Пролог
Сегодня в веб-интерфейсе одного из используемых мною продукта на месте джавовских апплетов я обнаружил уродливые заглушки с надписью «Плагин не поддерживается». Ну мало ли, может джава устарела, пойду-ка обновлю.
Зашёл на java.com, скачал апдейт, поставил, а там…
Что случилось?
Google принял решение отказаться от поддержки NPAPI (Netscape Plugin Application Programming Interface),
Google и раньше предупреждал о том, что сделает это, ограничив NPAPI-плагины белым списком. Впрочем, большинство пользователей тогда этого даже не заметили, потому как в список вошли как раз самые востребованные плагины.
Вместо NPAPI разработчики Chrome продвигают своё API, но как-то не слишком успешно.
Что делать?
До сентября 2015 года можно включить всё обратно через chrome://flags/#enable-npapi, но потом прикроют и эту возможность. Сгорела-кончилась эпоха великих парусных судов…
Опрос
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (233)
artyfarty
17.04.2015 00:20+26Давно уже по собственному желанию вырубил все NPAPI, уж больно они ресурсы жрут, а это удар по производительности на старых машинах, по батарее на современных.
Пускай добивают окончательно.
aim
17.04.2015 01:08-5Скорей бы Google дропнул поддержку флеш — именно из-за хрома он всё ещё где-то используется!
kelegorm
17.04.2015 19:45-6Флеш много где используется, Гугл потеряет часть аудитории таким образом, хоть это и будет ударом по флешу.
23rd
17.04.2015 20:12-1Где он используется? Все гугл доксы и карты ведь на JS давно сделаны или нет?
TheRabbitFlash
18.04.2015 11:56+1Т.е. по Вашей логике интернет делится на две части:
— гугл докс
— карты
И все? ))) А как же игры? Как же мультимедийные портали? Сайты телекомпаний?
Есть очень много сайтов, которые легко живут без флеша. И так же много таких, которые не могут без него жить. А там, где можно — экономически не выгодно. И если Вы их не знаете — это не повод утверждать, что их нет.23rd
18.04.2015 13:41Похоже я неправильно прочитал сообщение Келегорма и подумал, что Гугл много где использует флеш.
Прошу прощения.
amarao
19.04.2015 05:00+1Не «не могут», а «не хотят». Собственно, для того и отключается, чтобы захотели. Когда «сайты телекомпаний» обнаружат, что у них перспектива потерять 20-30% аудитории, они поднимут свои седалища и сделают на html5.
Времена, когда с помощью flash'а/java можно было делать то, что нельзя с помощью обычного html, уже давно прошли.TheRabbitFlash
19.04.2015 09:02+1Ага… ага… пойдте это CNN расскажите, что Flash это плохо. Или BBC пойдите поучите жизни, что они там рискуют чем-то… Я уверен, что им лучше видно, кого они потеряют или не потеряют.
Вопрос не в том, что можно, а что нельзя. А в том, на что способен этот html5. У меня, например, html5 видео подвешивает браузер постоянно. Поэтому безумно рад, что только глупые владельцы сайтов делают html5 only видео.
ivlad
19.04.2015 09:39По-моему, если BBC не будет открываться в браузере среднестатистического пользователя, это будет проблема BBC.
Вы, наверное, забыли пору доминирования MSIE.TheRabbitFlash
19.04.2015 09:40+1я думаю, что меньше всего владельцы сайтов переживают из-за зрителей «с хабра», у которых кастомны сборки ядра линукса, клавиатуры вырезанные из титана и пульты управления телеком сделанные на ардуино. Все остальные пользуются флешом и ничего плохого в этом не видят.
А средний пользователь BBC — как раз и есть тот, кто имеет Flash плеер на борту. А если его нет — только в этом случае будет подсунут html5ivlad
19.04.2015 09:48А при чём тут «зрители с хабра», если Java в Chrome исчезнет по-умолчанию?
TheRabbitFlash
19.04.2015 10:06Ну я пишу исключительно про Flash, ведь наличие у него жизни людям ломают судьбы и понижают потенцию (судя по многим камментам в инете).
Судьба Java в браузере меня меньше интересует. Она меня очень интересует в качестве Desktop приложения, не более. Вообще странно, что Oracle не перешли на PPAPI рельсы. С их-то ресурсами…ivlad
19.04.2015 12:15Google, как известно, меняет интернет так, как считает себе удобным. Поэтому я уверен, что если Google решит, что Flash не нужен, тот исчезнет.
TheRabbitFlash
19.04.2015 15:02Не стоит из гугла делать идола. Если бы они что-то хотели бы сделать с флешом плохое — они бы не вели совместно с Adobe разработкой своей реализации флеш плеера.
ivlad
19.04.2015 20:03Уж я–то точно не делаю из Google идола. :)
Но я хорошо знаю, какую рыночную силу имеет доминирующий браузер.TheRabbitFlash
19.04.2015 22:35Раз в месяц я читаю статьи о том, что «В этом году флеш окончательно умрет». Уже блогов нет, где такие глупости публикуют. Авторы забросили их… А флеш всё есть. Поэтому предлагаю прекратить данное обсуждение. У флеша все не так плохо, как хотели бы линуксофилы )
DonkeyHot
20.04.2015 17:43Доминирующий браузер не в сферическом вакууме находится. Он доминирующий, потому что отвечает нуждам пользователей. Когда перестанет отвечать, то перестанет быть доминирующим.
Когда то и MSIE 6.0 был доминирующим и MS тогда наверное тоже думали, что они пуп Земли, как Гугл сейчас.
amarao
19.04.2015 16:42Очевидно, что мои аргументы для CNN не звучат. А вот аргументы гугля могут и прозвучать.
TheRabbitFlash
19.04.2015 17:53В нашем измерении есть лишь один аргумент у гугла — флешу быть. Они даже разрабатывают свой такой. А какой аргумент в вашем измерении — нам не ясно.
mikhaelkh
17.04.2015 21:00+1Ничего он не потеряет! В Хром встроен PPAPI Flash, которого изменения не коснутся!
pepelsbey
17.04.2015 01:28+30Отсутствует вариант «к чёрту плагины, Chrome всё правильно делает»
a553
17.04.2015 08:29+24К чёрту плагины
Продвигает свой собственный API для плагинов
Что-то здесь не так.halyavin
17.04.2015 10:03+2Внешние разработчики не могут использовать хромовский API (PPAPI) для плагинов, его использование разрешено только выделенным плагинам вроде Flash. Никакого продвижения нет.
Его можно использовать только для промежуточного этапа портирования приложения на [Portable] Native Client. После портирования на Native Client, его уже сложно назвать плагином — приложение не может сделать ничего, чего бы не мог сделать javascript. Никаких других API для Native Client'a другие браузеры не предложили — он им не интересен. Так что я не вижу никакого продвижения PPAPI.a553
17.04.2015 10:10+2Продвижение PPAPI или NaCl — какая разница? Это, опять же, EEE. Технологии не совместимы с конкурирующими продуктами и даже со старыми версиями Chrome. «Продвижения» не видно, потому что обратно-совместимый asm.js вместе с HTML5 и TypeScript победил всех: и плагины, и PPAPI, и NaCl, и Dart.
halyavin
17.04.2015 11:51-2На asm.js нельзя написать App Runtime for Chrome. Что теперь, стоять на месте, раз другим браузерам NaCl не интереcен?
Стандарты сейчас появляются только после того, как кто-то их первый реализовал. Когда реализация новой фичи является EEE, а когда нет? У команды хрома нет ресурсов на поддержку MathML, значит ли это, что Firefox и Safari (который наследует дырявую реализацию из WebKit) продвигают технологии не совместимые с конкурирующими продуктами вместо обратно-совместимого mathjax? Интеграция NaCl (с каким-нибудь API) в браузер требует сравнимых усилий с написанием поддержки MathML.
