Спасибо за примеры конфигов.
Однако, стоит отметить, что одна из частых причин ошибок 5xx — это невыложенное обновление на одну из реплик серверов.
Причин может быть масса:
выкладывали вручную, забыли что-то сделать
выкладывал CI (напр., TeamCity), что-то сбойнуло (сервер ставил обновления ОС и ребутался; сервер чуть отличается в настройках, что повлияло на обновление; антивирусное ПО ложно сработало эвристикой; к этой реплике сервера шел запрос от пользователя — файл был занят — не удалось заменить; и так далее, список можно долго продолжать)
У нас на репликах серверов настроено независимое логирование 5xx ошибок. Да, оно менее информативное, и его можно комбинировать с вашим способом, но забывать про это не стоит.
Говорят, что Unreal Engine 4 использует перегрузку в классе UEngine для жесткой проверки обращения только из основного потока
Кажется, что иногда смысл есть.
Рекомендую еще сравнить расход оперативной памяти на промисы.
Будете очень удивлены, особенно в Google Chrome.
По нашим тестам, нативные промисы съели около 200 МБайт памяти на 100 000 вызовов.
Bluebird — что-то около 10 Мбайт кажется.
Windows Defender на Windows 10 какой-то особенный.
Возможно, на нем другие базы или другая эвристика.
Мы тоже сталкиваемся с его проблемами, например, при создании новых инсталляторов. Стабильно новые инсталляторы считаются вирусами, при этом они созданы на разных компах, разными компиляторами, и после отправки в MS по вышеуказанному адресу, спустя сутки, антивирус перестает ругаться.
Предлагаю объединить наши усилия и не сдаваться, мы параллельно с ними общаемся по похожему вопросу.
Чтоб добавить http, надо снять галочку «Для всех сайтов требуется https:» в том же окне, где добавляете сайт.
Потом, после теста, удалить сайт и вернуть галку
P.S. XDomainRequest — это другое, здесь был баг именно в самом ActiveX, слабо относящемся к IE
Походу M$ таки движется к закрытию своих дырок — на последней сборке IE11 уже по умолчанию не работает — приходится сайт добавлять в надежные узлы.
Но почему-то мне кажется, что в прошлом году я проверял — и работало без этого.
Но каким-то образом умудрившихся установить дрова на токены без прав админисратора. А в сертификате значит вся засада будет.
Я сам встречался с такими админами — их ответ: «мы права не урезаем, нам просто самим так удобнее распространять свои корневые сертификаты по домену, ну а то что они при этом перестают ставиться у самих абонентов — мы не в курсе»
Ну так потому что рабочая фраза. Только в случае с плагинами этого сделать невозможно.
Возможно. У одного абонента с ломаной виндой плагин работает в одном браузере, у другого с пиратской сборкой — в другом.
В каком-то смысле оба абонента довольны.
В лисе есть js-ctypes через него подключали сканер отпечатков прямо на веб страницу
А я правильно понял, что код для сканера одинаковый для всех ОС? Windows, Linux, MacOS? Серьезно? Там же под Windows только 2 разных варианта…
В лисе есть js-ctypes через него подключали сканер отпечатков прямо на веб страницу. Причем так мало инфы, если бы не стаковерфлоу уй бы сделали. И все равно тупило
Там весь затык в MFC и ATL. Если писать на чистом Си — все работает относительно быстро.
Хотя где теперь найдешь таких программистов…
а говорили о слезах 40% рынка
У меня и у авторов антивируса разное понятие рынка… и разные масштабы…
Сертификаты делаются один раз производителем дома. Ставятся незаметно для пользователя при первом запуске приложения за 1 сек копированием и привязкой к ip
Если делать публичный сервис, то все равно столкнешься с доменными администраторами абонентов, которые запретили установку корневых сертификатов своим абонентам.
Но ладно, проблему, видимо, можно решить за счет поддомена localhost.my-site.ru
Что проще, поддерживать зоопарк браузеров кроссплатформенно, или одну кроссплатформенную утилиту?
Ответ для любого разработчика очевиден
Нет, не очевиден.
Какая любимая фраза тех.поддержки? «Не работает? Попробуйте в другом браузере!»
С плагинами это работает безотказно. С вашим локальным сервером, видимо, если и не работает, то сразу везде.
А потом начальник тех.поддержки начинает капать на мозги тимлиду команды разработки.
Или еще того хуже — идет в финансовому директору и показывает отчет о расходах на ТП.
Я не имею к производителю отношения
Пост в блоге компании «Алладин Р.Д.»
В начале и в конце статьи я не вижу предупреждений, что статья написана человеком, не имеющим отношения к компании.
Видимо, поэтому и подумал.
