The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Первый выпуск новой SSL/TLS-библиотеки BearSSL"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от opennews (??) on 06-Ноя-16, 12:15 
Доступен первый выпуск библиотеки BearSSL (https://bearssl.org), предлагающей компактную реализацию протоколов SSL и TLS (RFC 5246).  Автором разработки является канадский эксперт по криптографии (Thomas Pornin (http://www.bolet.org/~pornin/cv-en.html)), автор RFC 6979 (https://tools.ietf.org/html/rfc6979),  разработчик библиотеки sphlib (http://www.saphir2.com/sphlib/), создатель функции хэширования паролей Makwa (http://www.bolet.org/makwa/), соавтор хэша Shabal (https://ehash.iaik.tugraz.at/wiki/Shabal), блочного шифра DFC (https://ru.wikipedia.org/wiki/DFC) и потокового шифра SOSEMANUK (https://ru.wikipedia.org/wiki/SOSEMANUK). Код проекта написан на языке Си и распространяется (https://bearssl.org/gitweb/?p=BearSSL;a=summary) под лицензией MIT. Выпуск выпуск 0.1 позиционируется как ознакомительный, а разработка пока находится в состоянии альфа-тестирования.

Ключевые цели проекта:

-  Надёжность и безопасность. Поддерживаются только проверенные версии протоколов и алгоритмы, в которых не зафиксировано уязвимостей. Реализации алгоритмов по умолчанию защищены от timing-атак (https://ru.wikipedia.org/wiki/%D0%90%D1%...);

-  Небольшое потребление ресурсов и небольшой размер кода. Минимальная сборка занимает всего 20 Кб и требует для своей работы 25 Кб ОЗУ;

-  Высокая переносимость, возможность сборки не только для стационарных систем, но и для контроллеров, загрузчиков и встраиваемых решений;

-  Поддержка различных расширений и наборов шифров для SSL/TLS. Расширяемость через систему дополнений, позволяющая сторонним разработчикам создавать собственные реализации алгоритмов для BearSSL.

Реализованные возможности:


-  Применение модели статического связывания для включения в итоговые бинарные файлы только используемых алгоритмов без необходимости пересборки BearSSL со специальными опциями препроцессора;

-  Несколько вариантов API: основной state-machine API без callback-вызовов для ввода/вывода (удобен для обработки сообщений и программах с мультиплексированием на основе модели poll/select) и упрощённый потоковый API с callback-вызовами для низкоуровневой обработки ввода/вывода;
  

-  Полный отказ от динамического выделения памяти и предсказуемое потребление памяти, что обеспечивает неподверженность проблемам с утечками памяти и  DoS-атаками, направленными на излишнее потребление ОЗУ. В библиотеке нет ни одного вызова malloc(), а из библиотечный функций используются только memcpy(), memmove(), memcmp() и strlen(), что упрощает перенос на различные специфичные системы и позволяет применять BearSSL в загрузочных окружениях без ОС. На стационарных системах для обращения к  таймеру и генератору случайных чисел используются предоставляемые ОС системные вызовы;

-  Реализация клиентских и серверных  компонентов;
-  Поддержка TLS 1.0, TLS 1.1 и TLS 1.2. SSL 2.0 и SSL 3.0 не поддерживаются из-за подверженности уязвимостям;

-  Поддержка алгоритмов обмена ключами RSA, ECDH и ECDHE. В ECDHE реализовано свойство "Forward Secrecy (https://ru.wikipedia.org/wiki/Perfect_forward_secrecy)", не позволяющее расшифровать перехваченный сеанс при компрометации одного из долговременных ключей. DHE принципиально не поддерживается;

-  Реализованы минимально необходимые средства для проверки сертификатов X.509: сопоставление subject/issuer DN, оценка времени notBefore/notAfter, применение основных условий и расширения для обмена ключами. Код проверки выдаёт отрицательный результат при задействовании в сертификатах неподдерживаемых возможностей важных TLS-расширений. Существенным ограничением является отсутствие проверки отзыва сертификата;

-  Поддержка цифровых подписей  RSA и ECDSA, а также всех  классических хэш функций  (SHA-1, SHA-2 от SHA-224 до SHA-512), кроме MD5;

-  Поддержка алгоритмов шифрования  AES/GCM, AES/CBC и 3DES/CBC;
-  Поддержка ллиптических кривых. secp256r1 (P-256), secp384r1 (P-384) и secp521r1 (P-521);
-  Обеспечена защита от проведения атак по сторонним каналам для  AES/GCM, AES/CBC, 3DES/CBC, RSA и реализаций эллиптических кривых. BearSSL затрачивает постоянное время на обработку заполнения и зашифрованных данных, а также однородно обрабатывает некорректные входные данные;

-  Поддержка возобновления прерванных сеансов для клиента и сервера. Для обработки повторных запросов согласования соединений предоставляется простой кэш сеансов (при включении расход памяти около 100 байт на сеанс);
-  Поддержка безопасного метода повторного согласования соединения (Secure Renegotiation, RFC 5746), прерывающего операцию если другая сторона не поддерживает запрошенное расширение;

-  На стороне клиента для согласования меньшего максимального размера записей используется расширение для ограничения максимальной длины фрагмента (Maximum Fragment Length);


Из планов на будущее отмечается поддержка алгоритмов ChaCha20+Poly1305 (RFC 7905), задействование инструкций AES-NI для ускорения AES на современных x86 CPU, оптимизация для процессоров ARM, ускорение работы RSA, поддержка Curve25519 и EdDSA, расширенные средства для работы с клиентскими сертификатами, высокоуровневые функции (генерация пар ключей, самоподписанные сертификаты), поддержка DTLS, поддержка расширения  ALPN  (RFC 7301) для HTTP/2, поддержка TLS 1.3 после утверждения  RFC.


URL: https://bearssl.org/#status
Новость: https://www.opennet.ru/opennews/art.shtml?num=45438

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +36 +/
Сообщение от Аноним (??) on 06-Ноя-16, 12:15 
Сайт немодный, даже без js, есть надежда что взлетит
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –5 +/
Сообщение от аноном on 06-Ноя-16, 13:01 
Ага, и не хватает фотки котэ или еще какой фотохрени.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +10 +/
Сообщение от Меломан1 on 06-Ноя-16, 13:24 
Сайт просто мечта. Все были бы такие.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

30. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –16 +/
Сообщение от angra (ok) on 06-Ноя-16, 20:56 
Какие такие? Чистая статика и перезагрузка всей страницы на каждый клик по ссылке? Спасибо, я это помню на заре www, не надо туда возврата. Годится такое, только для очень ограниченного множества сайтов.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

33. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +9 +/
Сообщение от Mihail Zenkov (ok) on 06-Ноя-16, 21:18 
> Какие такие? Чистая статика и перезагрузка всей страницы на каждый клик по
> ссылке? Спасибо, я это помню на заре www, не надо туда
> возврата.

Сейчас несомненно лучше - грузится несколько мегабайт с десятка (а то и больше) серверов, для рендеринга одной страницы нужны десятки-сотни мегабайт, а затем js ест проц даже если нечего не делаешь ... На заре www браузер работал на машине с 32-64 MB RAM и интернет грузился через dial-up - каждая страница и все картинки тщательно оптимизировались, а js использовали только при реальной необходимости. Да и фреймы появились достаточно давно.


Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

40. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –2 +/
Сообщение от Аноним (??) on 07-Ноя-16, 00:27 
> Да и фреймы появились достаточно давно.

Они бесполезны. Отапдейтить состояние одного контрола ими нельзя, да и сам фрейм жестоко мельтешит и создает дефекты рендеринга. Правда жизни такова что пользователи проголосовали ногами. То что там грузится с 10 серверов - оно грузится только в первый раз. А потом оседает в кэше. Это неудобно тем кто активно ходит по разным сайтам, но большинство юзерей ходят на 5-6 постоянных сайтов и им удобно - cache hit в почти 100% случаев. Поэтому они не понимают ваших страданий.

Ну и с чисто практической точки зрения - если хочется апдейтить что-нибудь без мельканий, мельтешений и бесилова пользователей от ожидания с пустым экраном, JS таки придется использовать. Хоть он и гэ и DOM полон грабель. Сейчас другие требования к UX и UX уровня опеннета - годится только для полутора сайтов с фриками. В остальных случаях - продукт не купят, с сайта уйдут пользователи, etc. И единственное что останется это закрыть проект, если сайт был сколь-нибудь важной частью оного. Сейчас несколько сотен миллионов сайтов и пользователи норовящие заякориться за 5-6 сайтов. Вот и. Нет, если кому-то хочется почитать про либу типа сабжа - так там сайт вообще до кучи. Остальные себе такое позволить не могут.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

41. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +6 +/
Сообщение от Mihail Zenkov (ok) on 07-Ноя-16, 02:35 
>> Да и фреймы появились достаточно давно.
> Они бесполезны. Отапдейтить состояние одного контрола ими нельзя,

Естественно - они ведь не для этого. Но они могут помочь отделить неизменные части (меню/шапка/etc) от изменяемых при клике (контента).

> да и сам фрейм
> жестоко мельтешит и создает дефекты рендеринга. Правда жизни такова что пользователи
> проголосовали ногами. То что там грузится с 10 серверов - оно
> грузится только в первый раз.

Ну да, сходите на aliexpress - вот уж апофеоз современных технологий. Один логин чего стоит.

> Это
> неудобно тем кто активно ходит по разным сайтам, но большинство юзерей
> ходят на 5-6 постоянных сайтов и им удобно - cache hit
> в почти 100% случаев.

Жирным сайтам это мало помогает - они все равно тормозят, в то время как сайты типа opennet грузятся за доли секунды.

> Поэтому они не понимают ваших страданий.

Угу, просто тихо матерятся, особенно на телефонах/планшетах. Если сигнал ослабел и модем перешел в 2g - проще плюнуть и отключиться - нервы дороже.

> Ну и с чисто практической точки зрения - если хочется апдейтить что-нибудь
> без мельканий, мельтешений и бесилова пользователей от ожидания с пустым экраном,
> JS таки придется использовать.

Да, но не сувать его всюду, да так, что браузер умудряется тормозить на современной машине, а без js сайт использовать не реально.

> Сейчас другие требования к UX и UX уровня опеннета -
> годится только для полутора сайтов с фриками. В остальных случаях -
> продукт не купят, с сайта уйдут пользователи, etc. И единственное что
> останется это закрыть проект, если сайт был сколь-нибудь важной частью оного.