Доля NaCl в интернете в любом случае сейчас ничтожна (а asm.js еще меньше). Много вы сайтов использующих NaCl знаете? Вы знаете кого-то, кто открывает сайт в хроме или сменил свой браузер, поскольку сайт использует NaCl?
А среди браузерных расширений (где доля NaCl возможно чуть выше), все равно нет совместимых API.
PS NaCl появился в 14 версии хрома. С какими старыми версиями хрома вы хотите совместимость?a553
17.04.2015 12:22+1Вы не понимаете концепт EEE. Советую ещё почитать про анти-монопольные иски. Отвечаю на ваши вопросы:
На asm.js нельзя написать App Runtime for Chrome.
??? Почему?Что теперь, стоять на месте, раз другим браузерам NaCl не интереcен?
Не продвигать расширенный стандарт как каноничный, запрещая использовать базовый.Когда реализация новой фичи является EEE, а когда нет?
Когда выполняются все три «Е».… про MathML и mathjax ...
Вы сравниваете стандарт и web-ориентированную библиотеку. Серьёзно? Все браузеры поддерживают mathjax.Много вы сайтов использующих NaCl знаете?
Это вы наоборот мыслите. NaCl, как платформа, позволяет писать в том числе и сайты. Отвечая на вопрос: нет, сайтов не знаю.Вы знаете кого-то, кто открывает сайт в хроме или сменил свой браузер, поскольку сайт использует NaCl?
Иронично, но именно благодаря событиям, описанным в этом топике, мы можем это увидеть :)khim
17.04.2015 12:45+1??? Почему?
Например потому, что для нормальной скорости ARC требует JIT-компилятора и многопоточности. Которая когда-нибудь, лет через несколько, может и появится вasm.js, но пока — нет даже намёков.
Не продвигать расширенный стандарт как каноничный, запрещая использовать базовый.
Ну раз вы считаете NPAPI «базовым стандартом», то вас, разумеется, не затруднит кинуть ссылочку на документик где-нибудь на W3C?
А так, да, получается «война», но только давайте не забывать кто предложил совместно работать над заменой NPAPI и кто это предложение с негодованием отверг.
Странный EEE получается, когда главный «злодей» ходит вокруг со словами «давайте жить дружно», а главный «пострадавший» посылает его… не знаю на сколько букв, но таки посылает.a553
17.04.2015 13:07Например потому, что для нормальной скорости ARC требует JIT-компилятора и многопоточности. Которая когда-нибудь, лет через несколько, может и появится в asm.js, но пока — нет даже намёков.
С многопоточностью всё порядке. Без JIT прекрасно живёт Mono под iOS; в любом случае, вы можете генерировать asm.js код. Если же вас по каким-то причинам не устраивает asm.js, у вас есть универсальный способ запускать нативный код в браузере… NPAPI называется.Ну раз вы считаете NPAPI «базовым стандартом», то вас, разумеется, не затруднит кинуть ссылочку на документик где-нибудь на W3C?
А как связаны NPAPI и W3C, позвольте спросить?А так, да, получается «война», но только давайте не забывать кто предложил совместно работать над заменой NPAPI и кто это предложение с негодованием отверг.
Разумеется. Просто кто-то нашёл способ сохранить обратную совместимость, устранив недостатки, а кто-то другой не смог этого сделать, и объявил эти недостатки фатальными.Странный EEE получается, когда главный «злодей» ходит вокруг со словами «давайте жить дружно», а главный «пострадавший» посылает его… не знаю на сколько букв, но таки посылает.
«Давайте жить дружно… под моим контролем.»a553
17.04.2015 13:15С многопоточностью может я не прав. Обычный Java код на Web Workers будет сложно перекомпилировать.
khim
17.04.2015 13:43А как связаны NPAPI и W3C, позвольте спросить?
Ну если это стандарт, то его кто-то где-то должен стандартизовывать, не так ли? Ну хорошо, пусть не W3C, пусть что-нибудь другое. Только не аффилированное с Mozilla'ой, пожалуйста, а то Вы ведь выступаете против принципа
«Давайте жить дружно… под моим контролем.»
А насчёт
Просто кто-то нашёл способ сохранить обратную совместимость, устранив недостатки, а кто-то другой не смог этого сделать, и объявил эти недостатки фатальными.
… давайте к этому годика через два вернёмся и посмотрим кто, где и как сохранил.a553
17.04.2015 13:56Ну если это стандарт, то его кто-то где-то должен стандартизовывать, не так ли?
Раз уж вы так любите к словам придираться, то де-факто стандарт.Ну хорошо, пусть не W3C, пусть что-нибудь другое. Только не аффилированное с Mozilla'ой, пожалуйста
Mozilla-то тут причём? У вас какая-то нездоровая мания :)… давайте к этому годика через два вернёмся и посмотрим кто, где и как сохранил.
Сомневаетесь? Вы же проиграете. Вовсе не Firefox любит ломать обратную совместимость с каждым релизом.
olegchir
22.04.2015 10:34Самое быстрое что сейчас есть — это C++. Самое удобное для разработки — Java и C#. И на этом написано уже много софта. Всё что нужно от браузера — мочь рендеринг куска веб-страницы отправить во внешнее нативное C++ приложение. Но нет, криворукие чушки даже этого не асилили.
Eternalko
17.04.2015 19:54Почему TypeScript победил? Корректней все же говорить о JS или более абстрактный JS в форме es6/es7/ts/coffee/dart etc.
a553
17.04.2015 20:30Ну под HTML5 я имел ввиду всякие ES 6/7 с новыми браузерными API, под которые пишут вместо изобретения костылей вроде Dart VM. TS добавил из-за хайпа вокруг него, и потому что мне он нравится :)
TheRabbitFlash
18.04.2015 12:02+1TypeScript — шикарен. Единственное, что я бы поменял в нем — сделал бы синтаксис как у той же Java.
a553
17.04.2015 10:17+1Внешние разработчики не могут использовать хромовский API (PPAPI) для плагинов, его использование разрешено только выделенным плагинам вроде Flash.
Не нашёл подтверждения этим словам — можете дать пруф?vsb
17.04.2015 10:27mail.openjdk.java.net/pipermail/distro-pkg-dev/2014-July/028532.html можете тут почитать, обстоятельно расписано.
a553
17.04.2015 10:34То есть, вся эта истерика из-за отсутствия автоматической установки плагинов? Я бы сказал, это вполне хорошо. Использовать PPAPI позволяет, никакие банки от запуска плагинов не предотвращает.
Насчет «обстоятельно» вы погорячились, конечно :)vsb
17.04.2015 10:41PPAPI плагин должен быть в белом списке хрома. Сейчас там только флеш. Установить новый нельзя никак без изменения самого хрома. Я так понимаю ситуацию.
Я не думаю ничего хорошего о разработчиках Java-плагина, но если бы можно было обойти текущие ограничения, они бы это сделали, времени у них было достаточно. Раз пишут «браузер не поддерживается», с большой вероятностью ничего сделать нельзя.a553
17.04.2015 10:42PPAPI плагин должен быть в белом списке хрома.
Пруф?vsb
17.04.2015 10:57По ссылке выше ведь всё расписано:
«We have confirmed that PPAPI will not work because while Chrome
supports it they don't provide any way for third parties to install
PPAPI plugins. The only method of doing so involves a command-line
argument, which is unsuitable for most purposes.»
Вашим юзерам надо будет запускать хром со специальным аргументом, чтобы неодобренный плагин заработал.
POPSuL
17.04.2015 17:09-1А как в опере с NPAPI-плагинами? Не повлияет ли отказ гугла от NPAPI на оперу?
KaneUA
17.04.2015 01:33-4В последнее время не видел ни одного Java-апплета, который нельза было бы реализовать на HTML5 с JS.
ASD2003ru
17.04.2015 01:51+9Банковские клиенты?
KaneUA
17.04.2015 01:54+6И что в них есть такого, чего нельзя реализовать с JS? На ум приходит только работа с внешними аппаратными ключами.
DicsyDel
17.04.2015 02:03+3Имея большой опыт работы с enterprise клиентами, могу сказать что зачастую проблема не технического характера а бюрократического. Ты не представляешь как мееееедленно и сложно принимаются решения в больших организациях и именно поэтому очень многие из них до сих пор используют Windows XP, IE6 и Java 6.
some_x
17.04.2015 05:55+13Это проблема больших организаций
AdmAlexus
17.04.2015 06:16+1А если под «большой организацией» понимать государство? Многие федеральные и региональные ГосИС используют Java-апплеты.
matiouchkine
17.04.2015 08:28+22Если большая организация — ваш банк, ваш мобильный провайдер и ваш поставщик электроэнергии, поверьте мне, эта проблема мгновенно перестает быть их проблемой и становится вашей.
Можно, конечно, уйти в современный высокотехнологичный подвижный никому не известный банк, но на эти риски вменяемые люди обычно не подписываются ради любимого браузера.
Roler
17.04.2015 09:00+9Есть всем известные банки, в которых в помине нет такого бреда, как Java-апплеты в интернет-банкинге.
У мобильных операторов тройки тоже ничего такого нет.
TokminD
17.04.2015 09:25-3Банк Москвы например. Вчера только ставил его интернет банк на работе.
Сегодня залез в эту новость потому что обновился на работе хром и в системе передачи платежек перестал работать плагин подписания документов.
exvel
17.04.2015 11:16+7Помню с этого банка и ушел поэтому. Перешел в другой известный банк, где все нормально.
some_x
17.04.2015 10:51+2Ну значит приспосабливаться, как это часто приходится делать с государством/монополистами/крупными игроками. То есть использовать другой/старый браузер специально для них, который необходимостью своего использования каждый раз будет напоминать об ущербности организации с которой работаешь.
matiouchkine
17.04.2015 10:55-1Я в курсе. Я отвечал на комментарий человека в розовых очках: «Это проблема больших организаций».
Artima
17.04.2015 12:19+2От кривых технологий нужно уходить, пусть даже постепенно. Иначе мы до конца жизни будем использовать тот же Capicom, который давно пора похоронить.
matiouchkine
17.04.2015 12:22-1Спасибо, кэп. А почему вы это сообщаете мне, а не упомянутым мной банкам и провайдерам услуг? Озвучивание трюизма не делает озвучившего автоматически с ним согласным.
Artima
17.04.2015 13:58+2А им не нужно ничего озвучивать. Постепенно их вытеснят более гибкие конкуренты с новыми технологиями. Зачем пытаться переделывать тех, кто этому отчаянно сопротивляется?
Eternalko
17.04.2015 20:01+1Это конкретная проблема банков в конкретном месте.
В других местах с банками все ок.matiouchkine
17.04.2015 22:15Вот что я люблю, так это взвешенные авторитетные мнения.
Даже если бы вы были правы, менять место жительства из-за того, что тут хром перестал поддерживать мой онлайн-банк, я лично не стану.Eternalko
17.04.2015 22:21Вы уверены что проблемы заканчиваются на уровне «банк в браузере не работат»? Все вокруг работает по человечески?
matiouchkine
18.04.2015 08:08Да в мире вообще бардак, что вы, что вы, разумеется.
Мне вот любопытно: удерживать в голове тему ветки — это такой навык, который простым смертным больше не раздают?
Eternalko
19.04.2015 01:39Нет, в мире много порядка. Но не везде.
Не нужно сарказма. Это, похоже вы не держите.
Вы говорите, что проблемы банков, мобильного провайдера и поставщика электроэнергии становятся нашими проблемами. А я выразил мнение, что проблемы граждан, это проблемы (места) государства.matiouchkine
19.04.2015 08:20Это софистика. В идеальном мире существуют проблемы государства, которые решают граждане.
В реальном мире есть провайдер электроэнергии. Который принимает платежи апплетом. Вы можете ходить в одиночные пикеты, баллотироваться в управу, даже объявить голодовку. Но если вам нужен свет, вы свои диванные тезисы свернете трубочкой и засунете к себе в карман. Откроете браузер, который поддерживает апплеты. И заплатите за свет. That simple.
Даже если это проблема места и государства, пока я не готов уехать из любимого города в какую-нибудь жопу, где все хорошо с банками, это _моя проблема_.Eternalko
20.04.2015 16:33Вы называете место/государство где все хорошо работает жопой, и это я софист.
matiouchkine
20.04.2015 16:39Во-первых, софистика — не наука о способности правильно оценивать государства и места.
Во-вторых, у разных людей могут быть разные представления о необходимом и достаточном для признания государства/места годным для проживания. Наличие в банках прогрессивного IT отдела для меня лично таковым не является. А климат, например, является. Причем климат с собой туда, где годные банки, — не увезешь, а открыть FF вместо хрома — легче легкого :)Eternalko
20.04.2015 16:48Ну вы же сами сказали, что вокруг отсталые банки, мобильные провайдеры и поставщики электроэнергии (: Я лишь выразил мнение, что причиной такого класса проблем является место (а не отсутствие поддержки USB токенов в браузерах как тут пытаются объяснить ниже) и «страдают», как вы выразились, «мы».
matiouchkine
20.04.2015 19:21Я никогда не говорил, что вокруг отсталые банки. Почитайте в каком-нибудь учебнике по русскому языку статью «сослагательное наклонение».
Eternalko
21.04.2015 11:37> Наличие в банках прогрессивного IT отдела
Если наличие человеческого онлайн банкинга это «прогрессивный» то я даже не хочу думать что такое обычный. Вы знаете, все таки проблемы не от места, а от людей.matiouchkine
21.04.2015 11:40-2О, в ход пошли аргументы Ad hominem. Когда-нибудь вы вырастете и поймете, что люди разные.
Pavel_L
17.04.2015 09:02+3Если у меня нет варианта безболезненно отказаться от услуг этой организации, то это де-факто становится моей проблемой.
Mendel
17.04.2015 09:17+3Скажите, а что уже появились решения для браузера, чтобы шифровать/расшифровывать в браузере, и ключи при этом хранить на стороне клиента?
Я вот смотрю, что никто тут не шутит в тринадцатеричной системе, хотя даже количество комментариев намекает, а не только номер версии, так может я тоже отстал как и корпорации/государства? Могу я хранить ключи в токенах, или хотя-бы в браузере/на_диске, и не использовать аплеты?
nosuchip
17.04.2015 09:35LocalStorage?
Mendel
17.04.2015 10:00+3Я тут недавно собирал определенную аналитику в интересах одного банка. Как оно водится походил по его основным конкурентам, пооткрывал счета, позабалтывал менеджеров, в некоторых местах даже до управляющих со своей болтовней доходил. И вот с одним управляющим мы обсуждали такой вопрос:
1 — ключи хранящиеся на дисках, пусть и на флешках воруют. От массовых уводов денег спасает только работа сотрудников банка следящих за необычными транзакциями, сложности обналичивания денег и т.п. (уточню что мы говорили именно о корпоративном секторе, физиков не трогали)
2 — смс-валидация дает неплохой выигрыш в безопасности (особенно с LBS, который банки уже начали в открытую упоминать в договорах, раньше то мы в серую шпионили). Но юридической силы не имеет, и самодеятельность некоторых банков грозит определенными проблемами. Это проходит для физиков, но не для юриков. Ну как не проходит, у меня есть счет в таком банке, я использую его для зарплатного проекта, для эквайринга, я заворачиваю на него платежи контрагентов у которых счета в этом банке, но все крупные сделки ходят по приличным путям.
3 — единственный, подчеркну единственный вариант защиты денег, если ты не Неуловимый Джо это токен + принцип «знай своего клиента», когда банкир знает клиента, и не валидирует платеж если он подозрителен, без личного звонка, плюс смс-информирование.
Я объясню еще раз узкие места:
Даже если машина скомпрометирована (хотя проще компрометировать только файл), то транзакции с аппаратным носителем ключей можно провести ТОЛЬКО когда он подключен. Даже если вы не вводите пин при каждой подписи, и вам подменят экран в банк-клиенте, где левых транзакций нет, а левую транзакцию подпишут сразу вслед за легальной, то всё равно есть смс-информирование, есть звонок персонального менеджера, есть масса возможностей вернуть транзакцию СРАЗУ. С файловым хранением всё не так. Твоя машина чистая, атакующий убрал следы взлома, или просто скопировал файлики на флешку пока ты был в душе, пин сбрутил и всё такое. Уже месяц прошел с того времени, у тебя разряжен телефон, или ты просто его выключил потому что у тебя важные переговоры — пьешь с губернатором… Да, в этот момент легко могут перевести твои деньги и ты даже не узнаешь.
Знаю реальный кейс когда человек уехал по делам в Европу на пару дней. никаких налогов и прочих платежей не предвиделось, но на всякий случай он захватил с собой флешку с ключами и его главбух естественно знал его роуминговый телефон. В общем в это время со счета ушла денежка, и когда он вернулся и обнаружил пропажу, то вернуть удалось лишь половину. Потерянные деньги для того предприятия были не фатальны, но суммы хватило бы на квартирку в Одессе.
ПЫСЫ: я понимаю, что LS формально подходит под мой вопрос, и сам там хранил ключик от битков или чего-то подобного, но как я уже описал выше решение это лишь частичное.nosuchip
17.04.2015 10:49+1Я не увидел этого четко сформулированных, но, полагаю, что мы сойдемся во мнении, что любая информация хранящаяся на стороне клиента может быть уведена.
Соглашусь, что единственный путь относительно надежной валидации — это ваш третий пункт. Правда тут же в голову приходит старый фильм (кажется он назывался «Игра»), где главного героя обманули даже при личном звонке в банк.Mendel
17.04.2015 15:40+2Не любая. Принцип физических носителей ключей в том, что ключи из них не выходят никогда.
Наш браузер (или другой софт) отправляет в токен сообщение, а на выходе получает уже подписанное/зашифрованное/расшифрованное. Увести ключ можно только вместе с физическим устройством. Конечно есть нюансы, но сферическая система в сферическом вакууме работает именно так.
Eternalko
17.04.2015 20:05Токены из мобильного приложения (в крайнем случае смс) уже решили эту проблему.
Mendel
17.04.2015 22:53+1В том то и дело что не решили.
Безопасность смартфона? Юридическая значимость? Доверие банку?
Цифровая подпись есть цифровая подпись. Я понимаю что бывают приличные банки с распечатками одноразовых паролей в том числе и в Швейцарии, но там чуть другие механизмы работы с деньгами.Eternalko
17.04.2015 23:38Простите, я не знаю какие есть отличия механизмов работ с деньгами.
Также я не понимаю что вы имеете ввиду под выражением «Цифровая подпись есть цифровая подпись».
Чем ц.подпись из телефона отличается от ц. подписи с использованием usb свистка?Mendel
19.04.2015 01:16+2Если телефон выступает носителем ключей, специальный софт который там настроен подписывает в соответствии со стандартами, как индустрии так и страны, то… как он взаимодействует с браузером?
Цифровая подпись подразумевает наличие ключей и всё что с этим связано.
«введите код полученный в смс» или «перешлите нам обратно код на номер такой-то» не является подписью.
Легальность таких вещей находится в рамках договорных отношений, а часто на уровне простой публичной оферты, и во многих случаях вызывает проблемы.
Вопрос электронной подписи часто урегулирован законодательно, в то время как смс это личные велосипеды банков.
Я исхожу из реалий а не из теории. Мне как-то приходилось судиться со «своим» банком за пару миллионов долларов, потому что они придрались к некоторым юридическим деталям. Суд правда был довольно быстрым и безболезненным, потому что за пару дней вопрос был решен «в кулуарах», потому что юротдел банка действовал не понимая интересов своих хозяев, но факт имел место — эти гоблины умудрились таки подать иск. И если бы с банком не было бы особых отношений, то не знаю чем бы закончилось. А еще у меня был более забавный случай — у меня деньги украли… из банковской ячейки.
Споры с банком в ключе «вы нам отправляли смс» или «мы вам отправляли смс» приемлемы на малых суммах.Eternalko
19.04.2015 01:50Ваш тезис: «Цифровая подпись есть цифровая подпись. ». Цп Лучше чем приложение.
Мой тезис: Приложение к телефону такое же хорошее как и цп.
С точки зрения безопастности в целом и криптостойкости в частности
BuranLcme
17.04.2015 09:49В браузере давно есть:
— WebCryptoAPI для работы с ключами и криптографией;
— продвинутые либы для криптографии;
— куча либ для вычисления хэшей;
— возможность читать загружаемые в браузер файлы и хранить файлы в специальной песочнице;
— несколько клиентских хранилищ: localStorage, IndexedDB, AppCache.
Что еще нужно?Mendel
17.04.2015 10:04+2В вебкрипто есть аппаратные ключи? И он уже стал стандартом? в смысле уже релиз а не обсуждение?
Я без ииронии, может я и проглядел, давно не отслеживал, но вроде как стабильных а не девовых решений для безопасной криптографии в вебе не было пока.
(Безопасное подразумевает способное сохранять безопасность даже при компрометации машины на которой запущено, т.е. по факту только аппаратные токены для хранения ключей).
vsb
17.04.2015 10:07+8> Что еще нужно?
Нужно:
1. Поддержка криптоалгоритмов ГОСТ.
2. Возможность работы с криптографическими USB-токенами.
И если первое я могу ещё представить в виде тормозной JS-реализации, то второе не могу, потому что у разных токенов разные протоколы общения. В Казахстане, например, используются 3 разных вида токенов (насколько мне известно). В Java-апплете реализованы все эти протоколы. Тут нужен JS-мостик для общения с произвольными смарт-картами. Я про такое не слышал.ivlad
18.04.2015 12:58-11. Поддержка криптоалгоритмов ГОСТ.
А где вы были, когда согласовывался набор ciphersuites для WebCrypto API? Там предлагали желающим высказываться.vsb
18.04.2015 13:11lists.w3.org/Archives/Public/public-webcrypto/2014Jun/0020.html вот например сходу нагуглилось предложение человека. Стандарты делают американцы, им до на наши госты глубоко плевать, у них свои стандарты. Так было (ASCII, однобайтовые кодировки), так и есть и так всегда будет. В openssl через сколько лет после его релиза появились алгоритмы гост? В Intel Core когда появится хардварная поддержка гостовских алгоритмов шифрования?
VenomBlood
19.04.2015 10:50-1В Intel Core когда появится хардварная поддержка гостовских алгоритмов шифрования?
Им на каждую Папуа Новую Гвинею делать хардварную поддержку алгоритмов? Есть поддержка шифрования которым пользуется весь мир, хочется выпендриться и сделать что то «свое, уникальное, кругом враги» — ну так не жалуйтесь.
grossws
17.04.2015 18:15+1WebCryptoAPI для работы с ключами и криптографией;
А в каких браузерах он сейчас поддерживается? На caniuse что-то не нашел толком(
halyavin
17.04.2015 10:18Вроде этого sites.google.com/site/oauthgoog/gnubby? Если не подходит, можно написать расширение в хроме, которое будет общаться с внешней программой через Native Messaging API. Внешняя программа уже может брать ключи откуда угодно.
Mendel
17.04.2015 10:27Внешней программой которая будет иметь весь сомн проблем типа кросплатформенности и т.п.
