URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 128215
[ Назад ]
Исходное сообщение
"Обновление Chrome 104.0.5112.101 с устранением критической уязвимости"
Отправлено opennews , 17-Авг-22 08:59 
Компания Google сформировала обновление Chrome 104.0.5112.101, в котором исправлено 10 уязвимостей, в том числе критическая уязвимость (CVE-2022-2852), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения.  Детали пока не раскрываются, известно лишь, что  критическая уязвимость связана с обращением к уже освобождённой памяти (use-after-free) в реализации API FedCM (Federated Credential Management), позволяющем создавать объединённые сервисы идентификации, обеспечивающие сохранение конфиденциальности и работающие без механизмов межсайтового отслеживания, таких как обработка сторонних Cookie...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57644

Содержание
Сообщения в этом обсуждении
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 09:11 
При такой философии и принципе интернет-поглощения всегда будут проблемы с безопасностью. Пока ещё не пришёл буйный программист и не выпилил всё что так широко обсуждается в месте с JS.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 11:40 
> уязвимость ... в реализации API FedCM (Federated Credential Management), позволяющем создавать объединённые сервисы идентификации

Как мило :) Нужно больше таких API!

"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 17:25 
> Пока ещё не пришёл буйный программист и не выпилил всё что так широко обсуждается в месте с JS.

1) Слово вместе следует писать вместе.
2) Так возьми и выпили, или ты недостаточно буйный? Зачем тогда тебе вообще хромой, если ты можешь без жлобоскрипта обойтись? Возьми Netsurf, каждому своё.

"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 19:41 
Выпиливать JS надо везде и коллективно, в первую очередь - на сайтах.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 21:09 
И вернуться в веб 1.0, к загрузке новой страницы на каждое действие? Нет, спасибо. Большинство предпочитает удобные сайты, и я их хорошо понимаю.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено лютый ж.... , 18-Авг-22 08:12 
>Большинство предпочитает удобные сайты

большинство - дебилы, не понимают что 98% фич вебдвани придуманы, чтобы трекать, впаривать, дырявить тебя - и ТЫ их ТОВАР. если б была задача сделать легкий и отзывчивый web1.0, его б сделали совсем по другому.

"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено _kp , 18-Авг-22 13:16 
Вы путаете теплое с жидким.
Если отключить скрипты на любом сайте,  но не бездумно, а по фильтрам, то есть в которых по шаблону обнаружена рекламная деятельность, и всякая ненужная  фигня, но оставляя даже скрипты с неидентифицированным назначением и локальные, то 99.999% процентов сайтов не вообще теряют функциональность, а только работают быстрее. А у 70% сайтов умный фильтр выпиливает вообще ВСЕ скрипты, без потери функциональности.

Проблема не в JS, а в его использовании не по назначению. Был бы в браузерах Питон вместо JS, так мерзости писали бы на нём, и выпиливали уже его.

Итого: Со временем ADBLOCK рискует развиться в самостоятельную ОС. Шутка. :)

"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено b00by , 20-Авг-22 18:39 
> Большинство предпочитает удобные сайты

Жирный ком скриптов, загрузки которого приходится ждать по 10 секунд, ты называешь "удобным"?
По моему опыту, всё еще встречающиеся иногда сайты с "загрузкой новой страницы на каждое действие" по юзабельности просто lightning fast по сравнению с вашими "удобными".

> Большинство предпочитает

... кушать то, что положат в кормушку в хлеву.

"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено _hide_ , 18-Авг-22 14:07 
Выпиливать JS? Зачем?
Проблема с использование говнокода на сайтах может быть решена только если заказчики будут проводить необходимый аудит выполненной работы. К примеру, дать браузер без JS вэбпогромисту и попросить сделать основные действия на сайте (поиск, просмотр, отправку заявок и т.п.). Но частенько это и при включенном JS не работает :-)
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено вэбпогромист , 20-Авг-22 18:43 
*судорожно ищет курсы "как погромировать без js"*
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Шарп , 17-Авг-22 09:12 
>API FedCM (Federated Credential Management), позволяющем создавать объединённые сервисы идентификации

У вас зонды протекли.

"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 13:09 
Это фича.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Шарп , 17-Авг-22 09:13 
>обращением к уже освобождённой памяти (use-after-free)

rust

"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 10:07 
carbon
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Ann , 17-Авг-22 10:54 
Pure C
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Анонн , 17-Авг-22 15:16 
Не, спасибо.
Вот на ЭТО мы уже насмотрелись...
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Ann , 19-Авг-22 06:45 
Куча ПО на нем написана, т.ч. и ОС. И вполне сносно по качеству. Значит, дело не в языке, и ничего не мешает написать на нем браузер.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Корец , 17-Авг-22 17:00 
asm
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Максим , 17-Авг-22 19:36 
Для слабаков. Только машинный код!
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 19:37 
непортабельно между архитектура и операционками, как и ASM
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 18-Авг-22 09:44 
Ты почему-то говоришь что это плохо. Но даже автор Си и Юникса, писал что на Си Юникс работает на 20-40% медленнее чем на ассемблере.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 18-Авг-22 13:58 
Лет 10 назад с компиляторами было плохо. Опенсорсность и конкуренция пошли на пользу,  50 лет назад и подавно.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 18-Авг-22 11:15 
так он ведь не сказал какой асм, может быть llvm assembler, он вполне себе портабелен
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 19-Авг-22 00:13 
ты ещё webasm вспомни
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 09:40 
на не включающийся монитор по прежнему наплевали, в 105 попытались исправить и всё, 3 месяца приходится быть на 101 версии
https://bugs.chromium.org/p/chromium/issues/detail?id=1329573
https://bugs.chromium.org/p/chromium/issues/detail?id=1339361
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 11:18 
Да, это гадко. Грешил на ОС пока не нашел что дело в браузере.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 11:17 
JS was a mistake.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 13:08 
Хочу повторить что произойдет после релиза языка Карбон и связанного с ним переписывания на Карбон браузера Гугл Хром. Язык Карбон настолько хорош что не требует для своей работы другие языки программирования. Язык Карбон новый быстрый и безопасный язык, который решает все проблемы с которыми столкнулись другие языки, например раст. Язык Карбон бесшовное работает с C/C++ так как просто транслируется в С++ код и не требует полного переписывания всей кодовой базы, при этом обеспечивает полную безопасность в компайлтайм за счет использования компилятора языка Карбон. Карбон — это то что сделают вашу жизнь надежной и безопасной.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено erthink , 17-Авг-22 13:42 
Хороший сарказм, но (как ни странно) многие буквально трактуют подобный гугло-маркетинг и верят ему.

