JavaServer Faces стали открытыми

>> Писала это все девушка получающая за работу 600 $ (+ мои консультации)

>Сколько лет писала?

Какой лет, это ж не PHP, меньше месяца.

>> Ну давай, cравним сравним JForum (0 дыр)и phpBB (около 45) на дырявость ;-)

> первым делом установи количество установок того и другого и их соотношение.

Думаешь от того, что на жигулях больше ездят, они надежнее? ;-) Для сержантов, от количества установок надежность софта не зависит.

Выше написано :) С памятью - ошибся , 4 гига там её, правда, юзается мало:

Mem:       4025200     892912    3132288          0      88740     317492
-/+ buffers/cache:     486680    3538520
Swap:      3919776          0    3919776
Правда, сейчас мало народу совсем(540 одновременных)

Софтинка:
1) В основном отдаёт лёгкий контект(как я уже говорил - от 55 до 60 байт на запрос),
но запросов таких очень много(как уже и это говорил - 2000*180 в пике, 1000*60 не в пике). Сервер - общедоступный.
2) Отдаёт средний контент контент(генерирующиеся картинки), причём кэшировать их на уровне администрирования - нерационально,
т.к. они часто меняются(опять же - в пике - 180/60=3 раза в секунду)

Спасибо за FreeMarker ;-)
Сейчас сижу, evaluta'чу.
Вопрос, какие с ним грабли (уж больно все по описаниям вкусно выглядит)?

> Для сержантов, от количества установок надежность софта не зависит.

Обнаружение ошибок сильно от него зависит. Самым безопасным оказывается
приложение, которое никто не использует.

> Выше написано :) С памятью - ошибся , 4 гига там её

А, это всё тот же 2хXeon2.8??? Тогда я опять ничего не понял.
Ты пишешь, что он отдаёт 55-60 байт на запрос и запросов в пике 360
тысяч, а в тесте apachebench показываешь всего 142 запроса в секунду на
странице в 17кб. У меня крыша уже давно уехала от таких противоречивых
данных ;) Объясняй, если сможешь ;)

>> Для сержантов, от количества установок надежность софта не зависит.

>Обнаружение ошибок сильно от него зависит. Самым безопасным оказывается приложение, которое никто не использует.

Посмотри на самый популярный (больше всего downloads и самый быстрый показатель развития) проект sourceforge.net Azereus (разумеется он написан на java) - и много ли в нем нашли дыр? или посмотри Compiere ERP + CRM, много ли в нем нашли дыр?

ну а теперь возьмем куда менее популярный phpMyAdmin - пара десятков дыр ;-)

Так что студент, учись, учись и ещё раз учись. Безопасность сильно зависит от того, на чем пишут, хотя конечно важно ещё и кто и что ;-) Итого из разговоров с annonymous’ом мы имеем - PHP слил по производительности, надежности, функциональности, скорости разработки, цене поддержки, что осталось?

Сам же annonymous мереет нагрузку хитами, предлагает сравнивать мягкое с теплым, не может поделить 20 на 7, думает, что чем меньше софт использовать тем меньше в нем дыр, пишет на PHP ;-)

PS СПАСИБО, ЧТО ПОМОГ МНЕ ПОДНЯТЬ ЭТОТ ТРЕД В ДЕСЯТКУ САМЫХ ОБСУЖДАЕМЫХ.

>> Почти все банки и крупные страховые компании пользуются Java. я имел в виду в северной Америке(Canada, USA, Mexico) >у пары банков и еще в нескольких крупных конторах уже видел ISS и ISAPI... Ну и что - я работаю в группе, которая пробует .Net/C#/iBatis/XForms на живом теле. В случае удачи, жабе придётся потесниться

Python (imho) не жилец в корпоративном окружении.

> Python (imho) не жилец в корпоративном окружении.

В нынешнем состоянии - пожалуй, нет (хотя... а что с ним тогда гугль играется?). Но если им заняться всерьез, так, как в свое время занялись жабкой - почему нет?

Хотя питон я тоже не сильно люблю. Вот Ruby бы кто до ума довел. Причем уже есть Rails - красивая вещь...

Ты не поверишь, но это же самое писали здесь на этом сайте еще в 2001 году. "В случае удачи, жабе придётся потесниться". 4 года прошло, ну и где эти удачные проекты на .NET?

