>В мозиловском репозитории тоже недавно нашли мелкого троянца. Выходит, что не всё
>и не всегда аудитят. А хотите поржать? Вот что-что а аддоны в мозиле ни разу не являются нативным кодом. Круто - вы только что доказали что sh*t может случиться независимо от нативности кода. Волшебно! iZEN сам же себя и опровергает? Кстати, скажите, а почему трояны на J2ME шлющие смс на короткий номер и заколебавшие уже аська-спамеры - вполне себе процветают? Тьфу на вас с вашими двойными стандартами и отрывом от реалий. В теории оно конечно да, но на практке - оно совсем не!
>"Энное количество отзывов" — это когда тысячи пользователей уже соснут тунца,
Не пользователей а ТЕСТЕРОВ, мля. Тестовые репы - не для пользователей. Если кто полез в тестеры - ну он знал на что шел. Да, кстати, а если вы решите выступить летчиком-испытателем - будьте готовы катапультироваться если что-то пойдет не так. Это для вас так странно? :)
>четверть из них напишут мантейнерам, что вот де косяк скрывается, соответственно, уже
>после этого поднимется буча среди мантейнеров и они принимаются решать проблему.
У нокии пардон софтина попадает в основной реп после того как энное число ТЕСТЕРОВ подтвердит что все ок и проблем не будет найдено. Да впрочем и у дебиянщиков не сильно иначе, хотя и своеобразно.
>зловредный код и провести его в жизнь на устройствах пользователя.
Чтобы нельзя было выполнить зловредный код даже в теории - у девайса очевидно не должно быть процессора вообще. В противном случае риски так или иначе будут. Что-то не так? :)
>Результат зависит от ответа пользователя: разрешить или запретить.
Да, только если нажать нет - программа сломается. Отрицательный стимул. И вот уже юзер превращается ... в ХОМЯЧКА! Далее стандартная механика с положительным и отрицательным стимулом. Жмем Yes - положительный стимул, прога запускается. Жмем No - отрицательный стимул, прога ломается. И вот уже наш хомячок наколачивает Yes даже не читая. Потому что где-то в глубине - человеки не чужды низкоуровневых простых рефлексов. И нажать среди 200 Yes одно No как-то крайне проблематично.
>А то, что эти вопросы навязчивы, значит, что загруженное приложение не имеет
>доверенного сертификата, где прописаны права программы по использованию
>критически важных ресурсов операционной среды.
Сертификат стоит бабок. А это означает что такая программа не может быть бесплатной. Кроме того, детально аудитить сертифицированное приложение ... тоже никто не будет. В итоге в принципе при желании можно выпустить сертифицироанный бэкдор. А что этому помешает то? Можно незаметно вдуть в код бэкдор, например. Так что авторы не заметят и будут искренне считать что их программа исправна и она будет подписана в таком виде сертификатом.
>А значит пользователю ничего не остаётся делать, как защищать или не защищать
>свои данные самому.
А пользователю в любом случае придется определяться с тем кому он доверяет. И как по мне - я лучше буду доверять авторам мплеера чем какой-то школоте желающей срубить бабла по быстрому своим кульым плеером под андроид.
>Под J2ME нету саморазмножающихся троянцев.
Да кого это колебет? Есть вполне эффективный аська-размножающийся троян. Шлет спам сам на себя выложенного на хттп. Как якобы фото. А кто пытается качнуть фото - получает вместо жипега ... ява аплет. Далее судя по всему бяка запускается, ну и рассылает себя на контактлист жертвы. И цикл повторяется. Судя по спаму в аську - вполне жизнеспособно оказалось. Ну да, юзеру надо нажать Yes. Но юзер ж уже твердо усвоил что он - хомячок в лаборатории и если No нажмет - будет ой. Прога не заработает. Кина не будет. Ася не подключится. Плеер не заиграет. И прочая. Что жмет юзер? Правильно - заветную кнопку несущую положительный стимул. Так-то.
>Репликация кода — одно из основных свойств вируса.
Думаете меня сильно колебет ваш теоретический трындеж, когда мне на практике от ява-троянов спам в аську валится? Шли б вы с вашими теориями знаете куда?
