Вышла первая публичная версия браузера Gngr, написанного на Java

Only ginger can call ginger a ginger https://www.youtube.com/watch?v=KVN_0qvuhhw

Как раз теперь будет проще объяснить тормоза браузера - «это не в коде проблемы, это просто Java тормозит» :-)

А вообще идея интересная, посмотрим как оно пойдет

На терабайте оперативной памяти - летать будет, я уверен. Это ж энтерпрайз-язык, а не какие-то студенческие поделки на б-гомерзком C++

// тег сарказм отклеился, но я думаю и так всё понятно

Через 100 лет ты откажешься от своих слов ^_^

Я думаю большинству здесь присутствующих будет откровенно пофиг, что произойдет с индустрией через 100 лет, по причине того, что из могилы как-то всё пофиг.

Джава и безопасность — взаимоисключающие параграфы. Одно время мне надоедало из-за неё вычищать мокрые письки и винлокеры с экранов юзверей. Зато выработал правило: если не хочешь, чтобы юзвери мучали тебя своими винлокерами — отрубай в их браузере Java, желательно вырезая её вместе с корнями

Ты с JS не попутал?

Нет, не попутал. Причём тут вообще Js, когда разговор про Java: http://www.opennet.ru/opennews/art.shtml?num=33521

Java в браузере до сих пор такой уязвимый шлак, что все адекватные браузеры делают «click-to-play» на её апплетах.

Я смело взлольнул.

И в чем уязвимость java? В том, что пользователи не обновляют ПО? С такой логикой как ты вообще живешь?

С тем что там CVE на CVE и CVE погоняет. И это несмотря на ежемесячные обновления, которые пачку новых CVE приносят. Особенно в 2011-2012 годах было весело, когда даже несмотря на последние версии Java юзеры всё равно ловили винлокеры через дырки именно в этих апплетах. Выключаешь/удаляешь юзверям Java и они больше не мучают тебе мозг. В конце концов всем надоела эта уязвимая хренотень и разработчики браузеров таки впилили click-to-play на вечно уязвимые апплеты. Увы, «особо прошаренных» юзеров, которые не читают того, что им пишут, даже click-to-play не спасает.

Именно поэтому в этой новости речь о безопасности в контексте Java выглядит просто смешно.

Неа, походу полностью своя реализация всего и вся.

Тогда проект очень интересный. Не как standalone браузер, но как реализация движка, что есть достаточно сложная задача.

Смотри, не умри от смеха. В любом продукте есть уязвимости. Приведи пример ПО с пользовательской базой java без уязвимостей.

Выключаешь/удаляешь юзверям Java и они больше не мучают тебе мозг

лол. Сначала ставишь ненужную хрень, потом удаляешь ненужную хрень. А зачем ставил-то?)

В конце концов всем надоела эта уязвимая хренотень и разработчики браузеров таки впилили click-to-play на вечно уязвимые апплеты.

Где они уязвимые-то? Пруфы будут или просто балабол?

Ты попутал. Java в апплетах исполняет произвольный код, получаемый из недоверенных источников. Браузер на Java НЕ исполняет произвольный код, полученный из недоверенных источников.

Все CVE, про которые ты пишешь, это уязвимости песочницы Java. В браузере, написанном на Java нет места песочнице, пока он не начнёт поддерживать Java-апплеты (а он не начнёт, потому что это никому не нужно). Поэтому все уязвимости песочницы на него никак не влияют. Так же, как они не влияют на серверный движок LOR-а, который тоже написан на Java.

Поэтому браузер на Java будет весьма безопасен и, вероятно, безопасней других браузеров.

Другой вопрос, что современные браузеры в принципе достаточно защищены и дополнительная безопасность им не особо нужна.

Сам удивился, что не тормозит.

да на самом деле ничего удивительного, вот впилят носорога и печеньки, тогда посмотрим. Не удивлюсь если будет работать лучше конкверора

лол. Сначала ставишь ненужную хрень, потом удаляешь ненужную хрень. А зачем ставил-то?)

