница-то? Почему в браузере софт безопасный, а в джаве нет? Из-за запростов на каждый чих?
Да.
Ну так кто мешает в джаву добавить?
Очень странное предложение. Ну добавь. Проблема не в запросах, а в том, что веб-приложения запускать проще, чем локальные. Чтобы мне установить локальное приложение, мне нужно потратить очень много времени. Чтобы открыть сайт, нужно потратить несколько секунд. Каким макаром тебе тут жава поможет? У жавы был шанс запрыгнуть на этот поезд с апплетами, но она его эпично профукала, апплеты уже давно канули в лету. Если возродишь их, засунешь во все браузеры по дефолту, чтобы у 99% юзеров они стояли и работали, можно тогда и рассматривать жаву, как альтернативу. Пока - это такая же альтернатива, как C.
У меня ощущение, что ты реальность под свою теорию подгоняешь. Я десятки минут я тебе не то что джаву + приложение установлю, а еще и ОС + дрова успею установить. Точно так же кликнул мышкой по файлику – он скачался и открылся, если хочешь даже в окне твоего любого браузера, вообще не вижу проблем, кроме безопасности, это практически разрешение кому угодно выполнять свой код на моей машине.
Ну вот ты сам и сказал, в чём дело. Если я хочу установить приложение, то я сначала создаю новую виртуалку, устанавливаю его там, исследую его зависимости, исследую приложение, смотрю tcpdump-ом на трафик из виртуалки. Это несколько дней минимум. Есть некоторые категории софта, которым я доверяю, но их не так много. И без веб-приложений было бы сложно.
Так вот если эти же возможности (доступ к системным вызовам ОС) дать JS-у из интернета, пусть даже с запросами разрешения на каждый чих, это ничем не лучше выполнения всех экзешников из интернета, скачанных по клику
При чём тут доступ к системным вызовам ОС? Я говорю конкретно про сокеты. И нет, ты не прав. С нужными запросами разрешений это лучше, чем выполнение экзешников из интернета.
Единственная опасность для безопасности тут исключительно во внутренних ресурсах, которые зачем-то доверяют всем запросам от кого попало. Вообще это дыра сама по себе и нормальные люди так не делают. Но если уж хочется лечить буратин, то ничего не мешает делать запросы на соединение с внутренними адресами ещё страшней. По сути лично мне этот юз-кейс не интересен. Мне интересны веб-приложения, которые могут ходить по произвольным портам на публичные адреса. Чтобы я банально мог зайти на https://super-mail-client.com/ вбить там адрес моего IMAP-сервера и пользоваться веб-интерфейсом. Хотя допускаю, что кому-то могут быть интересны и внутренние адреса, поэтому это я бы тоже не стал отбрасывать.
Про DDOS говорить не надо. Я ещё раз скажу, что <img src="https://siteunderattack.com:22/">
работает уже 30 лет и будет работать ещё 30 лет.
Исправление
Legioner,
:
Правильно ли я понимаю, что сокеты в джаве небезопасные, а если их добавить в браузер – будут безопасные?
Правильно.
В чем разница-то? Почему в браузере софт безопасный, а в джаве нет? Из-за запростов на каждый чих?
Да.
Ну так кто мешает в джаву добавить?
Очень странное предложение. Ну добавь. Проблема не в запросах, а в том, что веб-приложения запускать проще, чем локальные. Чтобы мне установить локальное приложение, мне нужно потратить очень много времени. Чтобы открыть сайт, нужно потратить несколько секунд. Каким макаром тебе тут жава поможет? У жавы был шанс запрыгнуть на этот поезд с апплетами, но она его эпично профукала, апплеты уже давно канули в лету. Если возродишь их, засунешь во все браузеры по дефолту, чтобы у 99% юзеров они стояли и работали, можно тогда и рассматривать жаву, как альтернативу. Пока - это такая же альтернатива, как C.
У меня ощущение, что ты реальность под свою теорию подгоняешь. Я десятки минут я тебе не то что джаву + приложение установлю, а еще и ОС + дрова успею установить. Точно так же кликнул мышкой по файлику – он скачался и открылся, если хочешь даже в окне твоего любого браузера, вообще не вижу проблем, кроме безопасности, это практически разрешение кому угодно выполнять свой код на моей машине.