Открываем wikipedia.org, отключаем js. О чудо, сайт практически не изменился (только раскрылись скрытые области)! UX у wikipedia.org мало отличается от opennet и скорость загрузки отличная. Сколько там у них посещений?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 07-Ноя-16, 04:58 
> Естественно - они ведь не для этого. Но они могут помочь отделить
> неизменные части (меню/шапка/etc) от изменяемых при клике (контента).

Боюсь что это годится только для сильно некоторых случаев да и работает хреново. На фреймы есть немало ограничений, мигание никуда не девается, да и квадратно-гнездовое мышление в представлении контента - это так здорово.

> Ну да, сходите на aliexpress - вот уж апофеоз современных технологий. Один
> логин чего стоит.

Я не только туда сходил но и покупаю там иногда. Интерфейс как интерфейс. Он конечно многовато скриптов грузит, но юзабелен даже на старом лаптопе и довольно функционален, позволяя найти что ищешь, отфильтровать, отсортировать и проч и в целом достаточно удобен. Обычный современный магазин. С чисто пользовательской точки зрения отвращения не вызывает и задачу выполняет. Единственное за что я бы их сильно ругал - отзывы булшит, писаный тупоботами для накрутки рейтинга продавана. Но это не про интерфйейс.

Вы в вашем праве запилить такое без JS, если сможете. И законкурировать негодяев. Но если что - создатель этой штуки один из богатейших людей планеты. Который сколотил свое состояние вот как раз этой штукой. Наверное это неплохая оценка результатов его работы пользователями всей планеты. Если бы им не нравился интерфейс - мы бы его тут вообще не обсуждали.

> Жирным сайтам это мало помогает - они все равно тормозят, в то
> время как сайты типа opennet грузятся за доли секунды.

Особенно добавление комента к новости где было 150 коментов. Оно так приятно мельтешит, перегружая и перерендеривая невъе...ю простынку. И конечно же полный ререндер 150 коментов не тормозит. Но график занятости проца с этим не согласен.

> Угу, просто тихо матерятся, особенно на телефонах/планшетах.

А вы попробуйте посмосмотреть на телефоне или планшете опеннет :). Не какую-то там отдельную мобильную версию, а обычную. Эпичная "адаптивная" верстка. На мелком экране у полной версии появляется прелестный скроллбар, видно примерно треть контента. Последний писк 2000 года.

Вы уж простите но сейчас даже совсем-не-вебдевы могут взять бутстрап и там это будет сильно более прилично. Так что одна и та же страница нормально выглядит и на моем огроменном мониторе, и на китайском тетрисе 320х480. Я лично проверял - не врут.

> Если сигнал ослабел и модем перешел в 2g - проще плюнуть и отключиться - нервы дороже.

Это же можно сказать про перегрузку всей простыни с 150 коментами после добавления комента. Вот как раз такие вещи JS + XMLHttpRequest нормально обыгрываются. Для коментов еще можно пережить, но случаи разные бывают.

> Да, но не сувать его всюду, да так, что браузер умудряется тормозить
> на современной машине, а без js сайт использовать не реально.

И такое тоже бывает. А что до "без js нереально" - ну, блин, в вебе забыли сделать даже просто нормальные виджеты, на одних формах и куках все делать мучительно и работает все это херово. Да и опеннет в отличие от алиэкспресса планету не захватил.

> Открываем wikipedia.org, отключаем js. О чудо, сайт практически не изменился

Я не против fallback без js, но некоторые вещи без js совсем не игого. А как насчет дашборда с кучкой показометров, например? Ну или как предлагается запилить кроссплатформенный интефейс управления/мониторинга доступный без геморроя по сети в современном мире? Нет, запиливать виндузоидам программу с setup.exe я вообще совсем не хочу. Еще меньше я хочу рассказывать этим дакам как настроить в их системе их файрвол, например.

> (только раскрылись скрытые области)!

Если там попробовать что-нибудь еще и редактировать - потеря функциональности будет весьма ощутима. Но в целом именно они могут и без js работать. Да и без php и БД. По большому счету статьи - практически статичные хтмлки. Которые меняются редко. Но это лишь один из вариантов использования веба.

> UX у wikipedia.org мало отличается от opennet и скорость
> загрузки отличная. Сколько там у них посещений?

Я рад за них, но собственно взаимодействие с сервером там не сказать что поражает воображение. Взаимодействие чуть больше чем чтение книжки. Уже видео посмотреть - опа! Без js доступны только обкоцаные ogv в самом галимом качестве и древнючем VP3. Хочется webm с разрешением побольше? А там чудесатый мега-плеер с сотнями js. Без него узнать урлу более приличного варианта мувика в webm - а откуда? :)

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

54. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от кверти (ok) on 07-Ноя-16, 07:52 
>Если бы им не нравился интерфейс - мы бы его тут вообще не обсуждали

Что за бред? На Али пользователи ходят из-за дешевого китайского барахла, интерфейс там вторичен.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

88. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 10-Ноя-16, 06:17 
> Что за бред? На Али пользователи ходят из-за дешевого китайского барахла, интерфейс
> там вторичен.

Али - это прежде всего площадка. Для продаванов и покупателей. Если бы интерфейс раздражал пользователей - площадка не взлетела бы как место для взаимодействия. В конце концов есть зиллион китайских магазинчиков. Некоторые из них достаточно жирные и успешные.

И таки вы знаете, а в РФии например были до недавних пор несколько гамазинов где таки все на формах и фрймах. Только оно выглядит как "назад в 1999" и, что хуже для продавана, на этом решительно невозможно найти именно то что ты хотел купить. И вот вроде хороший продаван, цены вменяемые. Но нет, покупка не состоится. Потому что я задолбался искать и описание товара полный трэш. Но конкуренты стали припекать - и таки появился и js и xmlhttp и вообще. Когда начинает напрягать платить даже аренду склада, потому что покупать перестали - еще не так раскорячишься.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

60. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от Mihail Zenkov (ok) on 07-Ноя-16, 13:45 
> Боюсь что это годится только для сильно некоторых случаев да и работает
> хреново. На фреймы есть немало ограничений, мигание никуда не девается,

Что за мигание?

> да
> и квадратно-гнездовое мышление в представлении контента - это так здорово.

А какое оно должно быть? Вроде все нормальные сайты имеют блочную структуру. Есть конечно особо одаренные - у них со всех сторон всякая всплывающая хрень летает и читать мешает, но трудно назвать это хорошим UX.

>> Ну да, сходите на aliexpress - вот уж апофеоз современных технологий. Один
>> логин чего стоит.
> Я не только туда сходил но и покупаю там иногда. Интерфейс как
> интерфейс. Он конечно многовато скриптов грузит, но юзабелен даже на старом
> лаптопе и довольно функционален,

Сейчас его немного привели в чувство, но все равно - процедура логина идет 5-10 секунд.

> позволяя найти что ищешь, отфильтровать, отсортировать
> и проч и в целом достаточно удобен.

Поиск раньше был лучше - можно было задать количество, которое хочешь купить и найти выгодное предложение. Многие предложения вообще не попадают в поиск - уже не первый раз замечаю, что в разделе "From Other Sellers" попадаются предложения, которых нет в поиске.

> Вы в вашем праве запилить такое без JS, если сможете. И законкурировать
> негодяев. Но если что - создатель этой штуки один из богатейших
> людей планеты. Который сколотил свое состояние вот как раз этой штукой.
> Наверное это неплохая оценка результатов его работы пользователями всей планеты. Если
> бы им не нравился интерфейс - мы бы его тут вообще
> не обсуждали.

Как уже сказали - все дело в ценах. Жалоб на работу сайта очень много, но из-за низких цен и большого выбора люди продолжают пользоваться.

>> Жирным сайтам это мало помогает - они все равно тормозят, в то
>> время как сайты типа opennet грузятся за доли секунды.
> Особенно добавление комента к новости где было 150 коментов.

Даже сейчас эта тема весит около 150 КБ - что по меркам современного вэба - капля.

> Оно так приятно
> мельтешит, перегружая и перерендеривая невъе...ю простынку. И конечно же полный ререндер
> 150 коментов не тормозит. Но график занятости проца с этим не
> согласен.

Конечно, отрендерить один раз "150 коментов" куда затратнее, чем постоянно гонять бесполезную анимацию на JS.

>> Угу, просто тихо матерятся, особенно на телефонах/планшетах.
> А вы попробуйте посмосмотреть на телефоне или планшете опеннет :). Не какую-то
> там отдельную мобильную версию, а обычную. Эпичная "адаптивная" верстка. На мелком
> экране у полной версии появляется прелестный скроллбар, видно примерно треть контента.
> Последний писк 2000 года.

Так для этого и делают несколько версий верстки. Ali пошел еще дальше - сделал мобильное приложение - и работает быстрее и UI адаптирован.

> Вы уж простите но сейчас даже совсем-не-вебдевы могут взять бутстрап и там
> это будет сильно более прилично. Так что одна и та же
> страница нормально выглядит и на моем огроменном мониторе, и на китайском
> тетрисе 320х480. Я лично проверял - не врут.

Все это от не желания сделать удобный и продуманный UI для нескольких разрешений. Ведь нужно не просто втиснуть все, а пересмотреть весь сайт и его структуру.

>> Если сигнал ослабел и модем перешел в 2g - проще плюнуть и отключиться - нервы дороже.
> Это же можно сказать про перегрузку всей простыни с 150 коментами после
> добавления комента.

Даже на 2g (12-24 КБ/c) такая страница загрузится за 10 секунд.

>> Да, но не сувать его всюду, да так, что браузер умудряется тормозить
>> на современной машине, а без js сайт использовать не реально.
> И такое тоже бывает. А что до "без js нереально" - ну,
> блин, в вебе забыли сделать даже просто нормальные виджеты, на одних
> формах и куках все делать мучительно и работает все это херово.

Я не говорю, что js нужно выкинуть. Я говорю - использовать его только при реальной необходимости (форумы, интернет магазины, длинные списки с сортировкой). Обычные сайты, предлагающие только просмотр, должны нормально работать и без него.

> Да и опеннет в отличие от алиэкспресса планету не захватил.

Зато wikipedia захватила. Если их дизайн поменять местами - ничего бы принципиально не изменилось - люди бы пользовались, так как важен контент, а не дизайн.

> А как насчет дашборда с кучкой показометров, например?

Нафиг-нафиг - только adblock да umatrix и спасает от "прелестей" современного вэба. Я тут как то посидел на чужой машине без этих дополнений - и мягко говоря офигел от количества "мусора" на экране. В добавок "муcор" как вирус мутирует и становится все агрессивнее.

