Вы все правильно говорите. Разумеется, никакая ОС не обеспечит защиту от XSS. При желании защиту от XSS можно реализовать в CMS.
Я в свое время написал такой движок. Защита от XSS была реализована в классе, отвечающем за работу с шаблонами. В шаблон можно было подставить только данные определенного типа — или integer или string (и, помнится, еще дату). В первом случае производилось преобразование в число, во втором — htmlspecialchars. Но что-то меня не в ту степь понесло :)
В общем я ни коем образом не пытаюсь сказать что OpenBSD спасает от XSS уязвимостей. Ровно как и от слабых паролей и многого другого. Меня как раз беспокоит вопрос, касающийся затрат, который вы так настойчиво хотите отбросить. Мне не понятно, как можно потратить такую кучу денег на безопасность одного сайта.
Ну я не ненавижу флеш, просто считаю эту технологию вредной и ненужной (минусуйте-минусуйте, я не обижаюсь). Причины этому я уже устал объяснять, потому позволю сослаться на свою статью: web20.su/2009/06/usability-keep-it-simple/#comments
Тем не менее ежедневно в метро я вижу много людей с айфонами. Хотя его себе тоже мало кто может позволить. Не знаю, как у людей с заработком, может айфон они получили в качестве подарка от друзей или вроде того. В общем, есть мнение, что в скором времени Skiff Reader мы будем видеть не реже, чем айфоны.
Я пытался сказать, что глупо вкладывать миллионы долларов в безопасность системы (которую все равно поломали), если есть открытая бесплатная система, известная своей безопасностью.
Мне вот тоже книжки нравятся в бумажном формате. В интернете обычно публикуют небольшие статьи — несколько тыс. символов. Когда читаешь книги — объем совершенно другой. Если читать с экрана — глаза сильнее устают, чем если читать с бумаги.
Однажды я сильно накосячил — веб-сервис, к которому обращаются сотни раз в секунду лежал минут 20. Этот факт я утаил. Интересно, что бы изменилось, если бы я разослал письмо с признанием?
Жаль места многовато занимает — в трубочку такое чудо не свернешь :) А вообще очень интересное устройство. Еще пару лет и будем как в Гарри Поттере или Особом Мнении — читать газеты с видео-роликами.
Разработка интерпретатора — занятие конечно полезное, в первую очередь для себя самого. Но реальное применение ему найти будет не просто. Мой совет — либо придумывайте свой язык для конкретных задач и соответственно интерпретатор к нему, либо сводите задачу интерпретации к трансляции — то есть генерации x86/adm64 ассемблерного кода.
Ну допустим, Twitter — это на любителя. А на других сайтах (или хотя бы в icq/jabber) Вы со своего айфона сидите? Я просто хочу узнать, как по вашему, стоит ли брать айфон для того, чтобы сидеть с него в сети.
Я в свое время написал такой движок. Защита от XSS была реализована в классе, отвечающем за работу с шаблонами. В шаблон можно было подставить только данные определенного типа — или integer или string (и, помнится, еще дату). В первом случае производилось преобразование в число, во втором — htmlspecialchars. Но что-то меня не в ту степь понесло :)
В общем я ни коем образом не пытаюсь сказать что OpenBSD спасает от XSS уязвимостей. Ровно как и от слабых паролей и многого другого. Меня как раз беспокоит вопрос, касающийся затрат, который вы так настойчиво хотите отбросить. Мне не понятно, как можно потратить такую кучу денег на безопасность одного сайта.