зато есть выборочная проверка на безопасность тех блоков, которые могут содержать что-то исполняемое
Во-от! В современных версиях Word не выборочная, а сплошная проверка на безопасность (я об этом и пишу). Я даже предполагаю, что проверка rtf-файлов вообще ведется одним потоком (отчего и возникают "тормоза").
Ну потому что, например, графический блок нет смысла сканировать, рендерер картинок не обладает способностью запускать его контент на выполнение.
Вы немножко заблуждаетесь. Рендерер картинок может обладать способностью запускать контент (а то и произвольный код) на выполнение из-за наличия собственных уязвимостей. Иначе программы для работы с документами не нуждались бы в выпусках исправлений и в патчах безопасности.
In-memory компиляция в процессе набора исходного кода, эта фича появилась, например, в Delphi 3 в 1997-м году
Ну, Code Complete/Code Sence – это совсем не in-memory (on-the-fly) компиляция. Я про Delphi упомянул, когда вспомнил про компоненты, которые должны вести себя по-разному в In-DesignTime (как пример: редактирование свойств компонента в IDE) и в In-Runtime. Но потом вспомнил что они должны быть предварительно скомпилированы.
От того, что в каком-то модуле проекта есть процедура
procedure Register;
begin
RegisterComponent('MyCoolComponents',[TMyCoolButton]);
end;
TMyCoolButton не появится немедленно в палитре компонентов IDE.
"Сканирует весь файл" – это последовательное чтение всего файла. Понимаете, всего, от BOF до EOF. В процессе чтения каждый блок (подчеркиваю: каждый блок) закидывается сначала в "карантин", парсится (что это: текст, таблица, мультимедиа, макрос, исполняемый файл и т.п.), проверяется на безопасность, после чего блок из "карантина" перемещается в "рабочую" область.
Ваша IDE, например, делает это прямо в процессе набора текста, при этом на лету ещё и токенизирует её, а иногда и строит синтаксическое дерево
Только я не слышал ни про одну IDE, которая еще и компилировала бы на лету исполняемые файлы, пока я набираю исходный код программы. Хотя... Можно с некоторой натяжкой назвать Delphi... Но набор программы это не создание/правка документа с текстом, картинками и музыкой.
В rtf блоки расположены случайным образом, поэтому Word сканирует весь файл от начала до конца. А в случае с doc/docx Word'у известно где сканировать, потому что эти файлы имеют четкую структуру (не тратится время на парсинг всего файла).
Если быть точнее, то это началось еще с 2013 версии. А все из-за того, что содержимое rtf-файла тщательно анализирует встроенная система безопасности Word (отсюда и тормоза). А тщательно она анализирует из-за того, что за rtf-файлами к середине нулевых закрепилась репутация как один из видов переносчиков вирья "...Структура стандартного RTF-файла представляет собой последовательность секций данных, заключенных в специальные метки (тэги), которые указывают программе-обработчику начало или конец секции. Данные могут быть самых разных типов: текстовые блоки, графические объекты, таблицы и даже выполняемые файлы и др." (копипаста отсюда)
Программисты платформы "ниасилили" особенностей СУБД, которые работают в режиме версионирования записей. Вместо этого они выпустили патч, который превращает ванильный PostgreSQL в подобие "блокировочника" а-ля MS SQL (чтобы накладывать блокировки не на уровне записей, а на уровне таблиц), потому что с ванильным PostgreSQL 1С не работает от слова "совсем". Хотя спонсирование российских команд разработчиков PostgreSQL позволило протолкнуть некоторые решения этого патча в основную ветку (то ли с 13, то ли с 14 версии).
Но суть статьи не в этом (не в патче). Суть в том, что это сама платформа 1с генерирует "кривые" запросы при использовании PostgreSQL И никакими патчами к СУБД это не исправить. Тут или падишах умрет, или ишак: или текущая команда таки выучит PL/pgSQL, или их поменяют на тех, кто знает этот диалект.
Для себя выбрал приложение (не виджет) "Погода Гидрометцентр России".
Есть ли аддон для ФФ или приложение, которым можно заблокировать доступ к localhost? Желательно без рута. Ну и вообще, что делать-то?
Выше писал про атаку "NAT slipstreaming". В десктопном Firefox пофиксили где-то в районе 91 версии, НЯП, в андроидном эта уязвимость впроде тоже исправлена.
Однако, Майкрософт сами как-то не очень стремятся добавлять поддержку длинных путей в свой софт
"...To enable the new long path behavior per application, two conditions must be met. A registry value must be set, and the application manifest must include the longPathAware element."
В отличие от некоторых древних инженерных решений Майкрософта, которые умудряются портить мне жизнь спустя три десятка лет
Извините, если это прозвучит грубо, но по факту Вы обвиняете Майкрософт в том, что Вы невнимательно читали их (Майкрософтовскую) документацию. Потому что в MSDN (ныне learn.microsoft.com) всегда в описании файловых функций WinAPI рассказывалось про префикс \\?\ и области его применения. Также как и про MAX_PATH.
ли захардкодить максимальную длину файлового пути (255 байтов хватит всем и навсегда!)
Вы путаете максимальную длину имени файла с максимальной длиной полного пути к файлу. Ограничение 255 байт на имя файла имеют все известные на сегодня файловые системы (да я в курсе про FAT12/FAT16, поэтому про них не говорю). И чтоб два раза не вставать: MAX_PATH (если Вы имеете ввиду ограничение в 260 символов) – это ограничение для ANSI-функций WinAPI (CreateFileA), для Unicode-функций (CreateFileW) длина полного пути может составлять до 32760 символов.
Есть пользователь (если что, то это не я – про работу с уровнями, кривыми и масками я имею какое-никакое представление), который ни в зуб ногой с графическими программами. Даны две программы: программа, выпущенная в 2012, и программа выпущенная в 2024. Обе программы работают с одним и тем же файлом. Чтобы получить идентичный результат, в программе v.2024 нужно поработать с дополнительными настройками. Программа v.2012 в дополнительных настройках не нуждается. Внимание вопросы:
У какой программы более лучший алгоритм обработки изображений?
Какая программа является более производительной?
Какая программа более "дружелюбна" к простому пользователю?
Не ради рекламы. У "Уралсиба" можно получить выписку по счету на электронную почту в pdf и/или в xls. Данные можно запросить за последние 3 года от текущей даты, но диапазон дат должен быть не более года.
И, да, выписку в xls/pdf можно заказать только в web-версии, в приложении такой функционал отсутствует. Хотя может быть, что я невнимательно смотрел.
Из моих догадок: права нужно смотреть на каталог загрузки %USERPROFILE%\Downloads – может там указан явный запрет на выполнение исполняемых файлов с наследованием для подчиненных элементов; может SmartScreen указывает этот атрибут запрета по событию создания/изменения файла... У меня таких проблем нет, – мои браузеры настроены на запрос пользователя о месте сохранения файлов, – для дистрибутивов я не использую %USERPROFILE%\Downloads.
В последнее время тенденция делать сайты кривыми для нормального десктопа (особенно банки такое любят)
Вот касаемо банков тенденция прямо противоположная – после известных событий и выпиливания приложений из AppStore, Google Play банки стали уравнивать функционал десктопных веб-версий и мобильных приложений.
Во-от! В современных версиях Word не выборочная, а сплошная проверка на безопасность (я об этом и пишу). Я даже предполагаю, что проверка rtf-файлов вообще ведется одним потоком (отчего и возникают "тормоза").
Вы немножко заблуждаетесь. Рендерер картинок может обладать способностью запускать контент (а то и произвольный код) на выполнение из-за наличия собственных уязвимостей. Иначе программы для работы с документами не нуждались бы в выпусках исправлений и в патчах безопасности.
Ну, Code Complete/Code Sence – это совсем не in-memory (on-the-fly) компиляция. Я про Delphi упомянул, когда вспомнил про компоненты, которые должны вести себя по-разному в In-DesignTime (как пример: редактирование свойств компонента в IDE) и в In-Runtime. Но потом вспомнил что они должны быть предварительно скомпилированы.
От того, что в каком-то модуле проекта есть процедура
TMyCoolButton не появится немедленно в палитре компонентов IDE.
"Сканирует весь файл" – это последовательное чтение всего файла. Понимаете, всего, от BOF до EOF. В процессе чтения каждый блок (подчеркиваю: каждый блок) закидывается сначала в "карантин", парсится (что это: текст, таблица, мультимедиа, макрос, исполняемый файл и т.п.), проверяется на безопасность, после чего блок из "карантина" перемещается в "рабочую" область.
Только я не слышал ни про одну IDE, которая еще и компилировала бы на лету исполняемые файлы, пока я набираю исходный код программы. Хотя... Можно с некоторой натяжкой назвать Delphi... Но набор программы это не создание/правка документа с текстом, картинками и музыкой.
В rtf блоки расположены случайным образом, поэтому Word сканирует весь файл от начала до конца. А в случае с doc/docx Word'у известно где сканировать, потому что эти файлы имеют четкую структуру (не тратится время на парсинг всего файла).
Если быть точнее, то это началось еще с 2013 версии. А все из-за того, что содержимое rtf-файла тщательно анализирует встроенная система безопасности Word (отсюда и тормоза). А тщательно она анализирует из-за того, что за rtf-файлами к середине нулевых закрепилась репутация как один из видов переносчиков вирья "...Структура стандартного RTF-файла представляет собой последовательность секций данных, заключенных в специальные метки (тэги), которые указывают программе-обработчику начало или конец секции. Данные могут быть самых разных типов: текстовые блоки, графические объекты, таблицы и даже выполняемые файлы и др." (копипаста отсюда)
Тогда уж 10 винду ltsc 2019, у которой срок расширенной поддержки до 9 января 2029.
Вообще-то десятичная система счисления была в ходу еще в Древнем Египте. Как и понятие дробей. Но, да, идея нуля принадлежит индийцам.
"Сегодня в Москве официально открывается первая в России цифровая сеть подвижной радиотелефонной связи DN 1, основанная на панъевропейском стандарте GSM. Она предоставит абонентам (к концу этого года ими смогут стать 15 тыс. человек) более широкий по сравнению с действующими в городе сотовыми сетями набор услуг. На прошедшей вчера пресс-конференции, посвященной открытию новой сети, была объявлена общая стоимость проекта — $100 млн. К настоящему моменту инвесторы, в том числе МГТС и германские концерны Siemens AG и DeTeMobil (подразделение Deutche Telekom), уже вложили в московскую DN 1 $28 млн." © АЛЕКСАНДР Ъ-МАЛЮТИН статья "Немецкие концерны помогли Москве с подвижной связью", опубликованная в газете "Коммерсантъ" от 07.07.1994 (ссылка на статью в интернет-архиве издания). Nord-West GSM развернул свою сеть в Санкт-Петербурге в декабре того же года. Так что GSM появился в России на два года раньше, чем указано у Вас в статье.
Программисты платформы "ниасилили" особенностей СУБД, которые работают в режиме версионирования записей. Вместо этого они выпустили патч, который превращает ванильный PostgreSQL в подобие "блокировочника" а-ля MS SQL (чтобы накладывать блокировки не на уровне записей, а на уровне таблиц), потому что с ванильным PostgreSQL 1С не работает от слова "совсем". Хотя спонсирование российских команд разработчиков PostgreSQL позволило протолкнуть некоторые решения этого патча в основную ветку (то ли с 13, то ли с 14 версии).
Но суть статьи не в этом (не в патче). Суть в том, что это сама платформа 1с генерирует "кривые" запросы при использовании PostgreSQL И никакими патчами к СУБД это не исправить. Тут или падишах умрет, или ишак: или текущая команда таки выучит PL/pgSQL, или их поменяют на тех, кто знает этот диалект.
Для себя выбрал приложение (не виджет) "Погода Гидрометцентр России".
Выше писал про атаку "NAT slipstreaming". В десктопном Firefox пофиксили где-то в районе 91 версии, НЯП, в андроидном эта уязвимость впроде тоже исправлена.
Гуглите "NAT slipstreaming"
До первой программы, у которой началась утечка памяти.
"...To enable the new long path behavior per application, two conditions must be met. A registry value must be set, and the application manifest must include the
longPathAwareelement."Извините, если это прозвучит грубо, но по факту Вы обвиняете Майкрософт в том, что Вы невнимательно читали их (Майкрософтовскую) документацию. Потому что в MSDN (ныне learn.microsoft.com) всегда в описании файловых функций WinAPI рассказывалось про префикс \\?\ и области его применения. Также как и про MAX_PATH.
Вы путаете максимальную длину имени файла с максимальной длиной полного пути к файлу. Ограничение 255 байт на имя файла имеют все известные на сегодня файловые системы (да я в курсе про FAT12/FAT16, поэтому про них не говорю). И чтоб два раза не вставать: MAX_PATH (если Вы имеете ввиду ограничение в 260 символов) – это ограничение для ANSI-функций WinAPI (CreateFileA), для Unicode-функций (CreateFileW) длина полного пути может составлять до 32760 символов.
Читаем условие задачи:
Есть пользователь (если что, то это не я – про работу с уровнями, кривыми и масками я имею какое-никакое представление), который ни в зуб ногой с графическими программами. Даны две программы: программа, выпущенная в 2012, и программа выпущенная в 2024. Обе программы работают с одним и тем же файлом. Чтобы получить идентичный результат, в программе v.2024 нужно поработать с дополнительными настройками. Программа v.2012 в дополнительных настройках не нуждается. Внимание вопросы:
У какой программы более лучший алгоритм обработки изображений?
Какая программа является более производительной?
Какая программа более "дружелюбна" к простому пользователю?
Не ради рекламы. У "Уралсиба" можно получить выписку по счету на электронную почту в pdf и/или в xls. Данные можно запросить за последние 3 года от текущей даты, но диапазон дат должен быть не более года.
И, да, выписку в xls/pdf можно заказать только в web-версии, в приложении такой функционал отсутствует. Хотя может быть, что я невнимательно смотрел.
Милостивый государь! Пока Вы 1-2 минуты в GIMP крутите кривые с масками, я за 20 секунд (максимум) в Photoshop получаю необходимый результат. "Почувствуйте разницу" ©
Из моих догадок: права нужно смотреть на каталог загрузки %USERPROFILE%\Downloads – может там указан явный запрет на выполнение исполняемых файлов с наследованием для подчиненных элементов; может SmartScreen указывает этот атрибут запрета по событию создания/изменения файла... У меня таких проблем нет, – мои браузеры настроены на запрос пользователя о месте сохранения файлов, – для дистрибутивов я не использую %USERPROFILE%\Downloads.
Правильно настроенный Software Restriction Policy (а у @Rokstar на работе так и есть) не даст Вам провернуть этот трюк.
Вот касаемо банков тенденция прямо противоположная – после известных событий и выпиливания приложений из AppStore, Google Play банки стали уравнивать функционал десктопных веб-версий и мобильных приложений.
Так ведь на её место пришла ArcaOS (в феврале даже свежая версия вышла).