2008-06-19 24:53:34
FailFox: pierwsza wysoce krytyczna luka w... kilka godzin po premierze.

<trollmode="on">A niby taki bezpieczny ;-)) </trollmode>

Można snuć różne dziwne teorie, że bug był już komuś znany, tylko (ten ktoś) czekał do premiery by uzyskać największy rozgłos/oczernić developerów FF/wpłynąć na to, jak się postrzega program, że za bug odpowiadają pracownicy Microsoftu/Apple/Opera Software, że to sabotaż ze strony fanatycznych Operowców, ... Fakt faktem, mimo tych 15 tysięcy ulepszeń, coś przeoczono. Skoro luka jest "wysoce krytyczna", to znaczy że to nie są przelewki. Czekamy na odpowiedź Mozilla Foundation - na razie cisza. O samej luce niewiele wiadomo poza tym, że wymagana jest interakcja użytkownika (tj. np. kliknięcie na link prowadzący do odpowiednio spreparowanej strony), i że luka pozwala na wykonanie określonego kodu. Wiadomo też, że luka dotyczy także FF2 (wszystkie znane szczegóły są dostępne na stronie Secunii oraz Tipping Point, swoją drogą polecam komentarze na tej ostatniej stronie, dawno się tak nie ubawiłem!).

Ja natomiast jestem w trakcie pisania kodu importującego dane z Mozillowego Thunderbirda (program już importuje wiadomości pocztowe i odtwarza strukturę folderów), i już wiem, że nie będzie on importował wszystkiego - nie przejdą oznaczenia wiadomości (tagi, kolory, stan przeczytania, itp), a książki adresowe trzeba będzie importować ręcznie (najpiew eksport do CSV/LDIF w Thunderbirdzie, potem import w Hellcore Mailerze), ponieważ jakiś porylec uznał, że indeksy folderów oraz książki adresowe należy trzymać we własnym formacie (o nazwie Mork), który miał być simple, efiicient, i human-readable, a tak naprawdę nie spełnia żadnego z powyższych założeń i dodatkowo jest trudny w parsowaniu. Podzielam opinię Jamie'go Zawinsky'ego - to najbardziej pomylony format jaki mógł wymyśleć człowiek. Chyba wolę jednak pomęczyć się z libtiff'em i dodać wsparcie dla obrazków TIFF do HCMa, niż pisać parser formatu będącego wynikiem czyjegoś "brain fart"... Co prawda teraz się wycofują z tego i przechodzą (vide FF3) na SQLite, ale to wcale nie ułatwi mi pisania, są co prawda otoczki do Delphi, ale co z tego, skoro będę zmuszony dowalać całego SQLite'a?
Co ma jedno do drugiego? Otóż filozofia wielu projektów Open Source sprowadza się do tego, że najlepiej jest wszystko zrobić idąc po linii najmniejszego oporu, nawet jeśli to jest chore, nielogiczne, nieefektywne, niewydajne - jedyny warunek: ma działać. Mork z jednej strony, SQLite z drugiej - nie wątpię, SQLite uprości i przyspieszy im pracę, ale to tylko dokłada się do (wystarczająco dużej) złożoności programu. Dlaczego nie użyto XMLa? Też bardzo enterprisey, a przynajmniej nie ma najmniejszej możliwości doprowadzenia do ataku typu SQL Injection. ;-) No i da się normalnie sparsować.

Tak czy siak, nie podoba mi się to wszystko.


Może Cię zainteresować...

Komentowanie wyłączone dla tego wpisu.
Powered by:
Hellcore Mailer - polski program pocztowyOpera Web BrowserFreeBSD - The Power to Serve!Slackware
RSSy:
Sidekick:
Projekty:
O autorze:
Zobacz:
Kategorie:
Archiwum:
Szukaj: