Подскажите CMSку моей мечты

Не монетизируется, не нужно.

Вот и хорошо. Мне тоже не нужно, чтобы монетизаторы своими погаными ручёнками трогали мою светлую мысль.

Lock? То есть, если я на вашем 2форуме" нажму отправить сообщение одновременно с кем то еще, есть шанс, что вместо этого я получу сообщение об ошибке? А памятуя о том, что вы противник AJAX, то это еще и сопроводится перезагрузкой страницы с потерей введенного текста. Очешуительное юзабилити, чо.

Не пойми меня неправильно, мне нравится сама идея, ведь засилье javascript везде не в последнюю очередь из за отсутствия простого способа выражать сложные действия, типа анимаций или логики заполнения полей, а уже к этому прицепилась реклама, а теперь без возможности встроить рекламу будет сложно протолкнуть твою схему.

А и не нужно «проталкивать». Эта схема для конечных пользователей, ею (если удастся таки её разработать) будут пользоваться те, кому она нужна. Для начала, я сам. А рекламщикам мы вообще ничего не скажем.

Так же, как, например, я пользуюсь mps-youtube для взаимодействием с контентом ютуба. Никто его (mps-youtube) никуда не «проталкивал». Те кому удобно, берут и пользуются.

Что случится в описываемом вами случае зависит от разрабoтчика. Захочет - будет выводить ошибку, а пожелает по другому - просто повторит процедуру записи заново.

Вот только рассуждения топикстартера о том, что чтение и запись файла производятся в разных сессиях, т.к. одну сессию долго держать не хочется, навевает уныние.

Я думаю, следует остановится на том, что данный аргумент бессмысленен просто в силу того, что в современных браузерах жс не виснет и «сильно долго» не работает - любой долго работающий скрипт браузер предлагает остановить. И даже если не так - систему он все равно не повесит и даже не сможет сколько-нибудь существенно снизить ее отзывчивость.

а вот это не правда. я с этим сталкиваюсь каждый день много-много раз. стоит только зайти на заваленный кривым js сайт и походить там по страничкам. на каждой, повторюсь - каждой странице вылетает окошко с предложением остановить скрипт, при этом естественно это происходит по прошествию некоторого не нулевого времени, в течение которого пользоваться компьютером невозможно, ибо браузер съедает 100% процессора.

JB, будь так добр, пройдись по теме банхаммером.

Пожалуйста.

Не видишь проблемы в том, что в MMXVII страничка будет перезагружаться без AJAX и выдавать ошибку о добавлении комментария, потому что файл залочен? Ну ок.

Мне представляется предпочтительной немного иная реакция программы: при попытке добавить комментарий в закрытый для записи файл обрабатывается исключение, которое ведет к повторной попытке добавить комментарий. Пользователь даже не узнает, что возникла какая-то проблема.

И вот мы уже пишем свою DB, чтобы не было дедлоков, чтобы три одновременных сообщения не вешали сервер, и прочие удовольствия

Способов обойти Race Condition так много, что можно хоть монографию писать. В нашем случае все происходит внутри одного процесса, а значит даже блокировки файлов могут не потребоваться.
Помимо прочего, вероятность возникновения такой проблемы на редко посещаемых сайтах слишком мала, чтобы всерьез о ней задумываться. Это ведь нужно чтобы несколько комментариев были отправлены в пределах менее чем сотни миллисекунд. Даже на Linux.org.ru это редкость.

Способов обойти Race Condition так много, что можно хоть монографию писать.

Да это все понятно, вопрос только в том, оправдано ли писать очередную монографию там, где можно воспользоваться готовым решением базы данных

Помимо прочего, вероятность возникновения такой проблемы на редко посещаемых сайтах слишком мала, чтобы всерьез о ней задумываться.

Те ветряные мельницы с которыми воюет топикстартер, сами по себе маловероятны (да да проблема останова в скрипте на javascript), однако же, он упоминает, что ему нужна непременная защита от ДДОСа, а значит, придется продумывать упомянутый мною вектор, ведь достаточно одного злоумышленника, который будет постить одновременно сам

Значительно, значительно лучше. Но, кто мне объяснит, зачем они сделали столь огромную шапку? Ссылку «Documentation», будь у меня тач дисплей, я бы смог нажать жопой.

https://ru.wikipedia.org/wiki/Gopher

очередную монографию там, где можно воспользоваться готовым решением базы данных

Сделайте одолжение, изучите хотя бы чуть-чуть эту предметную область и осознайте, что СУБД вам тут ничем не поможет. Или хотя бы поймите, что на самом деле означают те слова, которые вы тут произносите.

проблема останова в скрипте на javascript

Вот терпеть не могу, когда мне приписывают то, чего я не говорил. Проблема здесь не в «проблеме останова», это лишь иллюстрация. Реальная проблема состоит в самой идее что-то исполнить в браузере, не спросив на это информированного согласия пользователя. Точнее, проблема состоит в том, что находятся люди, считающие это нормальным, и не просто «находятся», а составляют большинство в современной, чтоб её, «веб-разработке».

он упоминает, что ему нужна непременная защита от ДДОСа

Где? Нет, ну мало того что тут свалили в кучу в одной фразе проблемы клиентской машины и серверной, но ГДЕ, покажите мне, я требовал какой-то там защиты, да ещё не просто от DoS (ну хорошо, про DoS я упоминал, хотя совершенно в другом контексте), а ещё и от DDoS?!

Я уже даже не знаю, что опаснее — граната в руках обезьяны или компьютер в руках макаки (такой, которая формально не обезьяна, хоть от неё и произошла).

Откройте для себя flock.

Я тогда был маленький, о таких сложных вещах не знал

Чтобы различать, надо видеть что хотели сделать и что сделали. Изначального макета, ТЗ к дизайну я не видел. Но сайт сделан в едином стиле, блоки, строки ни куда не «плывут» и других артефактов не вижу, присущих «кривой верстке». То есть как задумали, так сделали. Другое дело, что почти у всех программерских проектов дизайн документации страшный.

Чтобы различать, надо видеть что хотели сделать и что сделали.

А если лажа началась прямо на этапе проектирования? Вот задумали сделать чугунный велосипед с квадратными колёсами и сделали ровно это. Что тогда?

СУБД вам тут ничем не поможет. Или хотя бы поймите, что на самом деле означают те слова, которые вы тут произносите.
ГДЕ, покажите мне, я требовал какой-то там защиты, да ещё не просто от DoS (ну хорошо, про DoS я упоминал, хотя совершенно в другом контексте), а ещё и от DDoS?!

Вы просто цепляетесь к словам, хотя смысл предложения совершенно ясен. Да пожалуйста, не СУБД а просто БД. Чем поможет - тем, что там уже решены проблемы тех самых дедлоков и прочего.

Реальная проблема состоит в самой идее что-то исполнить в браузере, не спросив на это информированного согласия пользователя.

Никакой проблемы в этом нет, вы сами это выдумали. Понимаю еще, если бы там приводили аргументы с рассчетами, сколько лишней электроэнергии оплатит пользователь, или что владелец сайта за ваш счет может распределенно майнить биткоины. А с точки зрения безопасности, ваше бинарное разделение «выполняется в тюринг-полной машине - небезопасно, в ограниченной - безопасно» в треде уже разкритиковали несколько раз. Из тюринг-полноты никак не следует возможность доступа к локальным файлам или arbitrary code execution, а примеры уязвимости в тупых обработчиках xml и zip (который встречается, например, в PNG) вы деликатно проигнорировали. Вам бы тогда надо топить за гарвардскую архитектуру, это там произвольный payload с кодом не получится подсунуть обработчику png перезаписав стек в результате какого то переполнения буфера.

Я уже даже не знаю, что опаснее — граната в руках обезьяны или компьютер в руках макаки

Определенно второе, если макака не может осилить синтаксис баз данных, современный веб и так далее.

Не исключено, что на написание вашего комментария вы потратили больше времени, чем на создание кода, который бы позволил обойти Race condition в рассматриваемом нами случае. Мне кажется, что вы делаете из мухи слона.

Вот задумали сделать чугунный велосипед с квадратными колёсами и сделали ровно это.

И если бы этим всё ограничилось. Но нет, создатели чугунных велосипедов с квадратными колёсами настойчиво и навязчиво предлагают всем прохожим на них покататься. Объясняют, что это самый лучший дизайн велосипеда. А самые ушлые ещё умудряются брать за это деньги.

Вот в чём весь ужас ситуации.

Согласен во многом с ТС. Самому давно хочется соскочить с очередного CMS комбайна, из которого хотят сделать операционку для чайников, и полежать в траве сосредоточиться на работе/творчестве.

Из самых известных в рунете CMS без БД:

• monstra
• getsimple

У монтры подход посерьезней, есть разделение доступа, вложенность больше. Но разраб уже наплодил подобных CMS много и где-то гуляет.
На get-simple легко тему вешать свою и вообще всё просто.
Ещё недавно многие запели про Grav CMS , что самая простая и продуманная мини CMS без БД. Тоже поставил, хотя и не сразу, т.к. оказалось, что она не такая уж и мини, а раздувается на диске до 70Мб. Хотя, правда, идеи интересные заложены. Есть markdown и прочий мейнстрим.
Функционал комментирования плагинами должен запускаться, где есть.
По поводу JS ничего не скажу, т.к. юзаю и многие тоже))) Без него представить нынешний web можно, но придется постараться. И согласен, что ради жирных сайтов с кучей JS и флеша вкладываться в железо не стоит. т.к. всё равно не спасет от ещё более жирных сайтов.
Вообще file flat CMSок достаточно много, но пока в каждую вникнешь времени уйдет уйма.

А если лажа началась прямо на этапе проектирования?

Может ты и прав, макеты дизайна надо смотреть.

Конечно не исключено, а вот написание + отладка + фикс багов - уже вряд ли. Из таких вот мух и складываются слоны.

ОП, зацени https://txt.fyi/

я с этим сталкиваюсь каждый день много-много раз. стоит только зайти на заваленный кривым js сайт и походить там по страничкам. на каждой, повторюсь - каждой странице вылетает окошко с предложением остановить скрипт

Дай угадаю... Порнуха? Ну вот серьезно, где вы только находите такие говна? Почему я такого не видел уже давным давно? Вот лет 10 назад да, были такие фейлы сплошь и рядом при значительно меньшем использовании жоэс. Квалификация макак все же подросла и значительно, что бы там не бухтели олдфаги.

Реальная проблема состоит в самой идее что-то исполнить в браузере, не спросив на это информированного согласия пользователя.

Такой-то абсурд. Вы когда ПО устанавливаете себе на компьютер, разве не соглашаетесь с тем, что оно будет ИСПОЛНЯТЬСЯ?

То, что вы включаете исполнение js в браузере - и затем открываете url - равносильное согласие на ИСПОЛНЕНИЕ.

И никакой проблемы в этом нет. Ровно как и до безопасности. Браузер поболее безопасная песочница, чем ваша ОС, которая от слова тоже совершенно не идеально безопасна.

Если вы так боитесь ИСПОЛНЯТЬ что-либо, то вам не то, что преподавать компьютерные науки не следует, а вовсе пользоваться этими самыми компьютерами. А то, они исполняют же! Ужас-ужас.

Такой-то абсурд. Вы когда ПО устанавливаете себе на компьютер, разве не соглашаетесь с тем, что оно будет ИСПОЛНЯТЬСЯ?