И опять таки плагин… Существующая экосистема внешнего шифрования там и хороша что она уже есть. А пока у нас есть только планы создать новые, более надежные костыли в замен старым.
Arvur
17.04.2015 14:19+3Native Messaging API очередной костыль от гугла. Причем Chrome-only!
На кой черт мне эта кривая поделка, если XmlHttpRequest или WebSockets будет работать кроссбраузерно?!
asm0dey
17.04.2015 06:51Я не уверен, но кажется у банка Москвы была с тема с генерацией рандома с помощью движения мышкой по апплету. Ну и всё шифрование на джаве было реализовано, понятное дело.
KaneUA
17.04.2015 07:21+3JS тоже в состоянии рандом генерировать с помощью мыши. Также не вижу препятствий для реализации шифрования.
TheDeadOne
17.04.2015 07:59+1О! Давно хочу реализацию на js возможности получить md5-хэш файла с локального диска! Поможете?
homm
17.04.2015 09:01+3nosuchip
17.04.2015 09:37-5Знаете, девятый эксплорер (не самый старый) не поддерживает FileAPI, а даже он далеко не у всех стоит. Так что о чем вы говорите?
tangro
17.04.2015 10:21+3О Хроме мы говорим (см. название статьи). В IE Java живёт и будет жить ещё 100 лет.
forgotten
17.04.2015 13:57+2«Не самый старый» он только из-за существования ещё более древних версий IE.
kefirfromperm
17.04.2015 08:13+6Реализуй. Сертифицируй в ФСБ. Срубишь бабла. Я серьезно.
forgotten
17.04.2015 13:58+1Поделитесь success story о срубания бабла с ФСБ? Вот бы я почитал.
xxxFeLiXxxx
17.04.2015 14:34Так не с ФСБ, а с организаций, которые с удовольствием купят решение, сертифицированное в ФСБ.
forgotten
17.04.2015 14:37Ну это понятно.
kefirfromperm
17.04.2015 16:14В чем вопрос тогда?
forgotten
17.04.2015 16:16-1В success story «сертифицировать свой код у ФСБ и срубить бабла на продажах»
BuranLcme
17.04.2015 09:52А зачем вам движении мышки если браузеры давно предоставляют честный рандомизатор в рамках CryptoAPI?
lostmsu
17.04.2015 10:01А Вам не приходило в голову, что некоторым людям и организацям может не нравится идея писать на джаваскрипте?
KaneUA
17.04.2015 19:15+7А мне нравится писать на COBOL. Мне не нравится эта вся мишура браузерная. Как в 70-х писал на COBOL, так и буду продолжать. У меня весь код на мейнфреймах крутится. Да, старые они уже, электричества много кушают. Но работают ведь. А если работают, зачем менять их на что-то другое? Не буду я переучиваться и что-то переделывать. Ещё апостол Павел говорил: «Пребывай в том, чему научен».
areht
18.04.2015 16:13+2У JS и язык стремный, и инструментария никакого, почему вы думаете, что он не COBOL нового века? Если бы он был хорош — он бы на серверах давно победил. Но нет, на серверах как раз прикручен какой-нибудь GWT, а в интернетах сотни «имярек to javascript compiller».
Я вообще не уверен, что физически можно написать рабочий проект в миллион строк на JS, а не только мишуру для браузераKaneUA
18.04.2015 23:24Да, язык не самый ровный в использовании. Но в современном вебе выбор технологий небольшой. Про проекты в миллионы строк не скажу, но в качестве начинки для браузерного терминала для какого-то сервиса JS вполне себе подходит.
areht
19.04.2015 00:06> Но в современном вебе выбор технологий небольшой.
> Ещё апостол Павел говорил: «Пребывай в том, чему научен».
Так и сидим. Даже плагины универсальные писать спокойно нельзя.
ivlad
18.04.2015 12:52-1Кажется, эта проблема есть только в России. В остальных странах никакого особенно богатого клиентского приложения в интернет-банке нет.
DicsyDel
17.04.2015 02:01+5Хорошее решение хоть я и сам пострадал от этого ибо активно использую несколько Java-апплетов. Иногда приходится принимать не популярные и жесткие меры, чтобы иметь возможность двигаться дальше.
vsb
17.04.2015 05:25+8Например в Казахстане и в России используется шифрование с использованием специальных «гостовских» алгоритмов. Если я заказываю услугу на сайте электронного правительства, я подписываю свой запрос с помощью ЭЦП используя специальный USB-токен. Используя Java-апплет это делается без каких-либо проблем, кроссплатформенно и кроссбраузерно. Что бы вы предложили взамен? WebCrypto ничего подобного не поддерживает. JavaScript не имеет возможности доступа к USB-устройствам.
khim
17.04.2015 06:59-7Что значит «JavaScript не имеет возможности доступа к USB-устройствам»? Напрямую, конечно, нет, а через браузер — так вполне. Уже не первый год.
vsb
17.04.2015 08:59+3> Что значит «JavaScript не имеет возможности доступа к USB-устройствам»? Напрямую, конечно, нет, а через браузер — так вполне. Уже не первый год.
А что значит «через браузер»? Вот у меня есть USB-устройство. Java его открывает используя API для смарткарт и общается с ним по специальному протоколу. Посылает команды «подписать данные», токен подписывает данные и возращает подпись. Или сертификат возвращает. Ну и прочие функции, много их. Как это сделать без апплета, без ActiveX, без плагинов к браузеру?khim
17.04.2015 12:02-8Читаете документацию, пишете своё поделие, если что-нибудь не работает — обращаетесь с разработчиками.
Это если вам, конечно, нужно «ехать». Если нужны «шашечки» (сертифицированный Java-plugin, etc) — ну это уже ваши проблемы.vsb
17.04.2015 17:03+5Вы мне скидываете документацию про Chrome Apps. Мне нужен доступ к устройству с сайта. Насколько я понимаю, это разные вещи.
as1an
18.04.2015 08:25+1Да, кстати, вчера тоже убеждали, что в хроме уже есть api. Пришлось наглядно показывать, что это все не будет работать на обычной странице. Благо готовый пример у них есть.
Но насколько я понимаю, даже у приложений есть проблемы с токенами. Вероятно из-за CCID. Поскольку приложение смогло отобразить токен в списке подключенных USB-устройств, а дальше уже не знает что с ним делать.
Кстати, там же есть предостережение насчет USB API.
Not all devices can be accessed through the USB API. In general, devices are not accessible because either the Operating System's kernel or a native driver holds them off from user space code…
lonelysuch
17.04.2015 10:10IPMI?
navion
17.04.2015 14:51Саму консоль сделать можно (см. VMware Blast), а вот с подключением дисков облом.
valplo
18.04.2015 13:08Не путайте «нельзя было бы реализовать» и «не реализован». Например, образовательных Java-апплетов осталось очень много еще с тех пор, когда Java было мейнстримом.
potapuff
18.04.2015 14:10У меня в ВУЗе их около тысячи успали наклепать с 2004 года. Будем рекомендовать студентам использовать другие браузеры.
andreishe
17.04.2015 03:35Неужели я увижу флешекапец на своем веку?..
KaneUA
17.04.2015 03:37+45Чтобы увидеть флешекапец, у вас должен быть установлен плагин Adobe Flash Player версии не ниже 11.
grokinn
17.04.2015 06:45+9Flash в версии для хрома уже давно перешел на PPAPI так что ему ничего не грозит.
TheRabbitFlash
17.04.2015 17:26+5Для всех, кому не нравится реализация PPAPI Flash от Google — всегда может поставить реализацию то Adobe. Кстати, вот они в конце 2014 года релизнули PPAPI плагин свой. Так, что очередные похороны сорваны :D Как говорится — «Хоронили флеш — порвали три стандарта» :D
andreishe
18.04.2015 02:04Значит, не увижу. Эх…
TheRabbitFlash
18.04.2015 12:08Естественно не увидите. Более того… FireFox неспешно пилит Shumway. Это Flash Player, который реализован на чистом JS :D Даже если у Вас нет Flash плеера в барузере — это не значит, что Вы не увидите рекламный блок на Flash :D. Вы его увидите. Только через Shumway.