На каком бы Вы framework'е начали новый проект?

На устаревшем Stuts'e, новомодном JSF, HLS-tapestry или чем-то другом?

Пока что Tapestry (4) меня не очень радует, документация сосёт. Хотя это ещё и следствие моих лиьмых взглядов. Вообще, предпочитаю ошибки получать на этапе компилирования, а не исполнения, но вот вечное стремления всё перенести в XML, а потом запускать софт только ради проверки того, как это будет работать, меня немножко достало уже.

Видел, что я написал? 1) и 2)?

Вот я тебе 2) привёл, потому-что 1) с помощью ab померять малореально.

Ты вместо конструктивного разговора на протяжении всего треда занимаешься ерундой(выдёргивание цитат, передёргивание фактов). Слив, как тут говорится, защитан. Учи матчасть(хотя, в твоём случае сначала надо учить математику).

>Для сержантов, от количества установок надежность софта не зависит.

LOL

речь была не про надёжность, а про дыры

которые кулхацкеры ищут, а ищут в том чего больше установлено

хотя это не означает что если дыр не нашли они там есть :)))

"надёжность" здесь неправильный термин ;) это я тебе как SA заявляю :-Р

1. Не тапестри однозначно. HLS придумал в нем столько новых проблем про которые веб не слыхивал что решать их мы задолбались (например stale link который не имеет никакого отношения к поддержке сессии но имеет отношение к внутреннему трекингу, а потому отгребать начинаешь сразу же как только открываешь что-ли бо что учавствует в треккинге в новом окне а потом нажимеаешь на ссылку в старом - и движок удивляется - мол как это выж уже ушли с этой страницы?) Опять же чтобы там работать надо слишком много гемороя - ндо внедрятся в пол движка, так как дефаултные реализации списков завязаны на позицию и потому, если например я дашел в редактирование 5того элемента, а в это время в параллельном процессе набор изменился то когда я нажму сейв - будет сохранение "не туда". И подобного море. Это все конечно решаемо - переписыванием половины движка - но в чем тогда смысл? Framework должен мне предоставлять экономию времени в первую очередь и удобство использования во вторую. Tapestry предоставляет только возможность раком изогнуться и потратить еще больше времени чтобы решить обычные вебовские вещи. Спасибо с кисточкой.

2. JSF насколько я понимаю больше разрабатывался для автоматизированых тулзов типа JCreatorStudio, etc, потому пока этого не будет, получается уж очень трудоемко.

В нашем случае мы выкинули tapestry и переписали все на простом как молоток струтсе + JSP3 tags (что покрывает компонентность тапестри).

> Вот я тебе 2) привёл, потому-что 1) с помощью ab померять малореально.

Кому ты мозг компостируешь? Девушке своей подобную лапшу вешай.
142 запроса в секунду на 17кб вместо заявленных 360000 на 55-60 байтах.
В чём проблема протестировать скорость подачи 60-ти байт через ab?
Ты тут всех за дураков держишь? Если твой сервер общедоступный, как
ты утверждаешь, дай хоть оним глазом посмотреть на сие чудо!
А то мне кажется, здесь не математику, а арифметику кое-кому подучить
надо...

> Посмотри на самый популярный (больше всего downloads и самый быстрый показатель развития) проект sourceforge.net Azereus

Наверное всё-таки AzUreus? BitTorrent client?

> ну а теперь возьмем куда менее популярный phpMyAdmin - пара десятков дыр ;-)

А ничего, что менее популярный установлен практически у каждого хостинг
провайдера и практически у каждого разработчика, работающего с LAMP?

> Сам же annonymous мереет нагрузку хитами

Я так и не узнал, чем меряешь её ты. Наверное это большой секрет.
Я так и не понял, что в этом странного... Хит - единица информации,
отдаваемая приложнием клиенту. Да, я меряю в них. А ты в чём?
В попугаях?

> PS СПАСИБО, ЧТО ПОМОГ МНЕ ПОДНЯТЬ ЭТОТ ТРЕД В ДЕСЯТКУ САМЫХ ОБСУЖДАЕМЫХ.

Не умри от важности. На самом деле это я тебя использовал, но это не
столь важно ибо я не гордый ;)

2Yilativs:
> Спасибо за FreeMarker ;-)
Всегда пожалуйста.