Ну вот ты сам и сказал, в чём дело. Если я хочу установить приложение, то я сначала создаю новую виртуалку, устанавливаю его там, исследую его зависимости, исследую приложение, смотрю tcpdump-ом на трафик из виртуалки. Это несколько дней минимум. Есть некоторые категории софта, которым я доверяю, но их не так много. И без веб-приложений было бы сложно.
Так вот если эти же возможности (доступ к системным вызовам ОС) дать JS-у из интернета, пусть даже с запросами разрешения на каждый чих, это ничем не лучше выполнения всех экзешников из интернета, скачанных по клику
При чём тут доступ к системным вызовам ОС? Я говорю конкретно про сокеты. И нет, ты не прав. С нужными запросами разрешений это лучше, чем выполнение экзешников из интернета.
Единственная опасность для безопасности тут исключительно во внутренних ресурсах, которые зачем-то доверяют всем запросам от кого попало. Вообще это дыра сама по себе и нормальные люди так не делают. Но если уж хочется лечить буратин, то ничего не мешает делать запросы на соединение с внутренними адресами ещё страшней. По сути лично мне этот юз-кейс не интересен. Мне интересны веб-приложения, которые могут ходить по произвольным портам на публичные адреса. Чтобы я банально мог зайти на https://super-mail-client.com/ вбить там адрес моего IMAP-сервера и пользоваться веб-интерфейсом. Хотя допускаю, что кому-то могут быть интересны и внутренние адреса, поэтому это я бы тоже не стал отбрасывать.
Про DDOS говорить не надо. Я ещё раз скажу, что ` работает уже 30 лет и будет работать ещё 30 лет.
Исходная версия
Legioner,
:
Правильно ли я понимаю, что сокеты в джаве небезопасные, а если их добавить в браузер – будут безопасные?
Правильно.
В чем разница-то? Почему в браузере софт безопасный, а в джаве нет? Из-за запростов на каждый чих?
Да.
Ну так кто мешает в джаву добавить?
Очень странное предложение. Ну добавь. Проблема не в запросах, а в том, что веб-приложения запускать проще, чем локальные. Чтобы мне установить локальное приложение, мне нужно потратить очень много времени. Чтобы открыть сайт, нужно потратить несколько секунд. Каким макаром тебе тут жава поможет? У жавы был шанс запрыгнуть на этот поезд с апплетами, но она его эпично профукала, апплеты уже давно канули в лету. Если возродишь их, засунешь во все браузеры по дефолту, чтобы у 99% юзеров они стояли и работали, можно тогда и рассматривать жаву, как альтернативу. Пока - это такая же альтернатива, как C.
У меня ощущение, что ты реальность под свою теорию подгоняешь. Я десятки минут я тебе не то что джаву + приложение установлю, а еще и ОС + дрова успею установить. Точно так же кликнул мышкой по файлику – он скачался и открылся, если хочешь даже в окне твоего любого браузера, вообще не вижу проблем, кроме безопасности, это практически разрешение кому угодно выполнять свой код на моей машине.
Ну вот ты сам и сказал, в чём дело. Если я хочу установить приложение, то я сначала создаю новую виртуалку, устанавливаю его там, исследую его зависимости, исследую приложение, смотрю tcpdump-ом на трафик из виртуалки. Это несколько дней минимум. Есть некоторые категории софта, которым я доверяю, но их не так много. И без веб-приложений было бы сложно.
Так вот если эти же возможности (доступ к системным вызовам ОС) дать JS-у из интернета, пусть даже с запросами разрешения на каждый чих, это ничем не лучше выполнения всех экзешников из интернета, скачанных по клику
При чём тут доступ к системным вызовам ОС? Я говорю конкретно про сокеты. И нет, ты не прав. С нужными запросами разрешений это лучше, чем выполнение экзешников из интернета.
Единственная опасность для безопасности тут исключительно во внутренних ресурсах, которые зачем-то доверяют всем запросам от кого попало. Вообще это дыра сама по себе и нормальные люди так не делают. Но если уж хочется лечить буратин, то ничего не мешает делать запросы на соединение с внутренними адресами ещё страшней. По сути лично мне этот юз-кейс не интересен. Мне интересны веб-приложения, которые могут ходить по произвольным портам на публичные адреса. Чтобы я банально мог зайти на https://super-mail-client.com/ вбить там адрес моего IMAP-сервера и пользоваться веб-интерфейсом. Хотя допускаю, что кому-то могут быть интересны и внутренние адреса, поэтому это я бы тоже не стал отбрасывать.