Кто первым скажет "решето"? :)

Решето.

Р.Е.Ш.Е.Т.О.

>Дуршлаг.

Fixed :}

Решето.

PS второй нах

как надоело уже...

В опере столько дыр что их уже всем надоело считать.

а как эксплоит запустить?

>использовать дополнение NoScript

дык практически с самого появления используем.

Как запустить.

>а как эксплоит запустить?

./configure && make && make install# Не?

Для гармонии требуются эксплойты для моей оперы, а то так не интересно.

> пользователям традиционно рекомендуется ... использовать дополнение NoScript, отключающее исполнение JS-кода на сайтах

Тэ-э-экс... С JavaScript'ом разобрались. На очереди исключение поддержки HTML?

Сначала картинок, а потом CSS. В конце уже можно и HTML =)

Рещето!

> потом CSS

Реквестирую появление расширения NoStyle. Кто возьмётся за написание?

Ситечко!!!

>Реквестирую появление расширения NoStyle. Кто возьмётся за написание?
В "web developer" уже есть: http://img208.imageshack.us/img208/7057/nocss.png

> уже есть

Отличненько!.. Ну а с NoHypertext я уж сам как-нибудь...

[code] pkg_deinstall firefox3 [/code]

>Р.Е.Ш.Е.Т.О.

C./.+.+.

> а как эксплоит запустить?

wget http://downloads.securityfocus.com/vulnerabilities/exploits/35707.html

sed -i 's/&lt;/</g;s/&gt;/>/g;s/&quot;/"/g' 35707.html

firefox file:///`pwd`/35707.html

BTW:
Mozilla/5.0 (X11; U; Linux x86_64; ru; rv:1.9.1) Gecko/20090630 Fedora/3.5-1.fc11 Firefox/3.5 после нескольких минут "тупняка" сказал, что, мол, прервать выполнение скрипта, или нет? А Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.8.1.22) Gecko/20090710 Fedora/1.1.17-1.fc11 SeaMonkey/1.1.17 после, опять-таки, нескольких минут "тупняка" вывел во вскладку с эксплойтом кучу иероглифов, после чего я эту вкладку закрыл

бугагага, ржали над количеством уязвимостей в Хроме, а FF 3.5 все продолжает веселить. РЕШЕТО!!!11

firefox-3.5-1.fc11.i586

$ firefox file:///`pwd`/35707.html

GLib-ERROR **: gmem.c:175: failed to allocate 1342177280 bytes aborting...

/usr/lib/firefox-3.5/run-mozilla.sh: line 131: 4466 Аварийный останов "$prog" ${1+"$@"}

Очередной не рабочий эксплойт, пора бы уже допилить.

решето. пусть закрывают проект, наигрались уже все.

спокойно, ошибки, это нормально. главное, чтобы исправили быстро

>> Р.Е.Ш.Е.Т.О.

> C./.+.+.

V.8. Ты бы его на Яве написал? :D

>V.8. Ты бы его на Яве написал? :D

Не.

Выхода нет - решето... И не надо про NoScript, я специально на сайты хожу чтоб их прокручивать.

>> V.8. Ты бы его на Яве написал? :D

> Не.

Вот и не надо на Си++ гнать. Там он по-любому на своем месте.

>Вот и не надо на Си++ гнать.

Это чего это? Если после съедания чего-то начинается изжога - эта характеристика безотносительна доступности других продуктов. Он там относительно на своем месте. Было бы его там меньше - изжоги было бы меньше.

lenny
остаюсь на 3.0.6

> Он там относительно на своем месте.

Абсолютно.

> Было бы его там меньше - изжоги было бы меньше.

Обе уязвимости - в JS. Это значит - V8. Написать V8 можно было только на Си++. Так что либо изжога, либо голодная смерть.

А на чём же тогда его писать?

>Обе уязвимости - в JS. Это значит - V8.

SpiderMonkey.

>Написать V8 можно было только на Си++.

Допустим - ocaml. Почему нет кроме того что мозилла очень консервативная контора?

на моно же

>> Обе уязвимости - в JS. Это значит - V8.

> SpiderMonkey.

TraceMonkey, но название не меняет сути.

>>Написать V8 можно было только на Си++.

>Допустим - ocaml. Почему нет кроме того что мозилла очень консервативная контора?

Потому что тогда пришлось бы таскать вместе с исходниками мозиллы компилятор Окамля (по отзывам, версии Окамля местами несовместимы сами с собой), потому что затруднилась бы отладка, взаимодействие с уже существующим Си++ кодом и ХЗ что еще.

Это уже не говоря о том, что неизвестно, сколько там багов в рантайме Окамля ждут обнаружения в процессе широкого тестирования.

А если проблема вызывается багом в _генерируемом_ коде, то тут на чем не пиши JIT - всё без разницы %)

>Потому что тогда пришлось бы таскать вместе с исходниками мозиллы компилятор Окамля

фигня.

> потому что затруднилась бы отладка, взаимодействие с уже существующим Си++ кодом и ХЗ что еще.

Ну я и говорю. Консерватизм и легаси. Что имеем на сегодняшний день - c++ с его генетиескими болезнями и JVM/CLR которые являются оверкилом. Языки и vm из середины - неспонсируемые никем проекты живущие за счет энтузиастов.

В результате в 21 веке имеем все те же overflow эксплоиты в строках, потому что среди популярного индастриала с одной стороны квазимодо которому нельзя давать размножаться, и живет потому что ни у кого не хватает смелости и денег чтобы уже его удавить, с другой сильно "высокоуровневые" языки которые для системных задач не подходят.

