Email or username:

Password:

Forgot your password?
Top-level
yesfreenet

@grishka Это у них так написано

24 comments
Григорий Клюшников

yesfreenet, знаю, и удивлялся. Потому что по определению оно проигрывает swf файлы, следовательно, оно флэш плеер :)
На HN в комментах кто-то тоже спрашивал, типа, в какой момент оно перестанет быть эмулятором.

yesfreenet

@grishka Там скорее всего дело в том, что оно изолированно каким-то образом

Григорий Клюшников

yesfreenet, ну там во-первых раст, который сам по себе даёт гарантию безопасности по памяти, а во-вторых при запуске в браузере там WASM, он сам по себе в песочнице, это по сути просто более быстрый JS. Из функционала оригинального флэш плеера, который не будет возможно воспроизвести там только сетевые штуки. Например, кроссдоменность у флэша работала по-другому, надо было класть crossdomain.xml в корень сайта, на который делают запросы, а в современности за это отвечает заголовок Access-Control-Allow-Origin. Или стриминг через RTMP, потому что никто тебе не даст из браузера открывать сокеты на произвольные адреса и порты. Или, собственно, флэш-сокеты, по этой же причине.

yesfreenet, ну там во-первых раст, который сам по себе даёт гарантию безопасности по памяти, а во-вторых при запуске в браузере там WASM, он сам по себе в песочнице, это по сути просто более быстрый JS. Из функционала оригинального флэш плеера, который не будет возможно воспроизвести там только сетевые штуки. Например, кроссдоменность у флэша работала по-другому, надо было класть crossdomain.xml в корень сайта, на который делают запросы, а в современности за это отвечает заголовок Access-Control-Allow-Origin....

yesfreenet

@grishka Тогда странно каким там хитро высверлиным способом были уязвимости, если браузер сам из себя представляет набор эмуляций. Значит сам контент как-то с ОС ещё работал, может из-за кэша что-то, каким-то образом подгружался из аппарата

Więcesław Duczynski
@grishka @yesfreenet Уязвимости где? В Ruffle или в Adobe Flash Player?
yesfreenet

@wiecek @grishka по умолчанию в адоб флэш

Григорий Клюшников

yesfreenet, так это потому что сам адобовский флэш плеер был решетом на С, а-ля винда. И там ещё JIT был в ActionScript 3 (AVM2). Одну уязвимость пропатчили — ещё три нашли. Сам контент с ОС никак не работал, там песочница была практически уровня нынешнего JS, знаю, потому что сам когда-то делал флэш-приложения для ВК. Конкретно Ruffle избегает этих проблем изначально, потому что написан на безопасном языке и JIT в нём нет и вроде не планируется.

Короче. Сам по себе флэш не плохой. Он крут хотя бы в плане удобства создания контента, это до сих пор никто не догнал. AS3 был на пару световых лет впереди даже нынешнего JS. А вот единственная официальная реализация плеера была говном дырявым.

yesfreenet, так это потому что сам адобовский флэш плеер был решетом на С, а-ля винда. И там ещё JIT был в ActionScript 3 (AVM2). Одну уязвимость пропатчили — ещё три нашли. Сам контент с ОС никак не работал, там песочница была практически уровня нынешнего JS, знаю, потому что сам когда-то делал флэш-приложения для ВК. Конкретно Ruffle избегает этих проблем изначально, потому что написан на безопасном языке и JIT в нём нет и вроде не планируется.

yesfreenet

@grishka Ясно, спасибо, что объяснили суть ладно, очень надеюсь, что ruffle(хочется его рофлом назвать) догонит adobe flash, хоть бы в течении 2021. А то как-то иногда удивляет, что компании выбрасывают продукт, не решая его основные продукты, т.к. что? Не приносит прибыли и затрат на него больше, т.к. используют его не все и часть ПО перекочевало на другие движки. Может сайты, мало вероятно, что будут обновлять движок именно на ruffle, думаю, что совсем наоборот. Будем ждать

Więcesław Duczynski
@grishka Дежурное напоминание о том, что переписывание программ на Rust не делает их автоматически неуязвимыми к любым кибератакам.
Więcesław Duczynski
@grishka Откуда инфа, что плеер был на C? У него же исходники закрыты.
Григорий Клюшников

Więcesław Duczynski, там были уязвимости из-за кривого управления памятью. Переполнения буферов, RCE, вот это всё.

Więcesław Duczynski
@grishka Это ты на какой вопрос ответил?
Григорий Клюшников replied to Więcesław Duczynski

Więcesław Duczynski, ах ну да, у вас же в мастодоне всратый интерфейс, что не видно))0

Więcesław Duczynski replied to Григорий
@grishka LOL, картинка не сюда не скопировалась.
Więcesław Duczynski replied to Григорий
@grishka Как ты по переполнениям буферов, RCE и прочим уязвимостям определяешь, на чем программа написана, демон? Ну, кроме очевидной атрибуции, которая не дает точный результат.
Григорий Клюшников replied to Więcesław Duczynski

Więcesław Duczynski, хорошо, а какие ещё языки из широко распространённых позволяют вот так легко и непринуждённо стрелять себе в ногу указателями, и при этом кроссплатформенны?

Григорий Клюшников replied to Więcesław Duczynski

Więcesław Duczynski, ну C и C++ примерно одно и то же в данном случае. Если там и был C++, а скорее всего он там был, они всё равно управляли памятью по-сишному руками (из жопы).

[DATA EXPUNGED]
Więcesław Duczynski replied to DELETED
@EffToyz @grishka @1@freinds.grishka.me говорит только о характерных уязвимостях, а не о стиле скомпилированного кода в целом.
yesfreenet replied to Григорий

@grishka @wiecek Я не знаю, мне нормально, я примерно понял, кому, но думаю, что Всем будет полезно)

🚵‍♂️ armitage 🇷🇺 replied to Григорий

@grishka @wiecek @yesfreenet просто открываешь то сообщение и оно будет ответом на то что над ним.

Кстати, как надо отображать комментарии отступами когда отступать уже некуда? Включать горизонтальную прокрутку, ужимать до состояния одна буква в строку, или отказываться от отпусков начиная с дцатого этажа?

Григорий Клюшников replied to 🚵‍♂️ armitage 🇷🇺

armitage, у меня это пока не решено, но хабр, пикабу и вроде ЖЖ ограничивают максимальный отступ. А реддит показывает ссылку, которая открывает кусок треда на отдельной странице. Так что, наверное, правильно ограничивать, но тогда показывать "ответ такому-то".

🚵‍♂️ armitage 🇷🇺 replied to Григорий

@grishka судя по тому что misskey и lemmy делают отступ на много уровней - эта система пригодна. Но мне не трудно ориентироваться и в странном мастодоновом стиле, который всё таки удобнее было бы привести к твитеровому для большинства.

@yesfreenet

Go Up