К тому же, не понимаю в чем проблема обвинений, когда весь интернет построен на http где всякое может случиться даже в подъезде
Наверное, потому, что далеко не весь Интернет пользуется продуктами компании Алладин Р.Д.
Если я правильно понимаю, если речь идет о JC WebClient — значит автоматически и о токенах.
Очень надеюсь, что почти 100% сайтов, работающих с токенами, работают по https://
Стоит нод и вебер. первый раз слышу о проблеме что они насильно ломают какие-то сайты потому что в россии такие законы а они насильно мстят пользоваелю.
Я общался с DrWeb лично, и с Аваст по почте.
Первые сказали, что о проблеме знают, но не хотят лезть туда, где правит ФСБ (тем более, что у них есть сертификация своего антивируса в России, которой они дорожат)
Вторые полгода что-то пытались делать, потом сказали, что у них есть более приоритетные задачи, чем починить пару десятков сайтов у пары сотен своих пользователей
Сделайте сертификат удостоверяющего центра, положите его в хранилище корневых центров, подпишите им самозаверенный и ничего нигде не ругается и не должно.
Получается примерно так:
— сделать самоподписанный корневой
— сделать для него инсталлятор (абоненты ведь не руками будут это ставить, на дворе 21 век)
— сделать инструкцию для доменных админов, которые запрещают абы как менять хранилище корневых
— разгребать тонну звонков и писем по этому поводу
Чем это проще, чем плагины для браузеров?
Домен https://localhost.my-site.ru не имеет к домену localhost никого отношения
Может иметь, и это было описано в комментариях выше.
Но почему-то вы упускаете из виду очевидное решение этой проблемы:
— на DNS-сервере для домена my-site.ru делаем запись localhost.my-site.ru = 127.0.0.1
— тогда и файл hosts менять не придется
Это проблема вашего антивируса, что он вам не показывает сайты каким то там гостовым сертификатом потому что он не может подменить сертификат.
Это проблема Касперского, DrWeb, ESET NOD32, Avast, Outpost, ZoneAlarm. Короче, где-то 40% рынка.
Что значит протестировано?)
Коммерческое решение должно быть проверено на разных ОС и браузерах, с разными (популярными) антивирусами и программами, а не только с ESET NOD32.
Пока что вся статья выглядит скорее как гипотеза, работающая с ограниченном числе сценариев.
И какая разница какой протокол, делайте на каком угодно
Разница, наверное, в том, что вы — производитель защищенных носителей с конфиденциальной информацией на борту. Странно слышать от вас такие слова. Телохранитель должен проважать босса до квартиры, а не до подъезда, ибо даже в подъезде (localhost) может всякое случиться (кейлоггеры, снифферы и т.д.)
Referrer — да, нельзя подменить, но при запросах с https:// на http:// он пропадает, что накладывает ограничение на использование вашего API
Origin — поменять можно, работает хоть в IE6, хоть в IE11, через объект Msxml2.ServerXMLHTTP можно выставить любой origin и скачать файл с любого стороннего веб-сайта. Таким образом, пользователи IE потенциально уязвимы в вашем случае.
Что могу порекомендовать — для IE оставить вариант с ActiveX, а для остальных браузеров сделать вариант с locahost
Раньше ведь вы поддерживали 2 варианта — ActiveX и NPAPI.
Да, с https нельзя делать запрос на http из за смешанного содержимого. Решается сертификатами самоподписными.
«Решается»? Браузер же будет дико ругаться на такой сертификат… И если в IE проблему еще можно обойти через msxml2.ServerXMLHTTP ( у него есть метод setOption(), позволяющий игнорировать разные ошибки сертификата), то в других браузерах — нет.
А если делать простой http:// — то это откровенная дыра — существует куча вирусов-сниферов на основе HTTP-Analyzer и Fiddler (если кто-то не верит — могу показать ответ Касперского на вопрос «почему вы считаете HTTP-Analyzer „not-a-virus“ и что это такое?)
купить на локалхост невозможно. Только самоподписный
Можно, и выше было описано, как именно — сделать https://localhost.my-site.ru, только вот нужно его в hosts прописать, а есть такие антивирусы — DrWeb и Avira — которые любят блочить и/или возвращать старый hosts
То что они там подменяют, меня не интересует потому что либо они ломают все https сайты вместе с локальным сервером, либо ничего не ломают.
Нет, опять не согласен. Мы (с вами) живем в стране на букву Р (если я не ошибся), в которой широко распространен в узких кругах алгоритм ГОСТ — и вот он точно не будет работать, т.к. антивирусы не могут поддержать ГОСТ опять же из-за законов (и не могут его не сканировать, т.к. криворукие).
Это я только один пример бага антивирусов привел. Нет гарантии, что это будет работать.
Получается, что ваше решение протестировано только на http://?
И это в эру, когда крупные компании начинают переходить на HTTP/2?