> как предлагается запилить кроссплатформенный интефейс управления/мониторинга доступный
> без геморроя по сети в современном мире?

Так web ui всяких роутеров и строят на фреймах ;) JS там конечно тоже есть, но по делу.

>> (только раскрылись скрытые области)!
> Я рад за них, но собственно взаимодействие с сервером там не сказать
> что поражает воображение.

Оно должно не "поражать воображение", а выполнять поставленную задачу.

> Взаимодействие чуть больше чем чтение книжки. Уже видео
> посмотреть - опа!

Это общий косяк современного веба - вместо того, что бы честно отдать ссылки - их прячут всеми возможными способами. Отсюда и костыли при попытке подключить полноценный внешний плеер, вместо убогого на JS.

> Без js доступны только обкоцаные ogv в самом
> галимом качестве и древнючем VP3. Хочется webm с разрешением побольше? А
> там чудесатый мега-плеер с сотнями js. Без него узнать урлу более
> приличного варианта мувика в webm - а откуда? :)

Можно пример такой страницы с wikipedia? Вроде они прямые ссылки на файлы никогда не зажимали.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

79. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от cmp (ok) on 08-Ноя-16, 08:20 
На счет али абсолютно согласен, хотя нет, думаю всетаки за такой интерфейс стоит бить. Логин порой вообще не работает, то есть он говорит, что сервис недоступен, и приходится добавлять в корзину фонарный товар и жать купить, а потом жать отмену, чтобы попасть в ордер-лист и почитать, что продаван написал.

Поиск испортили, теперь -тэг не работает, и найти среди мусора что-то конкретное тяжко.

> Так web ui всяких роутеров и строят на фреймах ;) JS там конечно тоже есть, но по делу.

а вот тут ой, у нас железо есть, которое меняет ip, маску и шлюз отдельными запросами, то есть если сменить сразу все, то железяка поменяет что-то одно и станет недоступна.

Наверное, любую технологию надо использовать с умом, хотя порой проще добавить jsину, которая дождется окончания рендера страници и перенесет что-то кудато, чем разбираться в чужих маклях.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

81. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Mihail Zenkov (ok) on 08-Ноя-16, 13:02 
> а вот тут ой, у нас железо есть, которое меняет ip, маску
> и шлюз отдельными запросами, то есть если сменить сразу все, то
> железяка поменяет что-то одно и станет недоступна.

Так оно и тогда в любом случае станет недоступно - что прямыми запросами, что через web ui с js - ведь js исполняется на стороне клиента.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

89. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 10-Ноя-16, 07:23 
> Что за мигание?

При загрузке/перезагрузке фреймов, вестимо. Из JS'а то можно очень гранулярно адресовать кусочик DOM и там все относительно цивильно получается. А если пагу целиком... это грабли.

> А какое оно должно быть? Вроде все нормальные сайты имеют блочную структуру.

А еще процентов 70 из них любят число "12" и вообще выглядят очень характерно. Твиттер сделал в бутстрапе нечто немного похожее по смыслу, но - менее ушлепищно.

> Есть конечно особо одаренные - у них со всех сторон всякая всплывающая хрень
> летает и читать мешает, но трудно назвать это хорошим UX.

С другой стороны, если хрень не всплывающая - она место на экране занимает и тоже будет мешать читать. Ах, можно сделать шапку скроллируемой с контентом? Можно, но тогда навигация по сайту превратится в геморрой.

В общем идеальный UI/UX штука сложная. И если кто думает что он может обставить алиэкспресс - придите и обставьте. Сам алиэкспресс ничего не продает, это площадка для продавцов и покупателей. Кто угодно может накодить такое же и предложать продавцам открыть свой магазинчик именно там. Но надо как-то убедить продавцов и покупателей использовать именно это, а не конкурентов. Удачи в этом. Особенно с вашими понятиями об UX. В смысле, на месте инвесторов я бы вам не дал ни цента под такой прожект - фэйльте за свой счет если хотите.

> Сейчас его немного привели в чувство, но все равно - процедура логина идет 5-10 секунд.

Процедура логина делается 1 раз при входе на сайт и основное время занимает все-таки поиск товаров и оформление покупки и сопутствующие операции. Поэтому улучшить можно, но - просто не приоритетно.

> Поиск раньше был лучше - можно было задать количество, которое хочешь купить
> и найти выгодное предложение.

Али как я понял позиционируется более-менее как розничный. Поэтому скидки за количество там не распостранены. Иногда правда все-равно бывают. Для опта у них IIRC другая площадка есть. А так сортировка по цене никуда не девалась как и галка free shipping. Вполне себе выгодно находит. Правда китайцы мухлюют - free shipping таки может оказаться не совсем free.

> Как уже сказали - все дело в ценах. Жалоб на работу сайта
> очень много, но из-за низких цен и большого выбора люди продолжают пользоваться.

Для тех кто в танке, еще раз: aliexpress сам по себе ничего не продает. Это площадка которая стыкует продавцов и покупателей. Продавцы - совершенно отдельные фирмочки и личности. Как и покупатели. И если они не захотят использовать именно эту площадку - то площадка помрет. Никто не запрещает запилить свою платформу позволяющую открывать интернет-магазинчики всем желающим и т.п. и законкурировать эту платформу.

> Даже сейчас эта тема весит около 150 КБ - что по меркам современного вэба - капля.

Это далеко не самая горячая тема опеннета. И таки юзабилити у сайтов типа digg имхо получше.

> Конечно, отрендерить один раз "150 коментов" куда затратнее, чем постоянно гонять бесполезную
> анимацию на JS.

А с чего ради анимация на js - постоянная? Нет, если вебмастер удод он так конечно может сделать, но это относительно редко случается. И он может и в гольную статику с кучей элементов раскорячивающих DOM воткнуть рефреш, мало не покажется. Но это вы еще просто не видели что особо креативные личности с CSS делают. Маньяки чуть ли не 3D двигло с жестокими трансформациями делают - и без единой строчки JS. Вроде как современный CSS аж тюринг-полный, со всеми вытекающими. И если блокеры js бывают, то вот блокеров CSS и анимаций CSS я так даже и не встречал. В лучшем случае может адблокером можно придушить, но это зависит от.

А рендер - не один раз, а при каждой загрузке страницы. Если вебмастер удод как с JS - он refresh воткнет. Или просто фоновый жыпег на два мегабайта. Так даже чистая статика а-ля опеннет может полчаса грузиться. Особенно если уеб-мастер полный фломастер и дурной порядок вгрузки ресурсов организовал. Так что сначала вы скачаете 2 мега жпега взирая на пустой экран, а потом, если дождетесь... но 99% пользователей просто закроет глючный сайт.

> Так для этого и делают несколько версий верстки.

Вообще-то сейчас это как раз не модно. Модно чтобы контент адаптировался под экран. В css есть условные операторы позволяющие подогнать представление к параметрам экрана. И любой сайт на бутстрапе себя грамотно "переверстывает" под экран. Без галимых скорллбаров и как раз юзабилити там весьма приличное. Иначе нафиг кому надо было эту адаптивную верстку. Для юзера это удобно тем что ему достаточно помнить один адрес сайта и не заморачиваться мобильная это версия или обычная. Сайт рендернется под размеры экрана. Хорошо придумано, имхо.

> Ali пошел еще дальше - сделал мобильное приложение - и работает быстрее и UI адаптирован.

И это так удобно - ставить под каждую хню по программе. А потом юзеры ведроида жалуются что батарейка полдня живет. Потому что программы умнее владельца и живут своей жизнью, вытворяя все что можно и нельзя. И в отличие от браузера они имеют нормальный доступ в систему.

> Все это от не желания сделать удобный и продуманный UI для нескольких разрешений.

Только полный кретин хочет делать одну работу 3-4 раза. Тем более что в CSS сейчас достаточно серьезные средства для адаптивности и, собственно, UI может довольно серьезно перепахаться по критерию размера экрана. CSS может менять не только свойства контента но даже и например добавить контент сам. Однако как и все остальное у вебмакак - он таки не без бочки дегтя. Нормального наследования/реюза там штатно нет. Сделать именно "виджет" - в вебе вообще нет такого понятия. Поэтому реюзабельные компоненты гуя в вебе - отдельные грабли. Среда представления документов скрестилась с средой выполнения программ и фалломорфировала. Результат достаточно крив и своеобразен.

> Ведь нужно не просто втиснуть все, а пересмотреть весь сайт и его структуру.

CSS это может. Можно не показывать. Можно показывать как-то иначе. Можно что-то скрыть или наоборот добавить.

> Даже на 2g (12-24 КБ/c) такая страница загрузится за 10 секунд.

Однако ж проц при этом весьма серьезно клинит. Да и 150 кило траффика. А JS'ом можно было бы послать пару кило (комент) на сервер, получить ответ что принято (или не принято) мизерного веса и встроить комент в DOM-дерево. Ничего не перегружая и не перерендеривая кроме комента. Нормальные сайты так давно и делают, часто еще и комент можно in place редактировать сразу. Без перекидывания на отдельную пагу. В этом случае юзер щарится по странице, читает, а когда хочет откоментить - появляется поле ввода. При отправке - "материализуется" в свой кусок иерархии - JS засылает на сервер и пачит DOM локально.

Т.е. если руки из ж... вынуть - как раз js+XHR могут нефигово траффик сэкономить на самом деле. Но большинство разработчиков под веб - элементарно вебмакаки. Которые судя по всему даже не знают как посмотреть сколько весит этот их Нагенерил Мудрапрограм и сколько он грузится. Вебмакаки - одни из самых низкоквалифицироавнных специалистов. Результат ожидаем. Ну то-есть я без вопросов буду жрать в разы меньше траффа теми же технологяими и даже не тормозить. Для этого надо всего лишь понимать что некоторые вещи делать не стоит. Чаще всего проблема вебмакак - в цеплянии 10 либ на сайт. Каждая кил по 100. Ради пары незначительных контролов, которые можно было и самому сделать если руки из ж... вынуть.

> Я не говорю, что js нужно выкинуть. Я говорю - использовать его
> только при реальной необходимости (форумы, интернет магазины, длинные списки с сортировкой).
> Обычные сайты, предлагающие только просмотр, должны нормально работать и без него.

Вы слишком много хотите от вебмакак. Они либу на сто кил прут ради полутора виджетов (из 250 которые умеет либа). И тут пробивает на креатив. Хочу это. И это. И это. Еще либа. Еще. О, десяток либ - получилось что надо. И грузится нормально. Если с локалхоста, ага. А если через интернет - ну вот вам 2 мега кода. И еще фоновый жыпег. Вебмакаки не знают как их оптимизировать. Нате вот вам 2 мегабайта жпега. Вы всегда мечтали заценить крутую фоновую картинку, правда? Хоть 95% оной и не видно за контентом, но об этом веьмакаки почему-то не думают.