так вот пусть каждый скрипт просит сначала разрешение на установку, прежде чем выполняться. при этом хорошо бы его снабдить ключом и авторизацией на каком-то сервере, который будет гарантировать, что скрипт написан определённой компанией и не изменён. вот тогда он станет похож на установку софта.

Если я правильно все понял, прочитав тему сначала, Croco не боится. Он принципиально не принимает идею того, что он может зайти на новостной сайт, а js-интерпретатор в браузере без его ведома будет иметь потенциальную возможность использовать ресурсы его процессора и памяти для каких-то темных дел разработчиков скриптов. Мало ли, может они коллизии sha-1 высчитывают. Я полагаю, мы все понимаем что это надуманная ситуация, но вот Croco не хочет считаться с такой возможностью и предлагает отключить javascript. А вы утверждаете, что это абсурдно (вероятно, используя принцип «волков бояться - в лес не ходить»). Как мне кажется, каждый из вас прав по своему и по этой причине я уверен, что никому из вас не удасться переубедить друг друга.

Охлол, это как если бы по ящику перед каждой рекламой спрашивали: хотите посмотреть нашу рекламу или переключить на другой канал? Нет, не будет такого никогда, потому как вся ваша копроиндустрия кормится со скрипторекламы. Нет рекламы, нет индустрии, и все погромисты дружными колоннами отправляются... вот даже и не знаю куда, ибо постиндустриал. Кстати, если ты думаешь «я крутой систпемщик, меня не касается», то крупно ошибаешься. Пойдешь в лучшем случае в почтовый ящик рулить ракетами за еду.

так вот пусть каждый скрипт просит сначала разрешение на установку

Он уже спросил у вас разрешения, когда вы инициировали переход по url. Так всё устроено, понимаете? если вы хотите, чтобы по умолчанию все было запрещено - вы имеете право настроить так свой браузер и включать исполнение самостоятельно. Но если у вас включен js - вы соглашаетесь переходя по ссылке.

Вас никто не заставляет переходить, и насильно за вас этого не делает. Все точно так же контролируется вами.

О ключах, о которых вы говорите - это задача уже протокола обмена, и всё это есть уже давно.

Ваша проблема в том, что вы живете в других абстракциях - программа\файл - в мир давно не ограничен ими, и уж если смотреть в самый низ - никогда из них и не состоял, ибо все есть код и данные - а программа и файл - это такой же уровень абстракций, но который вы принимаете, а уровень абстракции используемый в веб-модели - категорически отказываетесь.

наверное, поэтому у меня нет ящика. просто не нужен.

с работой проблем не было и нет. и никаких ящиков ни дома, ни на работе.

нет, он не спрашивал. и я не могу ему задать права, ограничить ресурсы. а это критически важно.

и это не абстракции. это реальность. и безопасность.

а js-интерпретатор в браузере без его ведома

В том-то и дело, что без его ведома ничего не происходит. То, что он (возможно) не знает на что способен js - это его личная проблема, ибо точно так же можно сказать - что программа без моего ведома использовала определенные регистры процессора и опкоды, ведь не спросила у меня разрешения исполнить именно этот опкод и записать данные именно в этот регистр? Верно, не спросила. Но я и так знаю (должен знать или хотя бы иметь представление) что программа может исполнить и куда что записать. И запуская программу - я уже даю ей разрешение использовать ресурсы моего компьютера.

То же самое и тут. Если человек включил js и перешел по ссылке - он уже разрешил. Не хочет - пусть не переходит, или выключает и переходит.

Возможности js более чем очевидны. А уж интеграция в систему крайне огорожена - почти все webapi запрашивают разрешения индивидуально.

А вы утверждаете, что это абсурдно

Я утверждаю, что абсурдно утверждать, цитирую - «проблема состоит в самой идее что-то исполнить в браузере, не спросив на это информированного согласия пользователя.»

потому как разрешения у пользователя спросили. то что он этого не понял - это уже из разряда у меня принтер не печатает, а я не знал что его надо в розетку включать.

Ну, я надеюсь, что ваши программы, которые вы пишите, спрашивают у пользователей разрешение на копирование данных из памяти в регистр и обратно, ибо это критически важно. это безопасность.

И о каждом регистре в отдельности спрашивайте. И о каждой используемой операции. Иначе что это за беспорядок. Откуда я могу узнать, куда вы там мне байты гонять будете?

когда пользователь ставит мою программу на сервер, он может настроить любые ограничения, которые позволяет система. можно ограничить программу, запустить в виртуалке, в контейнере, можно выделить ей лимит памяти и процессора. не проблема.

к тому же у достаточно серьёзных программ сотни настроек, которыми пользователь также может рулить.

Но разрешение на mov rax, [rbx] вы не спрашиваете.

вы точно так же можете поставить браузер в виртуалку, в контейнер - не проблема. а сам js можете отключить. вы все это можете.

и настраивать js движки на размер кучи - флагами можете (почитайте маны, в чем проблема, у v8 heap ограничивается аргументом командной строки). Вы все это можете. И еще кучу всего - мультитрединг, в каких прцоцессах рендерить разные вкладки, все это можно.

к тому же у достаточно серьёзных программ сотни настроек, которыми пользователь также может рулить.

У браузеров тысячи настроек, которыми может рулить пользователь.

это компилятор делает. а система защищает обращения к ресурсам. ну да ладно, всё равно не поймёшь... проехали.

и как вашему js задать разные права юзера на разные скрипты? как в нём проверить валидность скрипта (что он оригинальный, а не изменённый врагом)? как в нём установить лимит 100 килобайт памяти на один скрипт и 50 на другой? если всё это настраивается, то претензий нет.

Ойвей.

Вы отчего рассматриваете js-engine из БРАУЗЕРА, внезапно, в отрыве от браузера. Браузер - это полноценная прикладная программа. JS движок - часть этой программы. То, какие рычаги для управления вам дали разработчики ВАШЕГО браузера - зависит только от разработчиков ВАШЕГО браузера. В мейнстримовых же ГОТОВЫХ браузерах, разумеется, не прокинуты все возможные рычаги. А прокинуты лишь те, что полезны большинству. И их уже поверьте не мало.

Но это никак вас не ограничивает до СОВСЕМ ТОНКИХ настроек.

Возьмите, например, electron (это такая платформа) - соберите из него какой угодно себе браузер, там есть необходимые рычаги для практически ВСЕГО что вы захотите.

Или берите браузер из сорцов, и собирайте. JS-движок настраивается по вашему вкусу, как вам угодно. На здоровье.

я не рассматриваю. хотя это разные программы. мне главное, чтобы был /etc/js.conf, кто его будет читать - пофигу совершенно. до тех пор, конечно, пока код, исполняемый на моей системе, не изменяется. я вижу этот процесс так: устанавливается идентичность кода, код сохраняется на диске, его данные прописываются в некий список, ему назначаются права доступа и лимиты. дальше браузер может дёргать разрешённый скрипт (для конкретного сайта, естественно).

и как вашему js задать разные права юзера на разные скрипты?

берете electron. пилите на нем браузер так, чтобы js исполнялся в отдельных процессах с различными правами.

как в нём проверить валидность скрипта (что он оригинальный, а не изменённый врагом)?

я уже писал, что это проблема протокола, а не js для этого есть https например. вы как проверяете что у вас программа не подменена пока вы ее скачивали? ах подписью? а за подпись ваша программа разве отвечала, а не репозиторий?

как в нём установить лимит 100 килобайт памяти на один скрипт и 50 на другой?

в существующих браузерах можете ограничить лимит на все сразу. но это никак не относится к ограничениям js - эти ограничения наложили разработчики браузеров на свои браузеры.