23rd
19.04.2015 23:31-2Flash Player на чистом JS? Ну это же очевидно нереализуемо.
Или это чисто для рекламы, которая сделана на AS1.0 с помощью on(release){}, gotoAndPlay() и stop()? :DTheRabbitFlash
19.04.2015 23:34Flash Player на чистом JS уже давно есть. Тот же swiffy от Google. Он перемалывает весьма качественно практически любой Display List контент от as1 до as3 и выдает его в html5 canvas.
23rd
19.04.2015 23:35А что он делает с потоковым видео?
TheRabbitFlash
19.04.2015 23:40не знаю. Потоководе видео и html5 это курам на смех. А все мои капризы swiffy покрывает. Но там ограничение на сервере — 1 мб на swf файл. Приходится извращаться, чтоб собрать большие пакеты )
23rd
19.04.2015 23:45Просто на заезженное «флеш умрёт» я всегда привожу любимый пример с Твичом и стримами, которые имеют огромную аудиторию.
И тоже самое к флешезаменителям. =)TheRabbitFlash
19.04.2015 23:47))) Adobe сейчас делает технические ограниченные по возможностям сборки WebGL рантайма, который является по своей сути флеш плеером ) все косо-криво, но уже работает. Думаю, что флеш умрет не скоро. Он еще попьет кровь тем, кто его не любит )
p.s. у меня уже племяха в 3й класс пошла. А флеш все умирает :D первые разговоры о его смерти я услушал, когда она пошла в садик :D
semmaxim
17.04.2015 06:47Ещё Silverlight отрубился.
Suvitruf
17.04.2015 10:18+4Его кто-то использует ещё? Если мне память не изменяет, то MS уже пару лет его не развивает.
semmaxim
17.04.2015 10:56Причём тут развивает-не развивает… Очень много софта написано под Silverlight. Как специализированного для предприятий, так и просто онлайн-игры (например, theriansaga.ru).
Artima
17.04.2015 12:01+15Это же надо было себя так подставить и что-то написать под Silverlight.
semmaxim
17.04.2015 16:43Почему же? Если у Вас есть под рукой команда дотнетчиков, то Silverlight — прекрасное решение. И куда более удобное, нежели Flash или, HTML. Люди на нём пишут серьёзные приложения и зарабатывают вполне неплохие деньги. Уж всяко не хуже, чем Flash.
Artima
22.04.2015 09:30Хорошо, что у них нет под рукой программистов на Assembler, Visual Basic или Visual FoxPro. :)
VenomBlood
19.04.2015 10:12Amazon Instant Video например в хроме теперь показывает только контент SD качества, для HD предлагает использвоать другой браузер.
VenomBlood
19.04.2015 10:16Причем мне даже выставление флага chrome://flags/#enable-npapi не помогло. Все равно предлагает «Experience better quality video with Internet Explorer, Safari or Firefox».
toxicdream
17.04.2015 06:50+1Все. Приплыли. Как теперь работать с egov.kz, НУЦ РК и ГОСТ-овскими шифрованиями?
as1an
17.04.2015 08:26+2Oracle официально предлагает не паниковать и использовать альтернативные браузеры.
TokminD
17.04.2015 09:30Да, но тут встает вопрос централизованного управления. Chrome из коробки поддерживает управление с помощью GroupPolicy, при этом msi пакеты его не надо перепаковывать (как это делают с firefox'ом) и расширения устанавливаются автоматом тоже через групповые политики с локального хоста. Теперь же надо все придумывать заново
Crazybot
17.04.2015 08:03-7Уже говорили, что флеш и хорошего браузера превращается в очередной IE6, тормознутый и бредовой политикой?
Kano
17.04.2015 08:56-1Не ведитесь на то в чем не разбираетесь. Гугл в первую очередь, как и все корпорации, беспокоится о своих доходах. То что пишут на счет костылей и тормозов все это простая пропаганда.
Crazybot
17.04.2015 10:05+2Спасибо, что сказали, что я должен делать. Уверен, я прислушаюсь к этому, когда мне не будет следующий раз чем заняться.
Я еще могу запустить сам браузер и посмотреть, насколько все стало плохо, сравнительно с более старыми версиями. Особенно в вопросах принуждения.
Сейчас запустил Оперу 28 (она ведь на движке хрома, наблюдаются те же самые симптомы. Увы, на этой машине хрома нет, но думаю на чистоту эксперимента это не повлияет), чтобы проверить еще раз. Открыта только пустая вкладка, уплыло 100 мб оперативки в неизвестном направлении. В то время как тот же Фх ест 63мб, не свопит постоянно вкладки на диск, из-за чего приходится постоянно терпеть задержку при переключении между вкладками.
Наверное у меня слишком сильно самовнушение, другие пропагандируют, а я поддался и вижу фантомные тормоза в браузере, которых на самом деле не существует.23rd
17.04.2015 19:12-3Включил компьютер с Windows 10 — уплыло 1024Мб оперативки в неизвестном направлении.
В то время как тот же Ubuntu ест 700Мб.
Ну всё, срочно пересаживаюсь на FF и Ubuntu.
Alexeyslav
17.04.2015 10:13Избавится от костылей 20-летней давности, это бредовая политика? А то что разработчики плагинов не пошевелились переделать под новый API… так это чья проблема?
Crazybot
17.04.2015 10:47+1В первую очередь — это проблемы пользователя.
khim
17.04.2015 12:12+1А пользователь всегда крайним оказывается. Мне вот только интересно: тут все вроде как за «ынтырпрайз» переживают. В основном за Java.
Которой, на минуточку, «чёрную метку» выдали четыре года назад. Чем всё это админы занимались? Всякие TCO? Бонусы себе раздавали? Ну тады ой, они заслуживают то, что заработали.Alexeyslav
17.04.2015 14:28ну че, как обычно… 4 года, ого-го это же времени вагон, через годик можно подумать. Проходит год… никто не шевелится, закрадываются мысли «а может пронесет?» и так следующие 4 года… но тут наступает момент Ч и «последнее китайское» только метаться уже поздно.
Нет, если резать то резать — не откладывать. Или резко или постепенно но резать, чтобы люди чувствовали что движение есть и его не остановить.
А то, если бы до сих пор заботились о пользователях не делая изменений то большинство из программистов до сих пор бы программировало под ДОС 3.0 или 6.20 у самых продвинутых.
immaculate
17.04.2015 08:44-4Я всю сознательную жизнь пользуюсь Linux (сразу после MSX и MS-DOS). Сначала, поддержки Flash в Linux не было совсем. Затем она появилась, но:
* постоянно роняет браузер, с первых дней появления до сих пор
* все эти флэш свистоперделки и баннеры на каждой странице непрерывно грузят CPU, разряжая батарейку и гоняя кулер
* каждую неделю в этом флэше находят дыры все время его существования
* эта поделка открывает дополнительный канал слежения за пользователями
Не люблю и не пользуюсь Chrome (IMHO, Firefox его давно уделывает по всем параметрам), но это решение всецело одобряю, если оно наконец приведет к окончательному вымиранию flash.toxicdream
17.04.2015 08:55+2Как уже выше сказали «Flash в версии для хрома уже давно перешел на PPAPI так что ему ничего не грозит».
avz
17.04.2015 09:21+2Интересно это автоматически скажется на браузерах на том же движке типа Яндекса и Оперы? Или их это уже вотчина их разрабов?
halyavin
17.04.2015 10:29Да. Думаю им и без этого хватает merge конфликтов.
alex_shpak
17.04.2015 12:05Opera — мы пока поддерживаем NPAPI.
Yandex — по крайней мере, браузер версии 15.2 (основанный на Chrome 40), тоже поддерживает.
Когда поддержка закончится — логично предположить, что как только Chrome начнет удалять соответствующие части из кода. Но обещать я, конечно, ничего не могу :)tundrawolf_kiba
17.04.2015 12:37Yandex уже пообещали по крайне мере для Unity поддержку до тех пор, покак Unity не перепишут себя для совместимости
khim
17.04.2015 12:53+1Интересно как они это себе представляют. Когда осенью начнут из кода Chromium'а выкорчёвывать потихонечку костыли для NPAPI (которых там невероятное количество), что они делать будут? Форкнут? А ресурсов у них хватит?
Впрочем попкорном нужно запастись — это факт.
P.S. Не очень, впрочем, понятно, что обозначает «Unity не перепишут себя для совместимости». До версии 4.3 Unity поддерживала NaCl, потом им это надоело. Теперь они на asm.js будут переходить? А смысл? Играм совершенно необязательно жить в браузере, тем более таким тяжёлым, как Unity. Ну или можно проверок наотключать, ARC на десктопе в Yandex.Браузере запустить и сказать, что всё, проблема решена: Unity «себя переписала для совместимости».tundrawolf_kiba
17.04.2015 12:58Ну они изначально форкнули, хотя достаточно большую часть кода — синхронизируют с основной веткой. Просто будут несколько больше усилий при синхронизации затрачивать. Про unity — хз, на что они будут переписывать, есть только информация, что точно будут, а вот на что решат — только слухи, по предположениям — WebGL.
23rd
19.04.2015 23:40У Яндекса-то ресурсов должно хватить.
Вот даже Вивальди собирался (или даже уже) форкнуть Хромиум.
BarakAdama
17.04.2015 13:29+1Не совсем это я писал в клубе Яндекс.Браузера. Некоторое время в новых версиях (основанных на свежих Chromium) мы будем поддерживать NPAPI. В основном ради Unity Web Player. Приложения на его основе достаточно сильно распространены (если пальцем в небо, то это около половины всех игр во ВКонтакте). Хотим дать разработчикам игр максимум времени на переход.
Чем быстрее в Chromium будут ломать NPAPI (а его уже начали ломать, но мы пока справляемся с восстановлением оного), тем сложнее нам будет поддерживать его.mt_
17.04.2015 16:52Пользуясь случаем, хочу узнать из первых рук: в Яндекс.браузере информация о посещении страницы также поступает на серверы Гугла (или не Гугла, а Яндекса, скажем)? Или у вас как в Iron Browser, эта «фича» удалена?
На мой взгляд, вопрос хоть не прямо по теме заметки, но вполне релевантен упоминаниям о безопасности здесь, в комментариях.BarakAdama
17.04.2015 18:19+4На самом деле вопрос статистики мало связан с безопасностью уже потому, что статистика анонимна. Но попробую ответить. Данные и статистика, которые отправляет браузер, можно разделить на несколько категорий:
1. Сообщения о падениях. Тут все понятно. Отключаются в настройках.
2. Статистика использования. Как мы эти данные используем, я уже рассказывал тут и даже здесь. Отключается в настройках.
3. Отправка введенных запросов. Поисковые подсказки (Быстрые ответы) без этого не работали бы. Отключается все там же.
4. Защита от вредоносных сайтов, фишинга и мошенников. Но тут введенный урл мы отправляем к себе для проверки только в том случае, если локальная база еще не подгрузилась. Отключается.
5. Ошибки навигации. Когда вы попадаете, например, на 404, браузер не просто ругается на ошибку, но и старается подсказать выход (исправить адрес, предложить сохраненную копию). Для этого тоже нужен урл. Отключается.
6. В браузере используются много прочих фишек, некоторые из которых нельзя отключить. Например, переводчик, проверка орфографии и прочее. Для их работы нужна связь с веб-сервисом.
В общем, если копать подробно, то все оказывается достаточно скучно и без коварных планов по захвату человечества.
UPD. Забыл уточнить. Это все наши сервера.
tzlom
17.04.2015 09:23+14Почему-то никого в топике не волнует что NSAPI — дыра в безопасности, что и послужило толчком для разработки «велосипеда». Всё правильно делают.
vitektm
17.04.2015 09:56+5Где вариант, гори оно огнем! Гугл молодцы! Но использую firefox.
Интересно разработчики банковских систем и корпоративных порталов зачешутся?
Или придется использовать спортанского осла и другой браузер?
Firefox тоже вроде в этом году хотел отказаться от поддержки жабы? (Полностью)DrPass
17.04.2015 11:49+9Думаю, разработчики банковских систем и корпоративных порталов просто изменят сообщения с «Проверьте, установлена ли у вас актуальная версия Java» на «Для работы с данной системой вам необходим броузер Microsoft Internet Explorer 6.0 или выше» :)
cbrwizard
17.04.2015 10:23+1Означает ли это что Java апплеты будут становиться всё менее популярными?
Mendel
17.04.2015 10:31+8А они популярны?
Единственное место где они еще живы так это криптография… Есть еще некоторые локальные решения типа интеграции сканеров в СЭД, но в большинстве случаев это недостатки архитектуры, и существуют более удачные решения исходных задач.
Нет, серьезно, может это я такой отсталый, но где еще вы видели апплеты?
Archon
17.04.2015 10:51+6Из того, от чего нельзя отказаться — как минимум, всякие IP-KVM решения.
Плюс, довольно много всего зарубежного, в том числе для простых людей, всё ещё живёт на джава-апплетах, хоть жёсткой необходимости в этом и нет.
Core2Duo
17.04.2015 23:11Плюсую за IP-KVM. Сидел с IE сегодня, потому что хром отказался его включать.
nikitasius
17.04.2015 11:21+2И к чему весь сыр-бор? Ну используют много-много человечкой Хром, ну решил гугл навязать свое мнение. Толку-то?
Используйте форки, используйте предыдущую версию, используйте FF devel edition в кои-то веки.
Делов-то и трагедии.
CeyT
17.04.2015 12:47+7То, что пользователи Chrome пользуются интернетом не так, как хотят, а так, как этого хочет Google — не секрет.
Гуглу не нужна Java вообще никогда и нигде — значит, вам она тоже не нужна, придумывайте сотню оправданий, что «не очень-то и хотелось», чтобы не чувствовать себя в странной позиции.khim
17.04.2015 12:59В странную позицию вас поставил Oracle, превратив Java в ActiveX (только ещё более дырявый, чем настоящий ActiveX). То, что Google, вполне резонно, решил заткнуть эту зияющую пробоину в безопасности отнюдь не значит, что пользователи Chrome'а — все сплошь идиоты.
CeyT
17.04.2015 13:37+2Стоп, стоп. Кого это «вас»? Желание поставить себе Chrome у меня не возникало и, думаю, не возникнет (разве что как-нибудь поврежусь умом), а Java-плагин в последний раз потребовалось запустить уже не помню когда для каких-то чепуховых визуализаций на древнем сайте. Сравнивать количество дырок во Flash, Java, и прочих плагинах бесполезно по одной простой причине: безрассудство пользования вебом со включенными плагинами и отсутствием ограничений всё перевешивает. Кто-то осознанно включает загрузку по клику; Google осознанно заявляет «у нас много глупых пользователей, нагнанных рекламой с главной страницы, они того не понимают, этого не понимают (не дай бог, поставят себе другой браузер, кликнув на ещё какой-то баннер на каком-нибудь дорвейчике), мы делаем функциональность под них (с привязкой в наши сервисам, естественно)»; кто-то изо всех сил делает вид, что «глупые пользователи» — это про других, а они пользуются Chrome исключительно из-за совпадения собственного изысканного вкуса со вкусом компании Google, каким бы он в данный момент ни был.