> Зато wikipedia захватила. Если их дизайн поменять местами - ничего бы принципиально не изменилось
> - люди бы пользовались, так как важен контент, а не дизайн.

В их случае - да, пожалуй. Просто потому что конкурентов нет - захочешь не сбежишь.

> Нафиг-нафиг - только adblock да umatrix и спасает от "прелестей" современного вэба.

Есть какие-то более конструктивные идеи как пробросить интерфейс упрввленния и т.п. по сетке и чтобы это смотрелось симпатично и пользователям не в напряг было? Как известно, критикуя - предлагай. И будь готов что преложения тоже покритикуют. Допустим что я не ориентируюсь на полутора фриков а на человечество вообще.

> добавок "муcор" как вирус мутирует и становится все агрессивнее.

Оно как бы да, есть такая проблема. Но вы не ответили на мой вопрос про интерфейсы управления доступные по сети и не создающие геморроя.

> Так web ui всяких роутеров и строят на фреймах ;)

Если это длинк позорный - может быть. А так даже openwrt нынче использует облегченный bootstrap если что. По поводу чего в отличие от длинка и выглядит по человечески. Да и работает получше и умеет побольше. А если реалтаймные графики врубить - хрому то пофиг, а вот лисообразные по жизни очень плохо работают с SVG. И апдейт svg раз в секунду лисообразным не нравится.

> JS там конечно тоже есть, но по делу.

Иногда и почти без него делают. И тогда получаются конкретные угробища, типа того что у длинка.

> Оно должно не "поражать воображение", а выполнять поставленную задачу.

Ну вот у википедии эта задача достаточно простая с точки зрения сервера, контента и логики работы всего этого.

> Это общий косяк современного веба - вместо того, что бы честно отдать
> ссылки - их прячут всеми возможными способами.

В случае википедии это мне вообще не особо понятно. Ну ogv же они отдают, в т.ч. напрямую. А что мешает сделать так же но с webm? Ogv вообще устаел - малоэффективное сжатие. У них избыток бандвиза или места на диске? Нафига мне грузить мувик который много занимает даже при компромиссном качестве как умолчальное нечто? Чтобы потом миллион на оплату бандвиза выклянчивать?

> Можно пример такой страницы с wikipedia? Вроде они прямые ссылки на файлы
> никогда не зажимали.

Любая страница с видео в качестве иллюстрации. Там видео есть - но угробищный и неэффективный ogv (кодек vp3). Но у них обычно есть и более качественные (или компактнын) мувики в webm (в куда более актуальном VP9). Вот только догадаться об этом можно если
1) Включить js
2) дать этому их чудо плееру на js запуститься
3) посмотреть в нем список форматов
4) Выбрать там webm c каким-то более прилиным качеством.

И вот тогда... вот тогда можно и ссылку на него будет выцепить если захотеть. Но как ее взять без js и клацания этого дурацкого плеера я не знаю :)

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

90. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Mihail Zenkov (ok) on 10-Ноя-16, 13:36 
> При загрузке/перезагрузке фреймов, вестимо. Из JS'а то можно очень гранулярно адресовать
> кусочик DOM и там все относительно цивильно получается. А если пагу
> целиком... это грабли.

Я так понимаю, что это зависит от сайта/браузера - если он отображает загружаемую страницу/фрейм кусками - будет мерцание. На opennet - жму ссылку, долю секунды экран остается прежнем, затем появляется новая страница. Мерцания нет, оно бы возникло - если бы сперва загрузилась страница, а затем на нее начали натягивать css и модифицировать js - "современные" сайты иногда и такое делают - естественно все скачет и мигает.

>> Есть конечно особо одаренные - у них со всех сторон всякая всплывающая хрень
>> летает и читать мешает, но трудно назвать это хорошим UX.
> Ах, можно сделать шапку скроллируемой
> с контентом?

Шапка должна быть скроллируемой или очень тонкой - иначе бесполезная трата места по вертикали.

> Можно, но тогда навигация по сайту превратится в геморрой.

Для этого делают боковое меню, благо места по горизонтали в избытке.

> В общем идеальный UI/UX штука сложная. И если кто думает что он
> может обставить алиэкспресс - придите и обставьте. Сам алиэкспресс ничего не
> продает, это площадка для продавцов и покупателей. Кто угодно может накодить
> такое же и предложать продавцам открыть свой магазинчик именно там. Но
> надо как-то убедить продавцов и покупателей использовать именно это, а не
> конкурентов.

Для покупателей китайских магазинов важно (в порядке приоритета):
1. низкие цены
2. защита покупателя
3. широкий ассортимент
4. ui/ux

Для продавцов тоже самое
1. популярность площадки  
2. низкие цены
3. защита продавца
4. ui/ux

Пока ui/ux хоть как-то работает им будут пользоваться.

> Процедура логина делается 1 раз при входе на сайт и основное время
> занимает все-таки поиск товаров и оформление покупки и сопутствующие операции.

Да но логиниться приходится иногда несколько раз в день (приходят сообщения от продавца или хочешь глянуть статус). Бывают дни когда логи вообще не работает. Такая простая и необходимая функция должна работать как часы и мгновенно. А не рассылать запросы на два десятка доменов и глючить когда какой нибудь из них лег.

>> Поиск раньше был лучше - можно было задать количество, которое хочешь купить
>> и найти выгодное предложение.
> Али как я понял позиционируется более-менее как розничный. Поэтому скидки за количество
> там не распостранены.

Очень распространены, ибо не выгодно отсылать товар ценой 0.5-1$ одной штукой. Я так практически все радиодетали покупаю - партиями в 5-100 штук.

> Для опта у них IIRC другая площадка есть.

Есть, но она реально для опта (>1000-10000) изделий, цена договорная.

> А так сортировка по цене никуда не девалась

И тоже глючит - пишу atmega8, находит - 2834 предложения, жму сортировка по цене - 2814 - исчезло 20 предложений. Иногда товар вообще в поиск не попадает, даже если буквально копируешь название товара с открытой страницы продавца. При этом это не левое никому не нужное предложение, а товар с хорошим рейтингом, покупателями и ценой.

>> Как уже сказали - все дело в ценах. Жалоб на работу сайта
>> очень много, но из-за низких цен и большого выбора люди продолжают пользоваться.
> Для тех кто в танке, еще раз: aliexpress сам по себе ничего
> не продает. Это площадка которая стыкует продавцов и покупателей. Продавцы -
> совершенно отдельные фирмочки и личности. Как и покупатели. И если они
> не захотят использовать именно эту площадку - то площадка помрет. Никто
> не запрещает запилить свою платформу позволяющую открывать интернет-магазинчики всем
> желающим и т.п. и законкурировать эту платформу.

Для этого нужна реклама и бонусы для продовцов/покупателей (ниже цены, лучше защита). UI дело десятое. Конкурировать с ali очень сложно - дешевле редко найдешь, система защиты у него отработана и вполне рабочаа. А покупать в мелком магазине с неизвестной защитой ...

>> Так для этого и делают несколько версий верстки.
> Вообще-то сейчас это как раз не модно. Модно чтобы контент адаптировался под
> экран. В css есть условные операторы позволяющие подогнать представление к параметрам
> экрана. И любой сайт на бутстрапе себя грамотно "переверстывает" под экран.
> Без галимых скорллбаров и как раз юзабилити там весьма приличное. Иначе
> нафиг кому надо было эту адаптивную верстку.

Угу и вместо того, что бы сайт стал реально легче для мобильных платформ - он становится еще тяжелее, так как добавляется куча условий.

> Для юзера это удобно
> тем что ему достаточно помнить один адрес сайта и не заморачиваться
> мобильная это версия или обычная.

Неужели до сих пор проблема узнать автоматом платформу/разрешение экрана/dpi? Или как у гугла - нажми по ссылке для облегченной версии или запрос "использовать облегченную версию по-умолчанию?".

> Сайт рендернется под размеры экрана. Хорошо
> придумано, имхо.

Да, но так как разрешений/dpi нынче очень разные, в добавок нужно различать мышь или тоуч - индивидуальный дизайн для хорошего UX просто необходим.

>> Ali пошел еще дальше - сделал мобильное приложение - и работает быстрее и UI адаптирован.
> И это так удобно - ставить под каждую хню по программе. А
> потом юзеры ведроида жалуются что батарейка полдня живет. Потому что программы
> умнее владельца и живут своей жизнью, вытворяя все что можно и
> нельзя. И в отличие от браузера они имеют нормальный доступ в
> систему.

Поэтому я и предлагаю радикальное решение - введение стандартов для разделение контента и ui.

>> Все это от не желания сделать удобный и продуманный UI для нескольких разрешений.
> Только полный кретин хочет делать одну работу 3-4 раза.

Вот эти "не кретины" и делают jpeg'и по 2MB и двадцать библиотек - они же не дураки тратить время на оптимизацию.

> Тем более что
> в CSS сейчас достаточно серьезные средства для адаптивности и, собственно, UI
> может довольно серьезно перепахаться по критерию размера экрана. CSS может менять
> не только свойства контента но даже и например добавить контент сам.

Да, но FHD + мышь и 360p + тоуч - это две большие разницы - UI нужен совершенно разный. Проще сделать разный UI с единой базой данных, чем пытаться все решить в одном.

> Т.е. если руки из ж... вынуть - как раз js+XHR могут нефигово
> траффик сэкономить на самом деле.

Согласен, если использовать с умом - выгода большая.

> Чаще всего проблема вебмакак - в
> цеплянии 10 либ на сайт. Каждая кил по 100. Ради пары
> незначительных контролов, которые можно было и самому сделать если руки из
> ж... вынуть.

Да и эта проблема не только в вэб, но и в остальном программировании.

> Есть какие-то более конструктивные идеи как пробросить интерфейс упрввленния и т.п. по
> сетке и чтобы это смотрелось симпатично и пользователям не в напряг
> было? Как известно, критикуя - предлагай.

Ну конкретно к вэб мордам у меня претензий особых нет. Разве что, они браузер за собой тянут ;)

> И будь готов что преложения
> тоже покритикуют. Допустим что я не ориентируюсь на полутора фриков а
> на человечество вообще.

Я ниже предложил радикальное решение - отделить данные от UI. Но это не применимо без введения единых стандартов.

> Если это длинк позорный - может быть.