если хотите давать разные разрешения каждой вкладке - реализуйте такую возможность в самосборном браузере. js движки и платформы для собирания себе браузеров имеют все необходимое для этого иникак вас не ограничивают.

если всё это настраивается, то претензий нет.

Всё настраивается. Количество настроек, которые вы сможете применить, ограничены лишь вашей компетентностью.

берете electron. пилите на нем браузер так, чтобы js исполнялся в отдельных процессах с различными правами.

вот об этом и речь. пока нет реализаций нормальной работы со скриптами - лучше пока их просто запретить.

я лично так бы и сделала: скрипты как исполняемые файлы, с нормальными правами и ограничениями. и браузер - как виртуалка с ограниченным в ней линюксом. как-то так. это было бы удобно и практично.

пока нет реализаций нормальной работы со скриптами

Она нормальна. Уже давно. Ваши индивидуальные хотелки никак не показатель нормы. Вы вот вроде взрослый человек, а не понимаете такой простой вещи.

я как раз всё очень хорошо понимаю и вижу дыру в безопасности системы. в виде браузера. который, к тому же, жрёт неадекватное количество ресурсов.

вот об этом и речь

о чем речь? запилить себе браузер на базе электрона - это не сложнее чем конфиг на баше написать.

электрон это уже готовый браузер. но с прокинутыми api для всего что хотите. считайте что в нем нет защиты от дурака (обычного пользователя, который может куда-то ни туда залезть) и настроить можно всё, если понимаете, что настраиваете. да без удобного gui и свистелок, а все ручками в скриптах - но разве на линуксе не почти все ПО именно так и настраивается? вперед и с песней, что вам мешает осущетсвить свою мечту.

посмотрела код. как я понимаю, там жабаскрипт вокруг хромиума. но это не то. во-первых, на жабаскрипте писать не имеет смысла: поделие будет тормозить и жрать ресурсы. во-вторых, все интересные вещи там уже зарыты глубоко внутри хромиума и вряд ли их так просто можно исправить. получится ещё один клон хромиума, а не принципиально новый браузер.

Ты очень плохо посмотрела.

все интересные вещи там уже зарыты глубоко внутри хромиума и вряд ли их так просто можно исправить

Ты вообще не смотрела, или ты не программист.

за пять минут сложно оценить код. про электрон пишут, что это клон хромиума, в коде я вижу, что к нему прикручены API на жабаскрипте. в любом случае, это не то. жабаскрипт не нужен.

вместо жабаскрипта можно максимум впилить lua. и то под вопросом.

Это не клон, это и есть chromium. А если точнее, то Chromium Embedded Framework. Определение что такое фреймворк - нужно давать?

к нему прикручены API на жабаскрипте

Не прикручены, а проброшены api в js. Ровно как у вас есть shell-языки для управления и скриптования вашей ОС. В браузере и браузерных платформах есть js для управления ими и скриптования их. Это логично, удобно и рационально.

жабаскрипт не нужен.

Ах вон, оно в чем дело. У вас религиозная неприязнь. Ну ясно-ясно.

впилить lua

Впиливать еще один встраиваемый язык, только чтобы не писать на том, который и так должен быть? Вы определенно хороший программист.

В конечном счете, все ваши хотелки, требования, описанные вами прежде - реашиемы и реализуемы. Вы просто хотите чтобы это делали за вас, потому что сами не способны. Но за вас никто не станет.

Что до утверждения о жручести современных браузеров - я бы с удовольствием посмотрел, как бы вы, собственноручно, выполнили ТЗ по написанию полноценного браузера, поддерживающего современные стандарты, в рамках жесткой ресурсной экономии. Да ладно, что там браузера - хотя бы layout-engine вокруг DOM-модели.

Вот когда напишите, тогда и приходите с пруфами того, что можно сделать лучше. А до тех пор, ваши слова - пустой звон.