Тем не менее, есть шансы что у гугла получиться довести до ума этот препроцессор/предтранслятор для C++ (дабы понизить зарплаты и требования к части своих разработчиков).

"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 14:13 
Только гугл не имеет к этому отношения . Как не имеет отношения к вязанию носков уборщицей , вытирающей пыль в кабинетах .
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено erthink , 17-Авг-22 14:34 
> Только гугл не имеет к этому отношения . Как не имеет отношения
> к вязанию носков уборщицей , вытирающей пыль в кабинетах .

Никто бы не заметил карбон, если бы Чендлер не работал в гугле и внутри гугла не было разговоров о создании велосипеда наперекор расту, который ждали уже лет 10 (как стало понятно что гошечка оживает, но про другое).

Собственно никто не будет помнить карбон через пару лет, если гугул не вложиться, либо еще кто-то не даст бабла на "carbon foundation" до конца года.

Но вангую, что помахают флажками еще максимум полгодика и переделают "карбон" в условный "мифрил", поправив по-пути что-нибудь самое раздражающее и/или неудобное.

"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 15:20 
Ага точно так же Мозилла не имела отношения к расту. Тоже это была идея какого-то программиста.

Это просто маркетинг для того чтобы пользователи верили что язык начал какой-то простой программист, а не менеджер сверху сказал нужен язык!

"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 14:54 
Следя одно время за релиз нотами хрома, заметил такой паттерн: помпезно выходит версия, допустим, 100.1.2, обновляться всем СРОЧНО. Проходит пара дней, в гугле НАКОНЕЦ-ТО заканчивают работать автотесты на выпущенный релиз, статический анализ находит очередной десяток use after free (каждый ну ооочень критичный), выходит 100.1.3, обновляться всем ещё срочнее. Надо ли про каждый такой чих писать новости, если повторяется это каждые, сколько у них там, две недели? По-моему, не надо.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 21:11 
Конечно надо. Гуглохромом пользуется большинство.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 18-Авг-22 12:15 
Он у всех обновляется автоматически, когда гугель скажет. Эксплуатации этих уязвимостей в дикой природе обычно не замечены.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено A , 17-Авг-22 19:19 
На какую версию нужно сдаунгрейдить, чтобы не было уязвимости из новости?
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 17-Авг-22 19:39 
там где вкладки были в виде трапеций
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено birdie , 18-Авг-22 08:16 
При этом у Chromium есть туча форков, некоторые из которых обновятся дай бог через две недели, а то и месяц.

Включая гипер популярный в этой стране Yandex Browser - не понимаю людей, которые ставят дырявый браузер от KГБ.

"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 18-Авг-22 09:46 
Не понимаю почему ты при всех своих знаниях не заставляешь людей удалять браузер индекса и не ставишь им единственно верный браузер.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 20-Авг-22 21:43 
> Не понимаю почему ты при всех своих знаниях не заставляешь людей удалять браузер индекса и не ставишь им единственно верный браузер.

Никто из моих знакомых не пользуется Ya Browser - все либо на Firefox, либо на Chrome.

Заставлять население всей страны? Для этого есть дед, который всех поставил раком, и жёстко имеет уже 20 лет подряд.

"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено X86 , 19-Авг-22 15:13 
скорее всего проблема не в ЯндексБраузере, а в дырявых мозгах комментатора выше моего комментария.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 20-Авг-22 21:47 
> скорее всего проблема не в ЯндексБраузере, а в дырявых мозгах комментатора выше моего комментария.

Я не понял смысла этого испражнения из мозга. Ya Browser обновляется сильно позже официального релиза хрома - всё это время его пользователей могут поиметь, ибо он построен на той же кодовой базе.

В чём мои мозги дырявые, если я констатирую факты, не знаю. Аудитория opennet внушает сомнения в уровне IQ, который, судя по двум комментариям выше, уверенно стремится к нулю.

Минусы от зарегистрированных пользователей подтверждают факт, что с уровенем интеллекта тут очень всё плохо.

"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено iZEN , 18-Авг-22 10:39 
Какой же он блоатваре!! Но им приятно пользоваться, в отличие от Firefox.
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено Аноним , 19-Авг-22 13:42 
Прям как Ландыш 6S!
"Обновление Chrome 104.0.5112.101 с устранением критической у..."
Отправлено истина в последней инстанции , 19-Авг-22 15:57 
хром сам по себе одна большая уязвимость. как и весь современный веб, когда туда придут растоманы можно будет хоронить окончательно. весь функционал тупо вырежут и ничего не сделают. но зато будет безопасно неработать вообще