Да все подряд - zte, huawei, etc.

>> Это общий косяк современного веба - вместо того, что бы честно отдать
>> ссылки - их прячут всеми возможными способами.
> В случае википедии это мне вообще не особо понятно. Ну ogv же
> они отдают, в т.ч. напрямую. А что мешает сделать так же
> но с webm? Ogv вообще устаел - малоэффективное сжатие. У них
> избыток бандвиза или места на диске?

Глянул: насколько я понял ситуацию - все оригиналы в ogv. На них и идет ссылка. Все остальное - пережатый исходный ogv. Поэтому вероятно и не добавляют остальные ссылки на страницу. Но и не прячут - шаблон имени везде одинаковый - простым скриптом можно сделать автоматический запрос на интересующее качество/формат.

> Нафига мне грузить мувик который
> много занимает даже при компромиссном качестве как умолчальное нечто? Чтобы потом
> миллион на оплату бандвиза выклянчивать?

Вероятно они еще не созрели для полного перехода на webm. Причины могут быть разными - возможно не все патентные троли успоккоились (вроде раньше nokia тролила) или не нравится соотношение скорость/качество. Да и сам vp9 похоже скоро другим кодеком (AV1) заменят.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

61. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +2 +/
Сообщение от Аноним84701 on 07-Ноя-16, 13:46 
> Правда жизни такова что пользователи проголосовали ногами.

Даже не смешно. Чтобы "голосовать" ногами, нужно разбираться в вопросе. Все остальное -- в основном достижения маркетологов.

> Сейчас другие требования к UX и UX уровня опеннета -
> годится только для полутора сайтов с фриками. В остальных случаях -
> продукт не купят, с сайта уйдут пользователи, etc.

Опеннет не продается. Это раз. Юзкейзы разные бывают. Это два.
Достали уже любители современных вывертов дизайна и "best practices", когда заходишь на страничку почитать по подробнее про либу/разработку и подобное (т.е. далеко не  "хомячковое") и в лучшем случае видишь сообщение про "Включите жабаскрипт!", в худшем -- только часть страницы, когда о том, что показывается далеко не весь контент, можно догадываться только из контекста.
Классика -- подсвеченный жабоскриптом код, когда при отключенном жс вместо простого текста без подсветки видна дырка от бублика. Спрашивается, зачем каждому клиенту тянуть либу подсветки и рендерить каждый раз, когда то же самое можно сделать один раз при загрузке контента?
Это не говоря уже про отжор цпу (=батарейки ноута) на ровном месте, при чтении текста и просмотре диаграмм и т.д., просто потому что у некоторых чесались руки запилить более плавный переход/скроллинг. Ну  и хидеры-логотипы-менюшки на три пункта и прибитые гвоздями на пол-экрана, куда же без них.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

91. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 11-Ноя-16, 01:25 
> Опеннет не продается. Это раз.

А посетители таки немного продаются - попробуй адблокер выключить :)

> Достали уже любители современных вывертов дизайна и "best practices", когда заходишь на
> страничку почитать по подробнее про либу/разработку и подобное

Ну вот либе сильные выверты не требуются, а интернет-магазин на формах и куках не больно хорошо получится.

> либу подсветки и рендерить каждый раз, когда то же самое можно
> сделать один раз при загрузке контента?

Не знаю. Создатель сайта тупанул. Но собственно автору сайта это проблем не создает - это не у него проц напрягается. Он может сказать "не нравится - не ешь" и хрен оспоришь.


> хидеры-логотипы-менюшки на три пункта и прибитые гвоздями на пол-экрана, куда же без них.

А как же. Ты должен знать что это именно сайт В. Пупкина. А то вдруг еще перепутаешь.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

55. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –2 +/
Сообщение от angra (ok) on 07-Ноя-16, 08:44 
> Сейчас несомненно лучше - грузится несколько мегабайт с десятка (а то и
> больше) серверов, для рендеринга одной страницы нужны десятки-сотни мегабайт, а затем
> js ест проц даже если нечего не делаешь ... На заре
> www браузер работал на машине с 32-64 MB RAM и интернет
> грузился через dial-up - каждая страница и все картинки тщательно оптимизировались,
> а js использовали только при реальной необходимости. Да и фреймы появились
> достаточно давно.

А ms-dos работал на 64КБ памяти и 8088 процессоре и никаких терабайтных винчестеров, 10 метров и то было сложно забить. Может и туда хотите вернуться? Еще можно вернуться к "оптимизированным" картинкам размером 16x16 и 16 цветов и не менее оптимизированному видео в 160x100 и пятью кадрами в секунду. Зато по диалапу грузится и процессор не жрет!

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

62. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Mihail Zenkov (ok) on 07-Ноя-16, 14:06 
Я хочу, что бы железо использовалось рационально. Я посещаю сайты ради контента, а не ради летающих/всплывающих эффектов. Современные вэб дизайнеры запихивают картинки с разрешением 2500x1800 в блок размером 130x100, программисты не отстают - и делают аналогичным образом preview.

Весь вэб давно пришел к тому, что контент хранится в БД и показывается через самопальный web ui.

Логично бы было стандартизировать способ хранения и описания контента в БД и предоставлять прямой доступ к нему. Таким образом можно было бы использовать единый UI для всего вэба. Каждый бы сам мог выбрать UI по своему вкусу и потребностям (или использовать разные для разных сайтов).

Что-то типа того, как сейчас мы выбираем torrent клиент/IM клиент/файловый менеджер/плеер/текстовый редактор.

Количество мусора упало бы на порядок, поиск стал бы проще и более точным, а продуктивность работы с вэбом выросла в разы.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

68. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –1 +/
Сообщение от angra (ok) on 07-Ноя-16, 15:44 
> Я хочу, что бы железо использовалось рационально. Я посещаю сайты ради контента, а не ради летающих/всплывающих эффектов.

Используй REST напрямую, получишь "контент" в виде json или xml. Расскажешь о впечатлениях.

> Современные вэб дизайнеры запихивают картинки с разрешением 2500x1800 в блок размером 130x100, программисты не отстают - и делают аналогичным образом preview.

То, что находятся идиоты, неправильно использующие технологии, означает необходимость выбросить технологии и вернуться в "каменный век"? У нормальных программистов превьюшки делаются один раз автоматом на сервере и на страничку попадает маленькая картинка, при клике на которую подсасывается большая. Без перезагрузки всей страницы, без открытия в новом окне. Но ты ведь не хочешь этого видеть, тебе надо старчески побрюзжать и ты замечаешь только творения идиотов.

> Весь вэб давно пришел к тому, что контент хранится в БД и
> показывается через самопальный web ui.

Контент в БД это тоже у не блещущих интеллектом. Как ты любишь. У других в БД хранится часть данных, которые в контент надо еще преобразовать, попутно соединив с другими данными типа картинок и видео, которые в БД не пихают.

> Логично бы было стандартизировать способ хранения и описания контента в БД и
> предоставлять прямой доступ к нему. Таким образом можно было бы использовать
> единый UI для всего вэба. Каждый бы сам мог выбрать UI
> по своему вкусу и потребностям (или использовать разные для разных сайтов).

Открой для себя REST, которого, кстати, тоже не было во времена более голубого неба и более зеленой травы. Прикрути к нему свой UI и попробуй так поработать, может осознаешь проблемы с твоей идеей. Ну а люди разумные не пытаются создать универсальный UI для всего на свете, а делают адаптированные под конкретную задачу и устройства.


Я в общем то понимаю, на что ты жалуешься и частично согласен, многие сайты действительно ужасны. Вот только рукожопы были во все времена. Во времена модемов мне тоже попадались сайты, которые грузились по 10+ секунд и повторяли это на каждый клик по ссылке. Браузинг с отключенными картинками был популярен именно в те времена. И сабжевый сайт такой шустрый не потому, что автор не использует современных технологий, а потому что содержимого там кот наплакал.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

71. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от Mihail Zenkov (ok) on 07-Ноя-16, 16:21 
> Используй REST напрямую, получишь "контент" в виде json или xml. Расскажешь о
> впечатлениях.

Я и использую на 3g модемах/роутерах/etc, ибо удобно получать статистику или отсылать команды управления из скриптов.

Но как это использовать для вэб, если нет единых стандартов?

>> Современные вэб дизайнеры запихивают картинки с разрешением 2500x1800 в блок размером 130x100, программисты не отстают - и делают аналогичным образом preview.
> То, что находятся идиоты, неправильно использующие технологии, означает необходимость
> выбросить технологии и вернуться в "каменный век"?

Нет, нужно переосмыслить технологию и исключить человеческий фактор насколько это возможно.

> Но ты ведь не хочешь этого
> видеть, тебе надо старчески побрюзжать и ты замечаешь только творения идиотов.

Нет, просто это один из примеров злоупотребления возможностями современного вэба. Достаточно убрать возможность масштабировать картинку и эта проблема исчезнет в принципе.

> Контент в БД это тоже у не блещущих интеллектом. Как ты любишь.
> У других в БД хранится часть данных, которые в контент надо
> еще преобразовать, попутно соединив с другими данными типа картинок и видео,
> которые в БД не пихают.

Я не говорю, что надо видео/картинки/архивы и прочие файлы размещать в БД. В БД должны быть ссылки на эти файлы и теги.

> Открой для себя REST, которого, кстати, тоже не было во времена более
> голубого неба и более зеленой травы. Прикрути к нему свой UI
> и попробуй так поработать, может осознаешь проблемы с твоей идеей.

Как без стандартов? Видео и то не всегда выковырять удается.

> Ну
> а люди разумные не пытаются создать универсальный UI для всего на
> свете, а делают адаптированные под конкретную задачу и устройства.

Я не говорю, что UI для всего должен быть один. Практически все сайты можно разделить на несколько категорий (новости, форумы, etc) и для каждой сделать свой UI. Плюс каждый сам выберет, что ему больше нравится, как сейчас с остальным софтом.

Представьте, что будет, если каждый текстовый документ потянет для своего отображения свой софт. Это будет нормально и удобно? А ведь фактически в вэбе это и происходит.

> И сабжевый сайт
> такой шустрый не потому, что автор не использует современных технологий, а
> потому что содержимого там кот наплакал.

Как насчет wikipedia?