>Здесь этого нет, значит называть это вирусом нельзя,
Мне от этого сильно легче, конечно. Что оказывается мне спамит не вирус а троян с полупедальным приводом. А, собственно, мне такая уж большая разница - спамит мне истинно самоходный вирус или троянец с полупедальным приводом эксплуатирующий рефлексы хомячков выработанные явой? Результат то однохренственный, вашумать!
>Поэтому серьёзные программы проходят этап сертификации, когда сертификат программы
>подтверждается и отвергается системой устройства.
Во первых, никто при этом код от и до не читает и не исключена возможность вдувания левого кода. Во вторых - я за эти ява-какашки еще и платить должен? Серьезная программа на J2ME - звучит как анекдот сезона.
>Несерьёзные программы держатся на честном слове разработчиков совместно с
>ответами пользователей.
Знаете, несерьезная аська Jimm на яве почему-то фору дает любому коммерческому серьезному IM. А вот платить за сертификат всем впадлу, да. Вот и получается что на яве дохрена гемора а результата с него ноль, судя по спаму с хомячков в мою аську троянцами на яве.
>И это лучше, чем доверенные сертификаты репозиториев,
Чем? "Чем грузины?" Результат на практике - сами видите какой.
>Везде работает "человеческий фактор". Но где-то ответственность переносится
>на пользователя (Windows), где на систему (репозитории Linux, Mozilla),
>а где и нужно разделять ответственность между разработчиками и
>пользователями (сертификаты программ на исполнение).
Красивая теория. Хреновая практика. Стало быть - в ж...у. Гемора много, а толка - ноль.Ну и зачем мне это мозгоимение в моем кармане? Я ж не клацаю Yes на десктопе постоянно, а? И почему-то вирусов у меня нет. Странно.
>мплеер настолько универсален, что не может воспроизвести слабораспространённые форматы.
Он жрет практически все мало-мальски встречающиеся в мире форматы. В этом во многом заслуга либы ffmpeg и прочая. Оно жрет больше форматов чем все прочие, имхо.
>На этом и зарабатывают писатели проприетарных(закрытых) форматов: нужен
>уникальный плеер, желательно за отдельные деньги.
Да, при том еще спасибо если там малваре не подсунут. А то денег то хочется. А адваре - профит. Рассылка спама - профит. И прочая. Вот и юзайте наздоровье вашу проприетарь. Молясь чтобы вас не поимели ради профита.
>Что в этом случае можно предпринять? Очевидно, не использовать проприетарные форматы,
>чтобы не зависеть от прихотей плеероделателей.
Тот же Mplayer жрет практически все распостраненные форматы. Даже какойнить Bink Video из гамез нынче в ффмпег уже засунули. Круто, а? :)
>Но в этом случае придётся отказаться от контента, потому что мплеер
>его не сможет проиграть и задействовать.
Контента который мплеер с ффмпегом не сможет прожевать - осталось весьма немного. А задизайнить с нуля свой формат файла/потока, свой кодек и прочая - жутко затратно и сейчас этим мало кто занимается, т.к. всегда можно выбрать из уже существующего под свою задачу.
>Ну, и будут пользователи сидеть на всём открытом и не
>смогут ничего делать. А дальше что?
А чего я такого не могу на мплеере делать то, мистер лицемер?Он играет все на что ресурсов девайса хватает. Найти хитровыгнутый формат который он не сожрет - это еще суметь надо. А вот типичная проприетара и половину из списка поддерживаемых мплеером и ффмпегом не осилит. Потому что задолбутся столько кодить.
>Проприетарщикам придётся искать другие пути распространения собственного контента без
>использования специального плеера?
Меня мало колебут проприетаршики с их уникальным контентом. А вот имеющийся у меня контент мне хочется просматривать. Желательно как можно меньше мудохаясь с конверсией в спецформаты и прочая. Мплеер это вполне себе обеспечивает. Поделия от проприетарщиков и школоло - как-то не очень.
>последнее предполагает полный отказ от услуг проприетарщиков и сохранение душевного
>спокойствия.
+ нужду конвертировать половину имеюшегося у него контента в понимаемый девайсом формат, что и отличае полноценный компьютер и кастратские недоноски. Компьютер ограничен только ресурсами. Кастратские недоноски снабжены тупыми ограничениями высосанными из пальца вендорами.