P.S. насколько мне известно, СКБ Контур отказался от этой технологии несколько лет назад и перешел на плагины под каждый браузер https://help.kontur.ru/plugin/
1) не понял, почему localhost на localhost? Я где буду работать с вашим WebClient?
Наверняка ведь на сайте https://www.my-site.ru?
И тут возникает ряд проблем:
— с https на http некоторые браузеры (например, IE) не дают сходу заходить (а если и дают — то теряют referrer)
— некоторые браузеры (например, IE и Opera) могут блокировать localhost, т.к. он не в зоне Интернета, а Интранета
— фаерволы типа Касперского и DrWeb тоже будут блокировать (видимо, вы так настроили свой ESET NOD32)
— если же купить свой https сертификат на localhost, то еще одна проблема — антивирусы по умолчанию сканируют https, подменяя сертификат — и я не уверен, что тут они корректно подменят
2) учитывая первый пункт, как вы отличаете хороших от плохих?
Например, я сделаю свой http://www.cool-jc-web-site.ru, на котором буду у всех посетителей пытаться дергать WebClient и воровать все по-максимуму
Как вы понимаете, кто к вам пришел? Если по Referrer, то перечитайте 1 пункт + Referrer несложно подделать в Ajax-запросах
А что насчет брандмауэра Windows и всяких фаерволов?
Они же по умолчанию могут блокировать такие подключения.
Будете писать инструкции под зоопарк антивирусов?
Посмотрев трейлер, появилось ощущение, что игру делали в GameMaker, а сама игра есть в примерах и оригинальное ее название — 1945: www.rupert.id.au/tutorials/gamemaker/examples.php
Просто текстуры перекрасили в черный и красный.
Однако, стоит отметить, что одна из частых причин ошибок 5xx — это невыложенное обновление на одну из реплик серверов.
Причин может быть масса:
У нас на репликах серверов настроено независимое логирование 5xx ошибок. Да, оно менее информативное, и его можно комбинировать с вашим способом, но забывать про это не стоит.
Кажется, что иногда смысл есть.
Будете очень удивлены, особенно в Google Chrome.
По нашим тестам, нативные промисы съели около 200 МБайт памяти на 100 000 вызовов.
Bluebird — что-то около 10 Мбайт кажется.
Возможно, на нем другие базы или другая эвристика.
Мы тоже сталкиваемся с его проблемами, например, при создании новых инсталляторов. Стабильно новые инсталляторы считаются вирусами, при этом они созданы на разных компах, разными компиляторами, и после отправки в MS по вышеуказанному адресу, спустя сутки, антивирус перестает ругаться.
Предлагаю объединить наши усилия и не сдаваться, мы параллельно с ними общаемся по похожему вопросу.
Потом, после теста, удалить сайт и вернуть галку
P.S. XDomainRequest — это другое, здесь был баг именно в самом ActiveX, слабо относящемся к IE
http://andrew-ch.narod.ru/cors.htm
Походу M$ таки движется к закрытию своих дырок — на последней сборке IE11 уже по умолчанию не работает — приходится сайт добавлять в надежные узлы.
Но почему-то мне кажется, что в прошлом году я проверял — и работало без этого.
Возможно. У одного абонента с ломаной виндой плагин работает в одном браузере, у другого с пиратской сборкой — в другом.
В каком-то смысле оба абонента довольны.
А я правильно понял, что код для сканера одинаковый для всех ОС? Windows, Linux, MacOS? Серьезно? Там же под Windows только 2 разных варианта…
Там весь затык в MFC и ATL. Если писать на чистом Си — все работает относительно быстро.
Хотя где теперь найдешь таких программистов…
У меня и у авторов антивируса разное понятие рынка… и разные масштабы…
Но ладно, проблему, видимо, можно решить за счет поддомена localhost.my-site.ru
Нет, не очевиден.
Какая любимая фраза тех.поддержки? «Не работает? Попробуйте в другом браузере!»
С плагинами это работает безотказно. С вашим локальным сервером, видимо, если и не работает, то сразу везде.
А потом начальник тех.поддержки начинает капать на мозги тимлиду команды разработки.
Или еще того хуже — идет в финансовому директору и показывает отчет о расходах на ТП.
Пост в блоге компании «Алладин Р.Д.»
В начале и в конце статьи я не вижу предупреждений, что статья написана человеком, не имеющим отношения к компании.
Видимо, поэтому и подумал.
Наверное, потому, что далеко не весь Интернет пользуется продуктами компании Алладин Р.Д.
Если я правильно понимаю, если речь идет о JC WebClient — значит автоматически и о токенах.
Очень надеюсь, что почти 100% сайтов, работающих с токенами, работают по https://
Я общался с DrWeb лично, и с Аваст по почте.