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

74. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от angra (ok) on 07-Ноя-16, 20:19 
Впечатление, что ты не осознаешь, что именно предлагаешь. Напоминает желание пользователя иметь кнопку "сделать всё правильно". Попробуй написать стандарт хотя бы на такую вещь как форум. Какие сущности должны быть, какие связи, набросок api. А потом пройдись по десятку разных движков форумов и посмотри удастся ли их загнать в это прокрустово ложе без лишения части функциональности.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

75. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Mihail Zenkov (ok) on 07-Ноя-16, 21:31 
Я не говорил, что это будет легко. Но в конечном итоге это себя окупит многократно - так как не будут тратиться миллионы человеко часов на разработку и сопровождение индивидуальных движков/дизайна сайтов/форумов/etc. Да и потребление подобного UI будет на порядок ниже как по CPU, так и по RAM.

Сейчас владелец сайта решает, каким будет дизайн и функциональность. При введении общих стандартов - будет решать пользователь. Сейчас нам фактически навязывают использование софта и максимум, что мы можем сделать - это просто перестать пользоваться (да и это не всегда возможно, так как далеко не все сайты имеют аналоги). А хотелось бы не только иметь возможность выбора, но и возможность доработать и поделиться с другими, за что мы все и любим свободный софт.

Для форума в первом приближении на стороне сервера нужно:
1. древовидная структура разделов
2. сами разделы и их описания
3. темы (несколько типов - обычные, голосование, etc)
4. посты (текст + теги/ссылки)
5. поиск по постам
6. ЛС (фактически аналог почты)
7. система прав доступа (пользователи, модераторы, etc).

Все остальное - фактически зависит от UI.

Для магазинов сложнее, но при должном подходе все решаемо.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

80. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от angra (ok) on 08-Ноя-16, 11:12 
А вот я вижу фатальный недостаток во всех форумных движках и твоей схеме. Например, они не позволяют реализовать удобный ответ на посты, чтобы без оверквотинга было понятно, какой абзац на что есть ответ. Или возможность удобной очистки темы от флуда и обсуждений, но без удаления постов. Ну или наконец суперпродвинутая система рейтинга и репутации, которые в твоей схеме вообще напрочь отсутствуют. И у меня есть идеи как это все реализовать. Что я делаю в современном мире? Создаю свой форумный движок, использую его на своих сайтах, открываю код. В результате у меня все сразу работает, а те, кому мои идеи нравятся, могут поставить движок себе или утащить их в свои движки. Что же в твоем мире? Есть некий комитет по стандартизации, такой же "шустрый" как w3c. Он лет пять будет рассматривать предлагаемые изменения и если повезёт, то включит в стандарт. Но все старые ui с этим работать не смогут, ибо дополнительные метаданные для них просто мусор, а значит пользователи этих ui вместо удобного форума видят либо мусор, либо хаос. Надо ждать, пока они все обновятся или вымрут, ну примерно как ждали смерти ie6. А пока старые ui не вымрут, новый вариант использовать не будут. Итого между идеей и ее внедрением может пройти десять лет, а может вообще быть завернута. Результат - стагнация. Вот каким будет твой дивный новый мир.
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

82. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от Mihail Zenkov (ok) on 08-Ноя-16, 13:13 
> Создаю свой
> форумный движок, использую его на своих сайтах, открываю код. В результате
> у меня все сразу работает, а те, кому мои идеи нравятся,
> могут поставить движок себе или утащить их в свои движки.

Посмотрим как это решается в СПО:
Я вижу "фатальный недостаток" в mesa - сложный и медленный IR (GLSL intermediate representation). Что делаю я? Пишу с нуля аналог mesa? Создаю и поддерживаю собственный форк? Нет, просто пишу свой NIR, патч отсылаю в mesa. В итоге мои изменения попадают во все дистрибутивы и ко всем пользователям. (Если что, NIR написал не я ;)

В вашем случае мне не нравится:
1. Бесполезное переписывание с нуля.
2. С вероятностью 99%, ваши изменения не попадут на 99% форумов.
3. Решение использовать или нет принимается админом форума, а не пользователем.

> же в твоем мире? Есть некий комитет по стандартизации, такой же
> "шустрый" как w3c. Он лет пять будет рассматривать предлагаемые изменения и
> если повезёт, то включит в стандарт. Но все старые ui с
> этим работать не смогут, ибо дополнительные метаданные для них просто мусор,
> а значит пользователи этих ui вместо удобного форума видят либо мусор,
> либо хаос.

Нет. Просто не будут доступны новые возможности, если у клиента старый UI.
Посмотрите на модель развития OpenGL. Есть базовый стандарт. Потом все кому не лень создают собственные расширения. Через некоторое время наиболее удачные и востребованные расширения входят в новую версию стандарта.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

66. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –1 +/
Сообщение от Stax (ok) on 07-Ноя-16, 14:35 
> Сейчас несомненно лучше - грузится несколько мегабайт с десятка (а то и больше) серверов, для рендеринга одной страницы нужны десятки-сотни мегабайт, а затем js ест проц даже если нечего не делаешь ... На заре www браузер работал на машине с 32-64 MB RAM и интернет грузился через dial-up - каждая страница и все картинки тщательно оптимизировались, а js использовали только при реальной необходимости. Да и фреймы появились достаточно давно.

Ага, только сайты в 90'ые выглядели соответственно.

Вы посмотрите внимательно, почему именно js "ест проц". Сейчас принято делать сайты красиво (ну как красиво, это уж у кого как выходит). Как дизайнер начертит, так и должно выглядеть. И тут ВНЕЗАПНО вылезает, что тут выпадающий список выглядит на разных ОС по-разному, занимает разные размеры и диазайн плывет. Приходится обвешивать js-ом.. Тут выясняется, что подсветка неактивного элемента зависит от каких-то там настроек. Подменяем элемент. Тут подсказка по наведению вылезает желтенькая и системным шрифтом - а дизайнер сказал, надо беленькую и с жирной обводкой. Тут выясняется, что нужный атрибут у тэга не на всех браузерах отрабатывает. Приходится брать кастомную реализацию, благо jQuery уже написали до нас. Тут шрифт нужен специфический - у половины пользователей не будет, ок подтягиваем через webfonts. И так далее. В результате в странице в теги вставляют кучу фейковых атрибутов, которые по факту выполняются через js-код, делающий подмены до ренденга / при наведении / при щелчке и т.п. Т.е. ввиду того, что браузер атрибут как надо всегда отрендерить не может, подменяем его на кастомную реализацию, которая на ходу изменит dom-дерево так, чтобы достигался нужный эффект. Это например, бывают и другие ситуации.

Браузеры жрут память (которая нужна, чтобы обвесить все на свете js-ом и лазить по dom-дереву, динамически меняя что там требуется) и постоянно исполняют js только потому, что кто-то ставит задачу "чтобы выглядело все вот так красиво", люди тоже привыкли к сайтам, выглядящим как качественные документы, и чтобы все было в одном дизайне и требуют этого. А вот цепочка html->браузер->рендерим по тэгам согласно некой спецификации тупо НЕ ПОЗВОЛЯЕТ добиться этого результата. Ну не выходит полностью контролировать рисование для нужного результата в разных браузерах на разных платформах. Потому что html задумывался как совершенно независящий от рендеринга, маркируем разметку, а отображается на усмотрение браузера - и хоть с той поры много воды утекло и многое появилось, корни этого до сих пор торчат. А подход "чтобы выглядело идеально вот так и было красиво везде" требует намного более жесткого и ручного подхода к верстке. Вот на стыке как компромисс и пришлось затыкать каждую дырку js'ом...

Ну и всякие соцсети / динамические счетчики / веб-аналитика и т.д. и т.п. Все же хочет на лету подтягивать или отправлять актуальные данные, и обвешаны этим страницы по самое небалуйся. А что поделаешь? Люди хотят интеграцию с соцсетями, а авторы хотят аналитику для понимания, что интересно, а что нет - деньги-то зарабатывать надо, рекламу нынче тупо режут.

Я не говорю, что все это хорошо. Меня тоже бесит. Но прекрасно понимаю, что абстракции, которые внес браузер и html вынужденно привели к тому, что есть. Чтобы было иначе, нужно это все продумывать и реализовывать как-то совсем-совсем иначе.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

69. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от Mihail Zenkov (ok) on 07-Ноя-16, 15:57 
> Вы посмотрите внимательно, почему именно js "ест проц". Сейчас принято делать сайты
> красиво (ну как красиво, это уж у кого как выходит). Как
> дизайнер начертит, так и должно выглядеть. И тут ВНЕЗАПНО вылезает, что
> тут выпадающий список выглядит на разных ОС по-разному, занимает разные размеры
> и диазайн плывет.

Меня лично вполне устраивает дизайн типа wikipedia.

> Приходится обвешивать js-ом.. Тут выясняется, что подсветка неактивного
> элемента зависит от каких-то там настроек. Подменяем элемент. Тут подсказка по
> наведению вылезает желтенькая и системным шрифтом - а дизайнер сказал, надо
> беленькую и с жирной обводкой. Тут выясняется, что нужный атрибут у
> тэга не на всех браузерах отрабатывает. Приходится брать кастомную реализацию, благо
> jQuery уже написали до нас.

И ради чего все это? При прочих равных я лично выберу более простой и быстрый сайт, где основное место будет занимать контент, а не летающий/плавающий мусор. Всего этого пользователи давно уже наелись и активно ставят adblock/umatrix/noscript/etc - им все равно, что дизайнерские выверты сломаются - они хотят быстрый доступ  к контенту без мусора.

> Тут шрифт нужен специфический - у
> половины пользователей не будет, ок подтягиваем через webfonts.

Я лично баню webfonts и для всего использую tahoma без (сглаживания на малых размерах) + terminus. 100500 шрифтов только снижают читаемость.

> И так далее.
> В результате в странице в теги вставляют кучу фейковых атрибутов, которые
> по факту выполняются через js-код, делающий подмены до ренденга / при
> наведении / при щелчке и т.п. Т.е. ввиду того, что браузер
> атрибут как надо всегда отрендерить не может, подменяем его на кастомную
> реализацию, которая на ходу изменит dom-дерево так, чтобы достигался нужный эффект.
> Это например, бывают и другие ситуации.

В 90% случаев можно обойтись без этого. Особенно с учетом того, что пользователю и так отдают не статичный html, а специально для него cгенерированный.

> Браузеры жрут память (которая нужна, чтобы обвесить все на свете js-ом и
> лазить по dom-дереву, динамически меняя что там требуется) и постоянно исполняют
> js только потому, что кто-то ставит задачу "чтобы выглядело все вот
> так красиво", люди тоже привыкли к сайтам, выглядящим как качественные документы,

99.9% pdf обходятся без js ... Если datasheet'ы начнут оформлять как сайты, то я застрелюсь :)

> Потому что html задумывался
> как совершенно независящий от рендеринга, маркируем разметку, а отображается на усмотрение
> браузера

И это правильно. А вот попытки дизайнеров строго все сверстать "для красоты" - нет. Контент важнее дизайна, но такое чувство, что об этом мало кто думает.