С чего ты взял, что я им ставил эту пакость? Они сами себе и поставили. Я лишь только удалял/отключал.

Где они уязвимые-то? Пруфы будут или просто балабол?

В гугле «Firefox уязвимость Java» для больше шарма можешь ещё и «0day» добавить и читай свои пруфы на здоровье. Если бы они не были так уязвимы, то Firefox и Chrome не поставил бы на них click-to-play, а оставил бы всё как было раньше: то есть без всяких «Нажмите, чтобы запустить апплет». Апплеты запускались бы без подтверждения, как сейчас Adobe Flash.

С чего ты взял, что я им ставил эту пакость? Они сами себе и поставили. Я лишь только удалял/отключал.

facepalm.jpg Любому дураку понятно, что виноваты java и путин

В гугле «Firefox уязвимость Java» для больше шарма можешь ещё и «0day» добавить и читай свои пруфы на здоровье. Если бы они не были так уязвимы, то Firefox и Chrome не поставил бы на них click-to-play, а оставил бы всё как было раньше: то есть без всяких «Нажмите, чтобы запустить апплет». Апплеты запускались бы без подтверждения, как сейчас Adobe Flash.

все с тобой ясно, балаболка

поддерживать Java-апплеты (а он не начнёт, потому что это никому не нужно)

Почему ты так думаешь? Что мешает им запилить подобное? Мне кажется, если он будет активно развиваться, то рано или поздно получит такую возможность.

Любому дураку понятно, что виноваты java и путин

Обосрался? Скати всё в нацпол!

Короче, иди своей дорогой, сталкер.

Не хило у хейтера-балаболки бомбануло. Лучше научись доказывать свои слова и не говорить о том, в чем не разбираешься. Тогда и сливаться перестанешь.

Джинджер.

https://forum.mozilla-russia.org/viewtopic.php?id=57676

http://www.zdnet.com/article/homeland-security-warns-to-disable-java-amid-zer...

http://www.cyberforum.ru/security/thread643445.html

http://sysadmins.ru/topic370886.html

http://www.paritynews.com/2013/01/11/562/apple-blocks-vulnerable-java-7-plug-in/

Бомбануло тут только у тебя, раз ты не смог по первым ссылкам в гугле пробежаться.

поддерживать Java-апплеты (а он не начнёт, потому что это никому не нужно)

Почему ты так думаешь?

Потому что они в публичном интернете не используются нигде. Нет для них задач. Единственная задача, для которой сейчас нужны Java-апплеты – взаимодействие с криптографическим оборудованием (криптотокены), но эти устройства используются на всяких банковских сайтах, которые к публичным отнести нельзя. Да и развиваются JS-апи, которые в будущем, скорее всего, вытеснят апплеты.

Что мешает им запилить подобное? Мне кажется, если он будет активно развиваться, то рано или поздно получит такую возможность.

Ну как получит, так станет уязвимым наравне с остальными браузерами. Но, мне так думается, что быстрее JS-апи разовьётся :)

На самом деле вектор атаки на песочницу есть. Если они поддерживают JavaScript, значит они захотят поддерживать его эффективно. Интерпретируемый JavaScript, как в Internet Explorer 6, сейчас на многих сайтах будет тормозить. А эффективно JavaScript исполнять можно только компилируя его в Java Bytecode. Собственно тут и возможны векторы атаки, хотя и куда более сложные, надо не только поломать песочницу, но ещё и умудриться подсунуть такой JavaScript, который будет транслироваться в нужный для атаки байткод.

По хорошему нужны 2 режима. Безопасный движок и потенциально опасный производительный движок. Безопасный движок работает по умолчанию, производительный движок работает на сайтах из белого списка. Тогда злоумышленнику надо помимо поиска уязвимости ещё и подсунуть свой код на белый сайт. Это дополнительная планка. Хотя неуловимому Джо она не нужна.