Саундс лайк деградация развития. Старое как священная корова - такое большое и хоть как то работает - не трогай. Новое - попытка запихнуть эту корову так далеко чтобы про нее совсем не думать - в результате - питон перл жаба шарп.

Дык это ж хорошо. Если много дыр обнаруживается, это не значит, что всё так плохо, и их много, это значит, что хорошо работают.

А дыры - они везде есть, вот только не везде одинаково быстро закрываются, и одинаково хорошо.

>>Потому что тогда пришлось бы таскать вместе с исходниками мозиллы компилятор Окамля

>фигня.

Ну тебе виднее. Ты же на Окамле пишешь, не на Яве :D

> Консерватизм и легаси

Real World (r) (tm)

> Что имеем на сегодняшний день - c++ с его генетиескими болезнями и JVM/CLR которые являются оверкилом. Языки и vm из середины - неспонсируемые никем проекты живущие за счет энтузиастов.

Ну блин, а что делать? Ява с Шарпом появились раньше LLVM, да и непонятно, станет ли LLVM "общим знаменателем" среди бэкендов.

Моя паранойя так и видит команду хацкеров гугля, которые ищут и публикуют очередную уязвимость аккурат после каждого релиза файрфокса, чтобы не слишком красиво потом намекнуть на самый безопасный, глобальный и надёжный.

>Real World (r) (tm)

Реалворлд был и 20 лет назад. Вот поглянь: http://www.levenez.com/lang/

Посмотри как график из мегшанины рожающей всякую новую фигню превратился в вытянутые линейки тянущиеся к текущему времени часто с 70х.

Грусна это все. На самом деле получается что из корпораций только микрософт и занимается еще какими то достаточно фундаментальными разработками в єтой области. И даже поддерживаемый новелом моно огого каким шагом выглядит.

> А дыры - они везде есть, вот только не везде одинаково быстро закрываются, и одинаково хорошо.

А! Понял! В Mozilla есть две группы программистов. Одна группа занимается написанием кода в рекордно короткие сроки, а вторая просматривает, что же этот код делает.
Представители этих групп живут на разных континентах, в целях безопасности. Причем представители второй группы - не являются носителями C++

3.5 у них вообще говно какое то получилось. У меня на некоторых сайтах, переполненных JS виснет адово. Да и просто падает довольно часто

>Моя паранойя так и видит команду хацкеров гугля, которые ищут и публикуют очередную уязвимость аккурат после каждого релиза файрфокса, чтобы не слишком красиво потом намекнуть на самый безопасный, глобальный и надёжный.

Моя паранойя так и видит команду мозилловцев, загоняющих на рынке 0-day сплойты на следующий день после релиза...

Простите, если кого задел, но реально достало.

> Посмотри как график из мегшанины рожающей всякую новую фигню превратился в вытянутые линейки тянущиеся к текущему времени часто с 70х.

Не понял. Сейчас не новые языки нужны (их и так дофига), а "родная" платформа вроде LLVM, совместимая с уже существующей (и скомпилированной) кодовой базой на Си/Си++.

И даже в этой платформе нет настоятельной необходимости - nobody cares, всех устраивает Ява.

> получается что из корпораций только микрософт и занимается еще какими то достаточно фундаментальными разработками в єтой области

А толку? Всё мало-мальски интересное они запихивают в C#, который скоро станет PL/I, Ada и Си++ в одном лице.

> Моя паранойя так и видит команду мозилловцев, загоняющих на рынке 0-day сплойты на следующий день после релиза...

ввиду того, что продукт свободный (?), то эксплойты приходится отдавать под public domain вместо продажи. да уж, на опенсорц не заработаешь

>ввиду того, что продукт свободный (?), то эксплойты приходится отдавать под public domain вместо продажи. да уж, на опенсорц не заработаешь

Аудит кода сообществом занимает вполне существенное время. В это время можно спокойно торговать сплойтами. А через месяц-два идут волны новостей - "Критическая уязвимость в фф!" - это уже опенсорц сказывается.

>Не понял.

Область из разработок перешла в доделки.

>И даже в этой платформе нет настоятельной необходимости - nobody cares, всех устраивает Ява.

Культура бизнеса в техноориентированной сфере превратилась больше из базирующейся на разработках в базирующуюся на продажах. Вероятно это не только здесь - просто зависимость бизнеса из базирующейся на технологическом (качественном) превосходстве сместилась на медийное превосходство и манипулирование экономикой. Продается не передовой или кчественный продукт, а тот в который вбухано больше денег в медиараскрутку/продвинут на рынок антиконкурентными методами. На примере той же недвижимости - цены возросли астрономически по сравнению с качеством предоставляемых услуг. Колбаса за тридцать лет потеряла мясо, за счет чего не уменьшилась в цене, а выросла - что такое - коровы плодиться хуже стали?

Народ хавает платиковую кашу, "нерынок" защищает производителей платиковой каши. Большой промышленник так сросся с правительством повсеместно - что его цель даже не доминирование его продукта на рынке, а доминирование его говна на рынке, для чего все средства хороши. То есть вместо исследований или модернизации производства с целью получить прейсущество на рынке за счет качественного превосходства деньги вкладываются в избирательные компании, чтобы получить деньги за счет контроля рынка.

Это все - в тотально планетарном масштабе.

>А толку? Всё мало-мальски интересное они запихивают в C#, который скоро станет PL/I, Ada и Си++ в одном лице.

Вот именно. То есть для разработчиков языко наличие платформы вроде как плюс - не надо порить мохгхотя бы бэкэндом. С другой стороны бэкэнд такой неприсопсобленный что все что делается нового - вроде скалы тут же наследует скрытое генетическое уродство бэкэнда.

>Реквестирую появление расширения NoStyle.

это типа оперовского UserCSS?