> - и хоть с той поры много воды утекло и
> многое появилось, корни этого до сих пор торчат. А подход "чтобы
> выглядело идеально вот так и было красиво везде" требует намного более
> жесткого и ручного подхода к верстке. Вот на стыке как компромисс
> и пришлось затыкать каждую дырку js'ом...

Не нужно лишних наворотов - и все будет правильно, удобно, лаконично и быстро.

> а авторы хотят аналитику для понимания, что
> интересно, а что нет - деньги-то зарабатывать надо, рекламу нынче тупо
> режут.

Что им мешает считать количество запросов на самом сервере?

> Я не говорю, что все это хорошо. Меня тоже бесит. Но прекрасно
> понимаю, что абстракции, которые внес браузер и html вынужденно привели к
> тому, что есть. Чтобы было иначе, нужно это все продумывать и
> реализовывать как-то совсем-совсем иначе.

Поэтому я и говорю, что нужно отделить контент от web ui.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

52. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 07-Ноя-16, 05:32 
> Какие такие? Чистая статика и перезагрузка всей страницы на каждый клик по
> ссылке? Спасибо, я это помню на заре www,

А на опеннете всегда зори :). Тут и верстка офигенно адаптивная заодно.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

83. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от Алексей (??) on 08-Ноя-16, 13:42 
AJAX, web2.0 и http 2.0 сделаны для экономии ресурсов на серверах гугл и прочих. Ресурсы пользователей интересуют уже потом, когда вопрос с нагрузкой на сервер более менее решен. Инструменты для тестирования скорости загрузки сайта делают тоже самое. Старые простые сайты грузятся быстро и легко, но гугло-яховские упорно ставят им 60-70%, мол картинки с одного хоста не эффективно, хотя этот же opennet со всей рекламой грузит быстрее гуглоплюсов и прочей хрени. они утащили веб в сторону, в которую им надо и поэтому браузеры сравнимают с ОС по сложности. Весь софт может крутиться легко, стоит запустить браузер, причем любой, все останавливается...
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

2. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от Аноним (??) on 06-Ноя-16, 12:38 
Может будет сонкурент у бывш. polar ssl - нынешней mbed TLS https://tls.mbed.org/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +2 +/
Сообщение от barmaglot (??) on 06-Ноя-16, 21:32 
>>На заре www браузер работал на машине с 32-64 MB RAM и интернет грузился через dial-up

Позвольте Вас поправить. На заре www, это когда были такие браузеры как NCSA Mosaic, и Netscape 1, хватало и 2х МБ ОЗУ.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

37. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Mihail Zenkov (ok) on 06-Ноя-16, 21:54 
Возможно. Просто в моем городе тогда интернет не был доступен простым смертным.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

3. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –2 +/
Сообщение от Алконим on 06-Ноя-16, 12:49 
#define memcpy memmove
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 06-Ноя-16, 13:02 
memmove умеет работать с пересекающимися dst и src, тогда как memcpy не умеет.
поэтому memmove в принципе может заменить memcpy.
поэтому проблемы нет.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

31. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –3 +/
Сообщение от Олег (??) on 06-Ноя-16, 21:02 
memmove() медленее memcpy(), поэтому особенно в embedded смысла использовать нет
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

58. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от Фкук on 07-Ноя-16, 13:27 
>> memmove() медленее memcpy()

Откуда этот вывод?
Поделитесь аргументами.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

78. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –1 +/
Сообщение от Ivan_83 email(ok) on 07-Ноя-16, 23:17 
Очевидно же: дополнительные проверки на пересечения - доп время, если нужно копировать много мелких кусков то оно становится ощутимо.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

84. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 09-Ноя-16, 10:29 
Ну, ну. Земля плоская! Очевидно же.

Ну давай померяйся скоростью с memmove.
Или ты думешь что при использовании memcpy проверки делать не нужно?

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

6. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –3 +/
Сообщение от Аноним (??) on 06-Ноя-16, 13:07 
После Heartbleed кто-то до сих пор пытается всерьёз писать новые библиотеки на сишечке? Есть же уже вполне готовый Rust.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –2 +/
Сообщение от Аноним (??) on 06-Ноя-16, 13:11 
Ты ещё предложи ядро на С переписать. А Ржавчина анально ограничена.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –2 +/
Сообщение от Аноним (??) on 06-Ноя-16, 13:12 
> Ты ещё предложи ядро на Rust переписать. А Ржавчина анально ограничена.

quick fix

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +3 +/
Сообщение от Аноним (??) on 06-Ноя-16, 13:28 
>quick fix

Вся суть сишников.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от Аноним (??) on 06-Ноя-16, 15:25 
создаётся впечатление, что не осилившие ранее PHP попытались изучить C.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +3 +/
Сообщение от Аноним (??) on 06-Ноя-16, 13:36 
> Ты ещё предложи ядро на С переписать. А Ржавчина анально ограничена.

Приколись, в качестве PoC народ наваял таки ОСь на ржавчине:
https://www.redox-os.org/
Причем, она еще и с гуем и прочими библиотекаршами, да и вполне себе на разных железяках запускается, а не только привет миру в виртуалочку выплевывает:
https://www.redox-os.org/screens/

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от Mihail Zenkov (ok) on 06-Ноя-16, 14:22 
Написать ОС можно почти на любом языке. Вопрос в том, будет ли она от этого лучше?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

20. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –1 +/
Сообщение от Crazy Alex (ok) on 06-Ноя-16, 16:37 
Даже на хаскеле ваяли что-то. Тоже с гуем. А толку...

Не то чтобы я был против раста (как по мне, его модель - это извращение, но это, в конце концов, дело субъективное). Но какой смысл сейчас на нём пытаться писать что-то серьёзное? Пусть хипстеры поскачут, побьются обо все подводные камни, пусть появится ещё пара реализаций - тогда можно и глянуть на предмет реального использования.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

28. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +2 +/
Сообщение от Аноним (??) on 06-Ноя-16, 18:24 
> Даже на хаскеле ваяли что-то. Тоже с гуем. А толку...

Да ладно вам, хаскел все таки никогда не позиционировался, как системный.
А так, в принципе там (в расте) вроде как интринсиков и (возможно, давно не тыкал) пары тройки расширений как у гцц для си в _стабильной_ ветке раста не хватает для "полного" счастья.

В общем, пара тройка идей вполне интересны -- даже если не "взлетит".
А то  только все ныть могли про костылность и устаревание сей и переусложненность плюсов, но почему-то предпочитали ваять руби с го и прочими кофескриптами, а не альтернативу.

> Не то чтобы я был против раста (как по мне, его модель
> - это извращение, но это, в конце концов, дело субъективное). Но
> какой смысл сейчас на нём пытаться писать что-то серьёзное?

Я, если что, другой аноним -- не тот, который троллил^W агитировал за переписывание на расте )


Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

48. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –1 +/
Сообщение от Аноним (??) on 07-Ноя-16, 05:17 
> давно не тыкал) пары тройки расширений как у гцц для си
> в _стабильной_ ветке раста не хватает для "полного" счастья.

У gcc за годы развития накопилось мягко говоря поболее чем пары тройки расширений. Им можно прецизионно разложить код и данные по конкретным адресам памяти, что актуально для МК например. Он может генерить код не привязанный ни к каким стандартным либам и рантаймам. И вообще - это не компилятор и не линкер. Это тулчейн. Набор тулзов, достаточный для bring-up системы от и до. Rust на это не очень то похож.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

59. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от Led (ok) on 07-Ноя-16, 13:29 
> У gcc за годы развития накопилось мягко говоря поболее чем пары тройки
> расширений. Им можно прецизионно разложить код и данные по конкретным адресам
> памяти, что актуально для МК например. Он может генерить код не
> привязанный ни к каким стандартным либам и рантаймам. И вообще -
> это не компилятор и не линкер. Это тулчейн. Набор тулзов, достаточный
> для bring-up системы от и до. Rust на это не очень
> то похож.

Справедливости ради: у Rust - llvm-"тулчейн". Не бог-весть-что, но и не так-чтоб-ничего.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

36. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от barmaglot (??) on 06-Ноя-16, 21:34 
>> Ты ещё предложи ядро на С переписать. А Ржавчина анально ограничена.
> Приколись, в качестве PoC народ наваял таки ОСь на ржавчине:
> https://www.redox-os.org/
> Причем, она еще и с гуем и прочими библиотекаршами, да и вполне
> себе на разных железяках запускается, а не только привет миру в
> виртуалочку выплевывает:
> https://www.redox-os.org/screens/

Most features are implemented in Rust ...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

47. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 07-Ноя-16, 05:14 
> Most features are implemented in Rust ...

^^^^^ Вот это словечко звучит подозрительно. Что, без сишечки то смогли обойтись? Или как обычно всю ломовую работу си выполняет, пока утята крякают про свои концепции?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

65. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Ан (??) on 07-Ноя-16, 14:26 
Насколько помню там был ASM местами.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

72. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 07-Ноя-16, 19:54 
>> Most features are implemented in Rust ...
> ^^^^^ Вот это словечко звучит подозрительно. Что, без сишечки то смогли обойтись?

Посмотри в код что ли. Для надежности советую еще глянуть в код пингвина, там, внезапно, тоже не все на си.

> Или как обычно всю ломовую работу си выполняет, пока утята крякают
> про свои концепции?

https://github.com/antoinealb/rust-demo-cortex-m4
https://github.com/avr-rust
А теперь покажи аналог на  го/жабе/питоне или что там у вас.


Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

76. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Mihail Zenkov (ok) on 07-Ноя-16, 21:58 
> А теперь покажи аналог на  го/жабе/питоне или что там у вас.

Не знаю как в упомянутых языках, но помню кто-то компилировал под AVR на D - естественно стандартную библиотеку переписывали ибо стандартная использует GC. Был в компиляторе даже спец режим betterC - библиотеки от C, синтаксис D, но его вроде забросили.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

92. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 11-Ноя-16, 01:32 
> Посмотри в код что ли.

А оно мне надо? У меня более интересные и практичные проекты на очереди.

> пингвина, там, внезапно, тоже не все на си.

В свежих ядрах как раз немало старого cruft'а на ассемблере почистили. А в случае ARM - Cortex M вообще сделали так чтобы можно было писать на C без ассемблера.

> А теперь покажи аналог на  го/жабе/питоне или что там у вас.

