Я G+-энтузиаст, делаю по десятку-другому постов в день, держу страницу этой соцсети всегда открытой, у меня больше 5 тысяч подписчиков, но… Мой круг общения в Google+ это вряд ли больше 10 человек, таких же как я фанатиков этой соцсети. Фидбэк от нормальных людей близок к нулевому. В общем, Марк Цукерберг может довольно потирать руки — конкурент не взлетел.

Понятно, что ситуация улучшиться, когда G+ поглотит Orkut. Но это будет локальное явление: в Бразилии (и отчасти в других странах Латинской Америки) и в Индии. Да и там лучшая когда-то социальная сеть сдала свои позиции Facebook, потому что Google не только не уделял внимания её развитию, но, кажется, как специально ухудшал её функционал и дизайн, поэтому даже в этих самых гуглофильских странах Google+ сразу же не удастся вырваться вперед. Более того то, что мы видим сейчас это продолжающийся рост Facebook (мне на «развивающимся рынке» — в Казахстане, это особенно заметно, ещё год назад я не верил в перспективы Facebook в Казахстане, а сейчас это самая активная площадка, пускай пока и немногочисленная, но с самым сильным фидбэком, и самая бурно растущая), с другой стороны, топчущейся на месте в течение года, с момента запуска, Google+.

Казалось бы, не судьба, Google никогда не догнать Facebook. Но не всё так плохо, у Google есть опыт выхода на сектор, где, казалось бы, чужим нет места, с последующим завоеванием лидерства на нем. Это браузеры. Как Google это сделал? В целом преимущества Google Chrome хорошо понятны, практически такими же преимуществами обладает Google+ — легкий дизайн, безопасность, соответствие стандартам. Но пользователи на это не клюют? Почему?

Король умер, да здравствует Король! Ранее браузеру от Google удавалось эпизодически выхватывать лидерство у Internet Explorer в выходные дни, когда многие люди выходили в Интернет из дома, а не с работы, но теперь Chrome окончательно закрепляется на первом месте. Браузеру для этого потребовалось только три с половиной года. Напомню, что сам Chrome основывается на кодовой базе проекта Chromium, которая используется и другими компаниями, в том числе и российскими для создания собственных брендированных сборок. Посмотреть статистику можно на сайте StatCounter. Chrome вырвался вперёд во вторую неделю мая и, вероятно, к концу месяца окончательно оформит своё превосходство.

Я постараюсь сделать самое полное и подробное описание возможностей Web Inspector, на русском языке.
В первой серии мы залезем в настройки, посмотрим, что умеет консоль и поиграемся с панелью «Elements».

Так как Web-Inspector не переведен на Русский, я буду сохранять оригинальные названия.


В качестве бонуса, приложу скриншот одной и самых первых версий, из далекого 2006го.

Чтобы сделать расширение достаточно минимальных знаний Javasctipt, HTML и CSS. Давайте добавим на хабр догрузку следующей страницы, а также систематическую проверку новых постов на текущей. Примерно как на twitter.

Полностью готовый экстеншн можно установить и проверить в работе через Chrome Web Store, а здесь разберемся как написать основной код с нуля (полный занимает всего 6 KB).

Сегодня пятница и это отличный повод немного улучшить жизнь хабрасообществу. Предлагаю ознакомиться с плагином, который поможет вам быстро просмотреть лучшие топики, перейти к основным разделам и узнать, на каком небе вы находитесь.

Скрин для заманухи:

О том, как Chrome мешает мне искать XSS-уязвимости.

Почему я ищу уязвимости?

Как и многие из вас, я делаю Code Review и первое, что ищу это конечно уязвимости. Когда уязвимость найдена в коде, хорошо бы проверить есть ли она на самом деле через браузер, потому что бывают «ложные тревоги». Это те случаи, когда данные уже приходят фильтрованными и XSS невозможен. Всегда полезно иметь возможность показать разработчику атаку в действии, потому что это хороший аргумент и помогает быстрее перейти к конструктивному решению проблемы, если есть сомнения, что уязвимость таки существует. Но проверку в браузере я делаю не часто — либо проблема очевидна прямо из кода, либо верят на слово. В общем искать уязвимости — это интересно.

Начало этой истории

Друг скинул ссылки на сайт, который ещё год назад имел XSS-уязвимость, о чем я писал владельцам ресурса. Стало интересно проверить снова. Проверил — XSS есть, но вот простейшего подтверждения выполнения JS я получить не смог!..



Я не ломаю сайты и не занимаюсь аудитом безопасности, поэтому возможно то, что я выяснил давно известно для специалистов, но для меня это было открытием.

Первые подозрения

Итак, стал проверять всевозможные варианты внедрения кода — но без результата. По ходу дела выяснил что и как фильтруется, какие есть проверки и прочее, но alert(1); упорно не выполнялся. По ходу дела нашелся ещё и XSRF — приятный бонус!

Компания Google раскрыла некоторые подробности, как осуществляется тестирование браузера Chrome на уязвимости. Для этого они применяют метод фаззинга (fuzz testing), то есть используют методику тестирования, при которой на вход программы подаются невалидные, непредусмотренные или случайные данные.

Идея заключается в том, чтобы протестировать максимально возможное количество вариантов. Естественно, для этого нужны серьёзные ресурсы. Для тестирования Chrome создан целый кластер серверов ClusterFuzz, состоящий из нескольких сотен виртуальных машин.

В последнее время для меня большим вдохновением является SVG-анимация. С её момощью можно делать из простых элементов впечатляющие вещи. Например, сегодня я закончил делать демку про машинки и с радостью написал об этом себе в блог.

Нарушать правила хабра мне бы не хотелось, поэтому напишу пару слов о процессе. В спецификации SVG есть раздел про анимацию, в котором здорово описано как должны клиенты (например, браузеры) выполнять анимацию. В теории получается очень красиво, но пока не попробуешь сделать что-то своими руками — не поймешь.

Update:
Прямые ссылки на машинки ралли, гонки, разгон и торможение, парковка, машинка с фарами.

Чем дальше в лес, тем толще партизаны. Нет, не так. Чем старше веб, тем больше джаваскрипта

Клиентского кода в веб-приложениях с каждым годом действительно становится все больше. Подчас это десятки файлов с сотнями функций. И что делать, когда нам нужно поменять код, выполняемый по событию (например, клик по ссылке). Как его найти? Задавшись решением этой задачи, я придумал несколько разных вариантов. Каждый из них имеет свои плюсы и минусы. И в конце статьи я предлагаю метод, который мне кажется оптимальным.

В Хроме и Хромиуме уже 2.5 года существует баг отсутствия кроссдоменного доступа к другому фрейму из контекстного скрипта (юзерскрипта). То, что нормально работает в скрипте обычной страницы, например, межсайтовая передача данных с помощью postMessage и что без проблем работает в других браузерах, в Хроме иногда считается «ограничением безопасности», но на самом деле это обычный и признанный баг, отмеченный с 4-й версии.