> Сейчас сижу, evaluta'чу.
> Вопрос, какие с ним грабли (уж больно все по описаниям вкусно выглядит)?
Ну дык эта. Проблем я с ним даавно не имел. Года три назад посылал патчи с (XML). А так пользую и не жужу. Он очень прост, легко приспособить под любую задачу.

Пожалуй единственное - нужно помнить что это скриптовой язык и пробежки по тысячным массивам будут не столь эффективны.

Оптимизация у них на высоте.

> Отдаёт средний контент контент(генерирующиеся картинки), причём кэшировать их на уровне администрирования - нерационально,
т.к. они часто меняются(опять же - в пике - 180/60=3 раза в секунду)

142 картинки в секунду - это уже реальный результат. Сильно
контрастирует со сказочными 360тысяч, правда ;) Но если разобраться - ничего сверхординарного для 2xXeon2800, не так ли?

Не, ну ты глупый, да?

Я тебе ещё раз говорю - на момент проведения теста на картинки на сервере УЖЕ находилось 1441 человека, которые либо картинки смотрели, либо данные получали. Это нифига не результат, да?

> Я тебе ещё раз говорю - на момент проведения теста на картинки на сервере УЖЕ находилось 1441 человека

Ну, как же, как же? Он же на 2000 рассчитан, не так ли? То есть был
нагружен далеко не под завязку. А ты сам совсем-совсем не видишь
противоречия между 360тыс.запросов и 142? Нет? ;) Ты чота заврался в
конец, IMHO... И урл якобы открытого для всех сервака не даёшь ;)

И таки да, я глупый ;-( В пике у тебя, говоришь, 180 запросов в секунду
на нос? Сервак рассчитан на 2000?
1441 * 180 = 205380.
360000 - 205380 = 154620 (типа остаток/резерв)
Покажи нам оставшиеся 154620 на мелких запросах через apachebench или
иди нахрен в школу в пятый класс зубрить гранит науки ;)

Я почитал описание FreeMaker. Интересно, FreeMaker имеет какие-нибудь
преимущества перед Smarty в php. Я с ходу не нашёл ни одного.

> Я почитал описание FreeMaker. Интересно, FreeMaker имеет какие-нибудь
> преимущества перед Smarty в php. Я с ходу не нашёл ни одного.

Ржал долго. Спасибо, рассмешили :)

Расскажи, что нашёл смешного.

>>Для сержантов, от количества установок надежность софта не зависит.

>речь была не про надёжность, а про дыры >которые кулхацкеры ищут, а ищут в том чего больше установлено Дык о том и спич, что Azureus популярнее чем любое php приложение, а дыр в нем куда меньше.

Ты покажи одного класса софтину, с примерно похожей функциональностью.
Мы кажется говорили про веб-сервисы. Ломать bittorent-клиент много
сложнее чисто технически, а не в силу его какой-то особой защищённости.
Когда я привёл тебе примеры дыр в клиентском ПО на жабе ты почему-то
бурно протестовал.

Ну да, я заврался :) А ты запиз... начал заговариваешься немного уже.

И урл я не дам, потому-что писал систему не я.

Короче, тебе я ничего доказывать не буду, потому-что это не имеет смысла, ибо ты упёртый красноглазый.

Напоследок ещё раз скажу, что для каждого инструмента есть твоя ниша. И насильно втаскивать инструмент из гораздо более "низкой" ниши во все остальные, тем более с такими огрехами в безопасности(посчитай, сколько функций в php делают одно и тоже - addbackslashes) - redeyes only way, к коим ты и принадлежишь.

> Короче, тебе я ничего доказывать не буду, потому-что это не имеет смысла, ибо ты упёртый красноглазый.

Ха, привет второгодникам! Марш изучать сложение с вычитанием. Сказочник,
млин. Так красиво рассказывал, я аж прослезился ;)

> И насильно втаскивать инструмент из гораздо более "низкой" ниши во все остальные

Кто? Где? Когда? Ты не только заговариваешься, но ещё и бредишь по ходу.

>Ты покажи одного класса софтину, с примерно похожей функциональностью.

(см выше) А сам покажи хоть ПО на php класса openexchange http://www.openexchange.com?

>Мы кажется говорили про веб-сервисы.

Да?!! Про web services на java VS web services на php? Сегодня день юмора? Ну давай, расскажи честному народу про web services на php

>Когда я привёл тебе примеры дыр в клиентском ПО на жабе ты почему-то бурно протестовал.

Я писал, что по статистике приведенного тобой сайта, даже если складывать дыры в клиентсом java ПО, java me и j2ee дыр все равно меньше чем ПО на PHP, при том, что java ПО любого куда больше.

> 4 года прошло, ну и где эти удачные проекты на .NET?

Я не знаю, что там сейчас в России, но здесь сайтов на ASP.NET на порядок больше, чем на жабке. Причем это и крупные порталы. Для разработки внутренних гуевых приложений - вообще практически один только .NET.

> >Ты покажи одного класса софтину, с примерно похожей функциональностью.
>(см выше)

Болтовня там выше. Ещё раз: корректно сравнить безопасность двух софтин
можно только при условиях:

1) сходная функциональность
2) примерно равное количесвто установок в сети

Ничего подобного ни выше, ни ниже от тебя не поступало.

> >Когда я привёл тебе примеры дыр в клиентском ПО на жабе ты почему-то бурно протестовал.

>Я писал, что по статистике приведенного тобой сайта, даже если складывать дыры

Не так ты писал. Ты плакал, что нельзя сравнивать клиентский софт и
серверный.

>В нашем случае мы выкинули tapestry и переписали все на простом как молоток струтсе + JSP3 tags (что покрывает компонентность тапестри).

Большое спасибо за ответ.

Мне предстоит делать большой проект и я выбираю между tapestry и struts. Думаю остановиться на struts'e.

> >Когда я привёл тебе примеры дыр в клиентском ПО на жабе ты почему-то бурно протестовал.

>>Я писал, что по статистике приведенного тобой сайта, даже если складывать дыры

>Не так ты писал. Ты плакал, что нельзя сравнивать клиентский софт и серверный.

Это когда я говорил, что PHP софт по предложенным тобой же схеме оказался в 10 раз дырявей, чем софт на java (и в 40 раз чем серверный софт на java). Я не плакал я рыдал от смеха. ;-)))))))))

>> 4 года прошло, ну и где эти удачные проекты на .NET?

>Я не знаю, что там сейчас в России, но здесь сайтов на ASP.NET на порядок больше, чем на жабке.

Здесь, это где? И ещё, поделись цифрами please.

>Причем это и крупные порталы.

Вах, крупные порталы на windows?! Причем их на порядом больше чем на unix?!!! Млин, здесь, это случайно не Нидерланды (трава хорошая?)?

Он пришет про Канаду

> Здесь, это где?

Новая Зеландия. Впрочем, позиции MS и винды здесь всегда были традиционно сильны - так что это не есть глобальный показатель. Но тем не менее...

> И ещё, поделись цифрами please.

Цифрами чего? Я же не опрос проводил. Просто говорю о том, что вижу. Выше аналогично писал о сайтах на IIS/ISAPI в банках.

> Вах, крупные порталы на windows?! Причем их на порядом больше чем на unix?!!!

Как это ни странно, да. Здесь вообще страницы с .asp или .aspx (а то и .dll) видишь куда чаще, чем .php, а уж .jsp так и вовсе днем с огнем... Если взять те же банки, то вот тебе несколько крупнейших:

http://nationalbank.co.nz/

http://www.anz.co.nz/

http://www.asbbank.co.nz/

Все на ASP (причем даже не .NET)!

Кстати, а официальный правительственный сайт (http://www.govt.nz) - на Apache и mod_perl под редхатом.

Если верить NetCraft эти два на NT4 http://www.anz.co.nz/ http://www.asbbank.co.nz/

В Москве http://www.citibank.ru - JSP http://www.rrbank.ru - JSP

http://www.alfabank.ru - похоже cgi

а эти два ТОЖЕ на NT 4, не ту страну назвали Гандурасом. www.sbrf.ru www.cbf.ru

В эксплуатации.
В плане на следующий год уже 1/3 проектов на .net :)

>В плане на следующий год уже 1/3 проектов на .net :)

Класс, а сервера 1/3 на Windows? ;-)

Это новых проектов
А старые-то на джава.
Кроме того, это ведь апп сервер под дотнетом, а для сервера БД пока что-то не очень хотят MS SQL ставить. Imho, программер должно быть всё равно Window/Linux/Java/.Net.
Как сказал Джон Гладкин(кажется):
- Сосёт всё! И это хорошо :))