Artima
17.04.2015 14:03Вы, случаем, Javascript-ы у себя в браузере не отключаете? :)
CeyT
17.04.2015 14:51+3Иногда приходится, чтобы не мешали. «Rich» в «rich web» слишком часто стало значить не «изобилие», а «шикующих нуворишей с цацками».
Вообще, вы в курсе, что методики удобной и безопасной работы с браузером в той или иной виртуальной среде — не тема презентации на хакерской конференции, а будничное обсуждение? Что многуровневым разделением машин и сетей с личной и рабочей, чепуховой и ценной информацией занимаются не только люди, работающие с государственной тайной и промышленными секретами, но и обычные «продвинутые пользователи»? Зайдите на какой-нибудь новостной сайт, чтобы прочесть два абзаца текста, и посчитайте, сколько всего грузится и обрабатывается браузером ради этой задачи, прикиньте пропорцию и масштаб обмена информацией. Нет уж, мне, по старинке, заверните только эти два абзаца, да в простой текстовый протокол.
Всё это возмущение не на пустом месте возникло. Не раз и не два я видел баннеры «наш прекрасный проект работает только в Chrome, поставьте его и зайдите снова». Конечно, уже побежал. Годы говорильни про открытые стандарты потребовались для того, чтобы заменить Adobe Flash на Google Chrome (причём первые хотя бы не хотели знать о каждом шаге интернет-пользователя). Зашибись достижение!Archon
17.04.2015 16:44+1О каждом шаге пользователя хочет знать не только Гугл, это всеобщее желание. Поставьте Ghostery или аналогичный плагин, включите полную блокировку (можно оставить веб-шрифты, они сравнительно безобидны), и посмотрите, сколько «очень полезных штук» у вас выключилось. На этой странице у меня, например, горит четвёрка, означающая, что тут было аж четыре общеизвестных трекера, желавших следить за моими действиями. Вконтач — 5. Злая Лента.ру — 12. Добрая и пушистая Медуза — «всего» 6.
Вы в интернете — не потребитель, а товар. Вас продают с сайта на сайт, заманивая рекламой, заточенной конкретно под вас. Можно любить это или не любить, делать с этим что-то или не делать, но это факт.CeyT
17.04.2015 19:03-2Конечно, всеобщее. Представьте, что Winrar посылает список файлов обрабатываемого архива Рошалю, а проклятый M$ копирует все офисные документы к себе на сервер (всего лишь на случай сбоев, само собой). И только в вебе фраза «Но они же должны как-то зарабатывать деньги…» служит оправданием для любой садо-мазо фантазии любителей анальных зондов.
Archon
20.04.2015 08:56А кто сказал, что их кто-то оправдывает? Они штопаные гондоны и оправдания им нет. Но от того, что мы будем тут это обсуждать, они не исчезнут, не раскаются, не сделают себе сэппуку в туалете, и не прекратят вас продавать всем подряд.
Swart
30.04.2015 16:26Без денег, которые они зарабатывают на «торговле людьми» не было бы нормального поисковика, gmail, хабры, Office356 и прочих ресурсов, которые сейчас практически незаменимы для пользователя.
Если есть что-то действительно ценное, что требует защиты и конфиденциальности — держите это на съемном винте и не говорите об этом в интернета. В остальном хотел бы я посмотреть на этих всевидящих, которые перерывают тонны бухгалтерии мелких бизнесов, коих миллионы в Google Drive и Office365.
— Нет Unity — а нахрен он нужен в браузере со своими то запросами? Пусть будет stand-alone клиент на том же самом юнити и все ок.
— Нет Java — погодите чуток — появится.
— Реклама надоела — поставьте ад-блок.
— Боитесь что за вами следит СРУ? — не нарушайте закон.
Что еще я упустил?
Arvur
17.04.2015 14:42+1Вот здесь товарищи вполне качественно расписали варианты замены для NPAPI.
Там нужно промотать до строки «Below is the previous version of this page...». Они уже допили новую версию, в начале ее анонс.
Мы ждать не стали и сделали собственный вариант. Тут спрашивали про работу с USB-токенами, как раз для этого и делалось.
По сути все очень просто. Маленькое приложение прокидывает JSON-пакеты (упрощенный вариант JSON-RPC) между JavaScript'ом и старой NPAPI-библиотекой. Работать умеет через XmlHttpRequest (имитируя синхронную работу с библиотекой) и, на всякий случай, через WebSockets. Написано на FreePascal, прекрасно работает в Windows, Linux и Mac OS.
Единственный нюанс — если вам нужно соединение через https или wss, хром будет ругаться на сертификат. Однако это тоже решаемо.
Хотя получить от доверенного издателя (в нашем случае Thawte) сертификат на localhost и не выйдет, но есть обходной трюк.
jonic
17.04.2015 14:53На Windows машине я на лету генерирую сертефикат само подписанный на localhost и добавляю его в доверенные. практика показала что даже браузер перезагружать не нужно :)
Arvur
17.04.2015 16:12Вполне себе вариант. Кем выдан сертификат, пользователю в данном случае не важно, он его не видит. Ну придется один раз подтвердить установку сертификата в хранилище, при установке это не проблема.
Мне же была нужна кроссплатформенность малой кровью и быстро. Поэтому для домена третьего уровня получили сертификат и выставили ему адрес 127.0.0.1. Вуаля! ))
jonic
17.04.2015 14:52Я давно знал об этой штуке, и что это случится. Поэтому в экстренном порядке пришлось переписать плагин использующий NPAPI, на локальное приложение сервис и вебсокеты. Вполне хорошо получилось.
RSATom
19.04.2015 18:41А можно немного больше информации о вашем плагине? Я сам являюсь разработчиком одного Open Source браузерного плагина и пользователи с каждым днем все настойчивей и настойчивей спрашивают про перспективы проекта в контексте запрета NPAPI в Chrome. У нас есть некоторые идеи как обойти эту проблему, но все они обладают большим количеством недостатков. В моем случае проблема еще осложняется тем что плагин предназначен для воспроизведения видео, соответственно просто запустить его в фоне и общаться с ним через WebSockets не получится…
ZeroZeroZero
20.04.2015 02:53-2Законодатель, ёпт… А это все потому что у кого-то слишком большая доля рынка.
shifttstas
20.04.2015 10:45-2Ну и отлично, еще бы flash выпилили и было бы отлично. Живу более 2 лет без flash и чувствую себя отлично, не нашел ничего что бы не работало. Уже все приличные ресурсы видео по html5 отдают.
Alexeyslav
20.04.2015 11:56Современная винда, высокопроизводительный процессор и гигабайты RAM делают чудеса. Но… остальных — за борт.
У меня слабенький ноут без проблем воспроизводит FullHD видео, а вот стационарный дико тормозит, несмотря на то что процессор там раз в 10 мощнее… А все из-за чего, из-за того что ноут более современный и имеет аппаратную поддержку декодирования видео, а на старых системах этим занимается процессор и все зачастую упирается в него. Вот из-за таких мелочей переход на новые технологии не может свершиться абсолютно бескровно, кому-то придется страдать или кардинально заменять железо.
IvanovSV
24.04.2015 08:04+1Включил поддержку NPAPI, т.к. рухнул WebTwain.
Но в дальнейшем придется переходить на другой браузер…
Bal
А где пункт «буду плакать, колоться, но есть кактус»? :)
Очень многое в политике и решений Google в последнее время огорчает, но по совокупности персональных запросов Хром пока для меня по-прежнему лидирует :-/ Приходится терпеть и вспоминать, как трава раньше была зеленее.
grossws
Это как с исчезновением опции принудительной проверки OCSP/CRL, которая раньше позволяла включить проверку. А теперь остались только CRLsets, которые покрывают далеко не все CA…
a553
Можно отключить обновления ещё.