Потому что они в публичном интернете не используются нигде. Нет для них задач. Единственная задача, для которой сейчас нужны Java-апплеты – взаимодействие с криптографическим оборудованием (криптотокены), но эти устройства используются на всяких банковских сайтах, которые к публичным отнести нельзя.

Я встречал апплеты на сайте Intel'а, вот пруф. Там через них определяли железо и выдавали необходимые драйвера. Сейчас кажется они слезли с этой иглы.

Кстати, некоторые юзеры после того, как зашли на сайт Intel'а и скачали драйвера, включали в браузере незамедлительный запуск любых апплетов, что печально сказывалось на их безопасности. Лечил подобный случай.

Ага, щас, вот из последнего.

На терабайте оперативной памяти - летать будет, я уверен. Это ж энтерпрайз-язык, а не какие-то студенческие поделки на б-гомерзком C++

Открыл Лису и его (с одной вкладкой): Лиса — 352M, у него — 217M.

Уязвимости в жабе публикуются пачками и исправляютс по пол-года.
Ну, это касаемо оракуля. Или они его будт на какой-то принципиально другой жабе пускать?

Бомбануло тут только у тебя, раз ты не смог по первым ссылкам в гугле пробежаться.

Поиск доказательства глупостей ложится на ляпнувшего глупость. Так вообще-то везде принято.

Т.е. ты серьезно для доказательства «вечно уязвимой java» кидаешь пруф на 1 (прописью - один) 0-day 2013 года (сейчас 2014 кончается, на секундочку), который был закрыт через 2 дня после обнаружения и которому была подвержена только Java7 ? А есть ли хоть одно ПО сравнимое по юзербазе с java, в котором бы не было уязвимостей?

Лицо уже фейспалмом разбил.

современные браузеры в принципе достаточно защищены и дополнительная безопасность им не особо нужна

https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/

Критические уязвимости, стабильно, каждый релиз.

Причем это только паблик.

день смищных шуток на лоре.
что, все забыли оперу мини, написанную под J2ME?

А где ты там браузер увидел? Это просто просмотрщик интерактивных картинок, которые рендерит серверный Presto. Об этом сам официальный представитель Opera (pepelspbey) говорил.

И кстати говоря, в первых версиях оперы мини (середина двухтысячных) был интересный баг: если админ форума юзает оперу мини и забывает разлогиниться с форума после выхода, то ты (тоже используя оперу) заходишь на форум с его учётки с сохранением всех прав.

Как собрать-то его?

Охх надо заюзать)

Ага, щас, вот из последнего.

Потенциально может привести. А может не привести. А ещё браузерные процессы обычно пускаются в специальной песочнице, которую тоже надо обойти, чтобы напакостить.

Но пример хороший, показательный, да.

Какая-то у тебя неправильная лиса. У меня так:

http://i.imgur.com/3ewtBvb.png

Через jconsole попробуй посмотреть Java-овский процесс, там будет лучше видно потребление.

Через jconsole попробуй посмотреть Java-овский процесс, там будет лучше видно потребление.

exl@exl-Lenovo-G560e:~/Downloads$ java -jar gngr-v0-0-0.jar

Exception: java.lang.OutOfMemoryError thrown from the UncaughtExceptionHandler in thread "Image Animator 0"

Exception: java.lang.OutOfMemoryError thrown from the UncaughtExceptionHandler in thread "CacheManager"
Killed

Поздно, я окткрыл пару страничек, а оно съело всю память, загрузило проц на 90% и упало с ООМ. Я так и не понял, почему GC не работает?

http://i.imgur.com/Mk6fNxV.png

Ява:

exl@exl-Lenovo-G560e:~/Downloads$ java -version
java version "1.8.0_25"
Java(TM) SE Runtime Environment (build 1.8.0_25-b17)
Java HotSpot(TM) 64-Bit Server VM (build 25.25-b02, mixed mode)

Видимо память где то подтекает или просто в каких то местах неоптимально написано и жрёт много памяти. Это же ранняя альфа, не стоит от неё слишком много ожидать. GC не может не работать, но он не волшебник, если приложение держит ссылки на объекты, он не может быть удалён.

Когда производители железа делают его еще быстрее, что бы текущие приложения не тормозили, то появляется очередной разработчик, ставящий и самое современное железо на колени. И все это под лозунгом - для лучшей безопасности. Но где на самом деле эта безопасность многие хорошо знают.

А есть ли хоть одно ПО сравнимое по юзербазе с java, в котором бы не было уязвимостей?

Ява - это язык программирования. Написан явно не на себе самом. Следовательно он сливает тому языку, который использовался для его написания.

Но вы продолжайте использовать яву, кто вам запрещает?

Видимо память где то подтекает или просто в каких то местах неоптимально написано и жрёт много памяти. Это же ранняя альфа, не стоит от неё слишком много ожидать. GC не может не работать, но он не волшебник, если приложение держит ссылки на объекты, он не может быть удалён.

В этом вся безопасность и энтерпрайзность явы и прочего говна.

При чём тут ява? Сожрала бы поделка на плюсах всю память, засунула систему в своп, ООМ киллер бы её прибил (по пути прибив ещё пару подвернувшихся под руку процессов). Это лучше что ли?

При чём тут ява?

При том, что про яву пишут, как про идеал безопасности. А на деле приложения на яве хер работают.

Ява - это язык программирования.

Верно.

Написан явно не на себе самом.

Официальная спецификация написана на английском. Реализаций есть наверное несколько десятков. Естественно в том числе есть и на себе самой.

Если речь про самую популярную реализацию Oracle JDK – стандартная библиотека написана практически полностью на Java. Компилятор написан на Java. Среды выполнения есть разные под разные платформы. Sun-овский JVM был написан на C. Oracle HotSpot на C++. IBM J9 на C++. Есть маргинальные реализации, написанные на Java, лиспе, джаваскрипте и других языках.

Следовательно он сливает тому языку, который использовался для его написания.

Не следовательно. У вас сломалась логика, по которой все языки сливают машинному коду, в то время как верно обратное.

При том, что про яву пишут, как про идеал безопасности. А на деле приложения на яве хер работают.

Ты хоть осознаёшь, что твои HTTP-запросы на linux.org.ru обрабатывает приложение на яве, которое работает 24/7/365? И с сегфолтами и переполнениями буфера не падает, подтверждая идеал безопасности.

Идеалом безопасности Java не является. Но это гигантский шаг вперёд в сравнение с C/C++.

При чем тут все языки? Вопрос стоял так - «А есть ли хоть одно ПО сравнимое по юзербазе с java». Ваша логика сможет осилить такой вопрос?

Ты хоть осознаёшь, что твои HTTP-запросы на linux.org.ru

Да.

обрабатывает приложение на яве, которое работает 24/7/365?

Вот только не нужно про 24/7/365.

И с сегфолтами и переполнениями буфера не падает, подтверждая идеал безопасности.

О да, не падает. Не знал, что школьникам в этой четверти вместо оценок траву выдали.

Идеалом безопасности Java не является. Но это гигантский шаг вперёд в сравнение с C/C++.

Да, гигантское потребление памяти и огромные тормоза ява-приложений я уже видел.

Зачем нужны еноты, если есть ноты?

Незагруженные вкладки всё равно жрут память (около 200 КБ на вкладку), в сумме довольно ощутимо выходит. Кроме того, они увеличивают время запуска и вообще лишних тормозов добавляют.

А кто их заменит?

У меня сейчас 375. И не спрашивайте, как я до такой жизни докатился, не успеваю разгребать.

Браузер реализован на языке Java, что, по мнению разработчиков, выгодно отличает его

Интересно, с какими мыслями автор это писал?