Первые сказали, что о проблеме знают, но не хотят лезть туда, где правит ФСБ (тем более, что у них есть сертификация своего антивируса в России, которой они дорожат)
Вторые полгода что-то пытались делать, потом сказали, что у них есть более приоритетные задачи, чем починить пару десятков сайтов у пары сотен своих пользователей
К примеру, я покупаю сертификат на *.my-site.ru и делаю поддомен localhost.my-site.ru
2) думаю, что хакера, который будет использовать эту уязвимость, такой ответ не остановит :-)
— сделать самоподписанный корневой
— сделать для него инсталлятор (абоненты ведь не руками будут это ставить, на дворе 21 век)
— сделать инструкцию для доменных админов, которые запрещают абы как менять хранилище корневых
— разгребать тонну звонков и писем по этому поводу
Чем это проще, чем плагины для браузеров?
Может иметь, и это было описано в комментариях выше.
Но почему-то вы упускаете из виду очевидное решение этой проблемы:
— на DNS-сервере для домена my-site.ru делаем запись localhost.my-site.ru = 127.0.0.1
— тогда и файл hosts менять не придется
Это проблема Касперского, DrWeb, ESET NOD32, Avast, Outpost, ZoneAlarm. Короче, где-то 40% рынка.
Коммерческое решение должно быть проверено на разных ОС и браузерах, с разными (популярными) антивирусами и программами, а не только с ESET NOD32.
Пока что вся статья выглядит скорее как гипотеза, работающая с ограниченном числе сценариев.
Разница, наверное, в том, что вы — производитель защищенных носителей с конфиденциальной информацией на борту. Странно слышать от вас такие слова. Телохранитель должен проважать босса до квартиры, а не до подъезда, ибо даже в подъезде (localhost) может всякое случиться (кейлоггеры, снифферы и т.д.)
Referrer — да, нельзя подменить, но при запросах с https:// на http:// он пропадает, что накладывает ограничение на использование вашего API
Origin — поменять можно, работает хоть в IE6, хоть в IE11, через объект Msxml2.ServerXMLHTTP можно выставить любой origin и скачать файл с любого стороннего веб-сайта. Таким образом, пользователи IE потенциально уязвимы в вашем случае.
Что могу порекомендовать — для IE оставить вариант с ActiveX, а для остальных браузеров сделать вариант с locahost
Раньше ведь вы поддерживали 2 варианта — ActiveX и NPAPI.
А если делать простой http:// — то это откровенная дыра — существует куча вирусов-сниферов на основе HTTP-Analyzer и Fiddler (если кто-то не верит — могу показать ответ Касперского на вопрос «почему вы считаете HTTP-Analyzer „not-a-virus“ и что это такое?)
Можно, и выше было описано, как именно — сделать https://localhost.my-site.ru, только вот нужно его в hosts прописать, а есть такие антивирусы — DrWeb и Avira — которые любят блочить и/или возвращать старый hosts
Нет, опять не согласен. Мы (с вами) живем в стране на букву Р (если я не ошибся), в которой широко распространен в узких кругах алгоритм ГОСТ — и вот он точно не будет работать, т.к. антивирусы не могут поддержать ГОСТ опять же из-за законов (и не могут его не сканировать, т.к. криворукие).
Это я только один пример бага антивирусов привел. Нет гарантии, что это будет работать.
Получается, что ваше решение протестировано только на http://?
И это в эру, когда крупные компании начинают переходить на HTTP/2?
P.S. насколько мне известно, СКБ Контур отказался от этой технологии несколько лет назад и перешел на плагины под каждый браузер
https://help.kontur.ru/plugin/
Наверняка ведь на сайте https://www.my-site.ru?
И тут возникает ряд проблем:
— с https на http некоторые браузеры (например, IE) не дают сходу заходить (а если и дают — то теряют referrer)
— некоторые браузеры (например, IE и Opera) могут блокировать localhost, т.к. он не в зоне Интернета, а Интранета
— фаерволы типа Касперского и DrWeb тоже будут блокировать (видимо, вы так настроили свой ESET NOD32)
— если же купить свой https сертификат на localhost, то еще одна проблема — антивирусы по умолчанию сканируют https, подменяя сертификат — и я не уверен, что тут они корректно подменят
2) учитывая первый пункт, как вы отличаете хороших от плохих?
Например, я сделаю свой http://www.cool-jc-web-site.ru, на котором буду у всех посетителей пытаться дергать WebClient и воровать все по-максимуму
Как вы понимаете, кто к вам пришел? Если по Referrer, то перечитайте 1 пункт + Referrer несложно подделать в Ajax-запросах
Они же по умолчанию могут блокировать такие подключения.
Будете писать инструкции под зоопарк антивирусов?
www.rupert.id.au/tutorials/gamemaker/examples.php
Просто текстуры перекрасили в черный и красный.