А у нас сишечка внезапно 8). Мы читеры.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

49. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –2 +/
Сообщение от Аноним (??) on 07-Ноя-16, 05:21 
> Приколись, в качестве PoC народ наваял таки ОСь на ржавчине:

Я приколюсь, если ты этим еще и пользоваться будешь. А то рекламировать ржавчину сидючи на операционке с сишным ядром и либами как-то не того. Да и громкие заявления про Rust здорово. Но вот "most" в описании выглядит подозрительно.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

73. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +3 +/
Сообщение от Аноним (??) on 07-Ноя-16, 20:05 
>> Приколись, в качестве PoC народ наваял таки ОСь на ржавчине:
> Я приколюсь, если ты этим еще и пользоваться будешь.

Я приколюсь, если ты загуглишь и запомнишь значение "PoC"
Даю подсказку, P=Proof

> ржавчину сидючи на операционке с сишным ядром и либами как-то не того.

Еще один поклонник исконно-посконного? Луддитов тоже долго все устраивало "осваивать новые инструменты -- да ну его!" :)

> Но вот "most" в описании выглядит подозрительно.

А ты глянь хотя бы на гитхабе.
>  Rust 88.6%      Assembly 4.8%      Makefile 3.1%      Shell 2.7%      Other 0.8%
>  C 95.7%      C++ 2.0%      Assembly 1.8%      Makefile 0.3%      Perl 0.1%      Objective-C 0.1%

Одно из них статистика redox. Другое -- классическое ядро на си (угадай, какое). Да, грубо и с плюсами/object-C  например мимо кассы, но ...

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

93. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 11-Ноя-16, 01:35 
> Даю подсказку, P=Proof

Так и скажи - действующий макет.

> Еще один поклонник исконно-посконного? Луддитов тоже долго все устраивало

Ггг почему-то не все меня склонны записывать в луддиты.

> Одно из них статистика redox. Другое -- классическое ядро на си (угадай,
> какое). Да, грубо и с плюсами/object-C  например мимо кассы, но ...

Но на rust по процентным соотношениям в разы больше ассемблера. И это наверное не очень хорошо, потому что он непортабельный и вообще используется только если яп не потянул то что надо сам.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

26. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от KonstantinB (ok) on 06-Ноя-16, 17:37 
Ну так напиши.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

38. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –1 +/
Сообщение от Аноним (??) on 06-Ноя-16, 22:11 
Днём было +3, сейчас -4, забавно
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

63. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от Аноним (??) on 07-Ноя-16, 14:15 
> Днём было +3, сейчас -4, забавно

Ну, через месяц-другой и -20 может быть, а у кого и -40. Зима, все-таки ;)

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

64. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –1 +/
Сообщение от Ilya Indigo (ok) on 07-Ноя-16, 14:23 
> Днём было +3, сейчас -4, забавно

Winter is coming!

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

39. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 06-Ноя-16, 23:12 
Скоро будете в каждый дом приходить и листовки разносить?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

50. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 07-Ноя-16, 05:22 
> После Heartbleed кто-то до сих пор пытается всерьёз писать новые библиотеки на
> сишечке? Есть же уже вполне готовый Rust.

Синдром утенка как есть. А почему бы тебе не упхнуться и не написать либу на чем там тебе удобно? Хоть на брейнфаке.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

56. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 07-Ноя-16, 10:43 
> Хоть на брейнфаке.

Который один фиг транслируется в С.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

94. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 11-Ноя-16, 01:37 
>> Хоть на брейнфаке.
> Который один фиг транслируется в С.

Не обязательно. Есть и чистые интерпретаторы и не обязательно на си. Теоретически можно даже компилятор брейнфака на брейнфаке написать. Пракчтиески - не знаю, долбанулся ли кто-нибудь настолько. Бутстрапнуть брейнфак - это был бы номер. Если пациент раньше не спятит.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

7. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от rm_ email(ok) on 06-Ноя-16, 13:10 
Потому что конечно же, "канадский эксперт по криптографии" одновременно обязательно является экспертом по тому как безопасно писать на Си.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 06-Ноя-16, 15:24 
Форуму срочно нужны эксперты по русскому языку - для коррекции экспертов по комментированию.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

22. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от Crazy Alex (ok) on 06-Ноя-16, 16:42 
Да кто ж его знает, может и эксперт.Но да, тоже смутило - регалии в криптографии это хорошо, а что там у него с писанием кода - вопрос отдельный.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

24. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 06-Ноя-16, 17:05 
И кто ж решает этот вопрос? Теперь для написания на сях надо одобрение комментаторов всяко-разных форумов получать?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Crazy Alex (ok) on 06-Ноя-16, 17:43 
Вас куда-то занесло. Причём здесь "кто решает"? Человек обратил внимание на важный аспект, который не стоит упускать.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

53. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 07-Ноя-16, 05:40 
> Вас куда-то занесло. Причём здесь "кто решает"? Человек обратил внимание на важный
> аспект, который не стоит упускать.

Если кто ссыкует - пусть собирает себе весь софт с asan. Правда скорость работы будет слегка жабообразной, зато при левых поползновениях программа будет пристрелена с отчетом о проблеме.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

34. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 06-Ноя-16, 21:19 
Одно другому не мешает :)
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

51. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 07-Ноя-16, 05:28 
> Потому что конечно же, "канадский эксперт по криптографии" одновременно обязательно является
> экспертом по тому как безопасно писать на Си.

Криптографы в этом обычно очень неплохи. У них паранойя - профессиональное заболевание, поэтому безопасно писать на си для них - просто крейсерский режим. Это же не раздолбайские вебмакаки. Иди вон раскрякай проги от djb. Там даже штуку зелени за это предлагается получить. Хотя там дело даже не в штуке а в том кто ее выдаст. Один такой факт в биографии весит больше чем 20 резюме вебмакак и скрипткидей вместе взятых.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

85. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 09-Ноя-16, 12:14 
Дело в том, что данный эксперт действительно известныэксперт. И по криптографии, и по тому, как писать криптографические вещи.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

86. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 09-Ноя-16, 12:15 
Автор bearsll настолько известный человек в кругах криптографии, что одного только его имя заставляет людей серьёзно относиться к данном разработке.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +2 +/
Сообщение от Аноним (??) on 06-Ноя-16, 13:24 
МедведьSSL? Чем он лучше OpenSSL? LibreSSL?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +2 +/
Сообщение от Mihail Zenkov (ok) on 06-Ноя-16, 14:06 
"Небольшое потребление ресурсов и небольшой размер кода. Минимальная сборка занимает всего 20 Кб и требует для своей работы 25 Кб ОЗУ"

"Высокая переносимость, возможность сборки не только для стационарных систем, но и для контроллеров, загрузчиков и встраиваемых решений"

для сравнения libressl:
    libssl.so     383.1K
    libcrypto.so  2.0M

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 06-Ноя-16, 17:10 
Не "медведьSSL", а "носитьSSL" -- наверно потому что типа легковесный (to bear - носить, выносить, переносить).
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

43. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 07-Ноя-16, 05:07 
> МедведьSSL? Чем он лучше OpenSSL? LibreSSL?

Попробуй новость почитать, чудак :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

57. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 07-Ноя-16, 11:00 
Он маленький и не пытается быть обратно совместимым с УЖАСНЫМ API OpenSSL.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

21. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +3 +/
Сообщение от Crazy Alex (ok) on 06-Ноя-16, 16:41 
Хм, на вид - интересный вариант для эмбеда. Что до остального - поглядим, каких объёмов оно будет, когда будет реализовано то, что в планах. И как "радикальная безопасность" будет работать в о взаимодействии с реальными существующими системами где, как водится, на один стандартный и правильный случай - девять нестандартных и неправильных - которые, тем не менее, надо поддерживать.

Ну и отказ от выделения памяти - для эмбеда - хорошо, для всего остального - просто перенос "рискованного" кода наружу, где, кстати, больше шансов, что он будет реализован неверно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Аноним (??) on 07-Ноя-16, 05:11 
> всего остального - просто перенос "рискованного" кода наружу, где, кстати, больше
> шансов, что он будет реализован неверно.

Какой еще рискованный код в static memory allocation? :) Там вообще кода управления памятью нет. Ну и облажаться этот код не может, соответственно, что логично.

А что до отлова всяких переполнений - так народец подосвоил AFL + asan и прочие *san. И ща безопасность сишного кода подтянут очень даже.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

67. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Crazy Alex (ok) on 07-Ноя-16, 15:04 
Именно. Но памятью-то всё равно кто-то управляет. Товарищ обошёлся без динамики за счёт того, что функции принимают готовые буферы, в которых и размещают свои данные. А буферы всё равно кто-то должен выделять. Вот и выходит - проблема никуда не делась, просто из библиотеки её отдали клиенту.

Насчёт же безопасности сей - я и не спорю.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

29. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +2 +/
Сообщение от Аноним (??) on 06-Ноя-16, 19:11 
Ждём в OpenWrt и Lede
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +2 +/
Сообщение от Ilya Indigo (ok) on 06-Ноя-16, 21:04 
Без Chacha20/Poly1305, AES-256-CTR и TLS 1.3 не нужно!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +1 +/
Сообщение от Аноним (??) on 07-Ноя-16, 05:08 
> Без Chacha20/Poly1305, AES-256-CTR и TLS 1.3 не нужно!

Еще пожалуйста из эллиптики - 25519 нормальный, а не NIST'овский стандартно-бэкдорнутый креатив.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

46. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Ilya Indigo (ok) on 07-Ноя-16, 05:13 
>> Без Chacha20/Poly1305, AES-256-CTR и TLS 1.3 не нужно!
> Еще пожалуйста из эллиптики - 25519 нормальный, а не NIST'овский стандартно-бэкдорнутый
> креатив.

Согласен!

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

70. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  +/
Сообщение от Kaffeine on 07-Ноя-16, 15:57 
>BearSSL
>Поддержка TLS 1.0, TLS 1.1 и TLS 1.2. SSL 2.0 и SSL 3.0 не поддерживаются

Библиотека SSL без поддержки SSL. :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –1 +/
Сообщение от Ivan_83 email(ok) on 07-Ноя-16, 23:15 
Сильно сомнительно что ECDSA и без тайминг проблемы, да ещё и ввсё в 20-30кб влезает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

87. "Первый выпуск новой SSL/TLS-библиотеки BearSSL"  –1 +/
Сообщение от Аноним (??) on 09-Ноя-16, 19:05 
только дырявые/уязвимые мехаинзмы обмена ключами поддерживатся. увы. в корнзину-с.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Ideco
A-Real
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру