Пользователь
0,1
рейтинг
16 апреля 2015 в 23:43

Разработка → В Google Chrome 42 отключена поддержка Unity Web Player и Java recovery mode

Пролог


Сегодня в веб-интерфейсе одного из используемых мною продукта на месте джавовских апплетов я обнаружил уродливые заглушки с надписью «Плагин не поддерживается». Ну мало ли, может джава устарела, пойду-ка обновлю.

Зашёл на java.com, скачал апдейт, поставил, а там

image



Что случилось?


Google принял решение отказаться от поддержки NPAPI (Netscape Plugin Application Programming Interface), древнего проверенного временем API для внедрения плагинов в браузеры, используемого в том числе в Java, Silverlight, Unity Web Player, Flash Player. API было разработано в 1995 году для Netscape Navigator 2.0.

Google и раньше предупреждал о том, что сделает это, ограничив NPAPI-плагины белым списком. Впрочем, большинство пользователей тогда этого даже не заметили, потому как в список вошли как раз самые востребованные плагины.

Вместо NPAPI разработчики Chrome продвигают своё API, но как-то не слишком успешно.

Что делать?


До сентября 2015 года можно включить всё обратно через chrome://flags/#enable-npapi, но потом прикроют и эту возможность. Сгорела-кончилась эпоха великих парусных судов…

Опрос

Ваша реакция?

Проголосовало 5044 человека. Воздержался 791 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Икари Синдзи @ruikarikun
карма
15,5
рейтинг 0,1
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (244)

  • +6
    А где пункт «буду плакать, колоться, но есть кактус»? :)

    Очень многое в политике и решений Google в последнее время огорчает, но по совокупности персональных запросов Хром пока для меня по-прежнему лидирует :-/ Приходится терпеть и вспоминать, как трава раньше была зеленее.
    • 0
      Это как с исчезновением опции принудительной проверки OCSP/CRL, которая раньше позволяла включить проверку. А теперь остались только CRLsets, которые покрывают далеко не все CA…
    • 0
      Можно отключить обновления ещё.
  • +26
    Давно уже по собственному желанию вырубил все NPAPI, уж больно они ресурсы жрут, а это удар по производительности на старых машинах, по батарее на современных.

    Пускай добивают окончательно.
  • –5
    Скорей бы Google дропнул поддержку флеш — именно из-за хрома он всё ещё где-то используется!
    • –6
      Флеш много где используется, Гугл потеряет часть аудитории таким образом, хоть это и будет ударом по флешу.
      • –1
        Где он используется? Все гугл доксы и карты ведь на JS давно сделаны или нет?
        • 0
          Много где. Поищите сами, если интересно.
        • +1
          Т.е. по Вашей логике интернет делится на две части:
          — гугл докс
          — карты

          И все? ))) А как же игры? Как же мультимедийные портали? Сайты телекомпаний?

          Есть очень много сайтов, которые легко живут без флеша. И так же много таких, которые не могут без него жить. А там, где можно — экономически не выгодно. И если Вы их не знаете — это не повод утверждать, что их нет.
          • 0
            Похоже я неправильно прочитал сообщение Келегорма и подумал, что Гугл много где использует флеш.

            Прошу прощения.
            • 0
              Приятных выходных :)
          • +1
            Не «не могут», а «не хотят». Собственно, для того и отключается, чтобы захотели. Когда «сайты телекомпаний» обнаружат, что у них перспектива потерять 20-30% аудитории, они поднимут свои седалища и сделают на html5.

            Времена, когда с помощью flash'а/java можно было делать то, что нельзя с помощью обычного html, уже давно прошли.
            • +1
              Ага… ага… пойдте это CNN расскажите, что Flash это плохо. Или BBC пойдите поучите жизни, что они там рискуют чем-то… Я уверен, что им лучше видно, кого они потеряют или не потеряют.

              Вопрос не в том, что можно, а что нельзя. А в том, на что способен этот html5. У меня, например, html5 видео подвешивает браузер постоянно. Поэтому безумно рад, что только глупые владельцы сайтов делают html5 only видео.
              • 0
                По-моему, если BBC не будет открываться в браузере среднестатистического пользователя, это будет проблема BBC.

                Вы, наверное, забыли пору доминирования MSIE.
                • +1
                  я думаю, что меньше всего владельцы сайтов переживают из-за зрителей «с хабра», у которых кастомны сборки ядра линукса, клавиатуры вырезанные из титана и пульты управления телеком сделанные на ардуино. Все остальные пользуются флешом и ничего плохого в этом не видят.

                  А средний пользователь BBC — как раз и есть тот, кто имеет Flash плеер на борту. А если его нет — только в этом случае будет подсунут html5
                  • 0
                    А при чём тут «зрители с хабра», если Java в Chrome исчезнет по-умолчанию?
                    • 0
                      Ну я пишу исключительно про Flash, ведь наличие у него жизни людям ломают судьбы и понижают потенцию (судя по многим камментам в инете).

                      Судьба Java в браузере меня меньше интересует. Она меня очень интересует в качестве Desktop приложения, не более. Вообще странно, что Oracle не перешли на PPAPI рельсы. С их-то ресурсами…
                      • 0
                        Google, как известно, меняет интернет так, как считает себе удобным. Поэтому я уверен, что если Google решит, что Flash не нужен, тот исчезнет.
                        • 0
                          Не стоит из гугла делать идола. Если бы они что-то хотели бы сделать с флешом плохое — они бы не вели совместно с Adobe разработкой своей реализации флеш плеера.
                          • 0
                            Уж я–то точно не делаю из Google идола. :)

                            Но я хорошо знаю, какую рыночную силу имеет доминирующий браузер.
                            • 0
                              Раз в месяц я читаю статьи о том, что «В этом году флеш окончательно умрет». Уже блогов нет, где такие глупости публикуют. Авторы забросили их… А флеш всё есть. Поэтому предлагаю прекратить данное обсуждение. У флеша все не так плохо, как хотели бы линуксофилы )
                            • 0
                              Доминирующий браузер не в сферическом вакууме находится. Он доминирующий, потому что отвечает нуждам пользователей. Когда перестанет отвечать, то перестанет быть доминирующим.
                              Когда то и MSIE 6.0 был доминирующим и MS тогда наверное тоже думали, что они пуп Земли, как Гугл сейчас.
                              • 0
                                Он доминирующий потому что агрессивная реклама и ставится со всякой фигнёй.
                                • +1
                                  У MSIE было еще лучше, ставился с OS, и где они сейчас?
                                  • 0
                                    Так этот процесс односторонний. Где вы видели чтоб при заходе с Chrome предлагали скачать новый улучшенный IE чтоб сайты работали быстрее?
                                    • 0
                                      На microsoft.com вполне себе предлагают. Даже на то, что зашли с linux не смотрели.
                                      • 0
                                        Проверил в opera и chromium — не предлагают, на bing тоже ничего не предложили. Тоже заходил с linux.
                                        Ну и во вторых: обычный пользователь как узнает об этих двух сайтах? onedrive и office365 так же не предложили IE, хотя у него на них попасть шансов больше.
                                        • 0
                                          Исправляются. Или сейчас надо рекламировать azure да office365.
                                          microsoft download center

                                          • 0
                                            Как бы да, но не совсем. Это обычный баннер (даже не баннер), который появляется даже в «Самом современном браузере для вашего компьютера», который дальше обновляться пока не желает. В отличие от постоянно всплывающих сообщений что ваш браузер не поддерживается, лучше скачайте наш, ну или просто скачайте наш, или нате вам флэш, а заодно и хром.
                                            • 0
                                              Примерно такие же баннеры хрома я вижу иногда и ничего странного и страшного в них нет. Всплывающих сообщений «скачайте наш самый-самый хром» я что-то на доменах гугла не заметил, хотя мог и пропустить. У яндексоидов видел, у мэилру. Но и у тех, и у тех это стандартно (мэилрушный guard, яндексовый менеджер браузеров).
                                              • +1
                                                Раньше было при заходе в гмыло или доки, сейчас такого нет. В доках просто говорят «старый браузер» и рекомендуют несколько новых — без ссылок.
                                                Зато адоб не стесняется:
              • 0
                Очевидно, что мои аргументы для CNN не звучат. А вот аргументы гугля могут и прозвучать.
                • 0
                  В нашем измерении есть лишь один аргумент у гугла — флешу быть. Они даже разрабатывают свой такой. А какой аргумент в вашем измерении — нам не ясно.
        • 0
          Браузерные онлайн-игры с приличной графикой.
      • +1
        Ничего он не потеряет! В Хром встроен PPAPI Flash, которого изменения не коснутся!
  • +30
    Отсутствует вариант «к чёрту плагины, Chrome всё правильно делает»
    • +24
      К чёрту плагины
      Продвигает свой собственный API для плагинов
      Что-то здесь не так.
      • +2
        Внешние разработчики не могут использовать хромовский API (PPAPI) для плагинов, его использование разрешено только выделенным плагинам вроде Flash. Никакого продвижения нет.

        Его можно использовать только для промежуточного этапа портирования приложения на [Portable] Native Client. После портирования на Native Client, его уже сложно назвать плагином — приложение не может сделать ничего, чего бы не мог сделать javascript. Никаких других API для Native Client'a другие браузеры не предложили — он им не интересен. Так что я не вижу никакого продвижения PPAPI.
        • +2
          Продвижение PPAPI или NaCl — какая разница? Это, опять же, EEE. Технологии не совместимы с конкурирующими продуктами и даже со старыми версиями Chrome. «Продвижения» не видно, потому что обратно-совместимый asm.js вместе с HTML5 и TypeScript победил всех: и плагины, и PPAPI, и NaCl, и Dart.
          • –2
            На asm.js нельзя написать App Runtime for Chrome. Что теперь, стоять на месте, раз другим браузерам NaCl не интереcен?

            Стандарты сейчас появляются только после того, как кто-то их первый реализовал. Когда реализация новой фичи является EEE, а когда нет? У команды хрома нет ресурсов на поддержку MathML, значит ли это, что Firefox и Safari (который наследует дырявую реализацию из WebKit) продвигают технологии не совместимые с конкурирующими продуктами вместо обратно-совместимого mathjax? Интеграция NaCl (с каким-нибудь API) в браузер требует сравнимых усилий с написанием поддержки MathML.

            Доля NaCl в интернете в любом случае сейчас ничтожна (а asm.js еще меньше). Много вы сайтов использующих NaCl знаете? Вы знаете кого-то, кто открывает сайт в хроме или сменил свой браузер, поскольку сайт использует NaCl?

            А среди браузерных расширений (где доля NaCl возможно чуть выше), все равно нет совместимых API.

            PS NaCl появился в 14 версии хрома. С какими старыми версиями хрома вы хотите совместимость?
            • +1
              Вы не понимаете концепт EEE. Советую ещё почитать про анти-монопольные иски. Отвечаю на ваши вопросы:
              На asm.js нельзя написать App Runtime for Chrome.
              ??? Почему?
              Что теперь, стоять на месте, раз другим браузерам NaCl не интереcен?
              Не продвигать расширенный стандарт как каноничный, запрещая использовать базовый.
              Когда реализация новой фичи является EEE, а когда нет?
              Когда выполняются все три «Е».
              … про MathML и mathjax ...
              Вы сравниваете стандарт и web-ориентированную библиотеку. Серьёзно? Все браузеры поддерживают mathjax.
              Много вы сайтов использующих NaCl знаете?
              Это вы наоборот мыслите. NaCl, как платформа, позволяет писать в том числе и сайты. Отвечая на вопрос: нет, сайтов не знаю.
              Вы знаете кого-то, кто открывает сайт в хроме или сменил свой браузер, поскольку сайт использует NaCl?
              Иронично, но именно благодаря событиям, описанным в этом топике, мы можем это увидеть :)
              • +1
                ??? Почему?
                Например потому, что для нормальной скорости ARC требует JIT-компилятора и многопоточности. Которая когда-нибудь, лет через несколько, может и появится в asm.js, но пока — нет даже намёков.

                Не продвигать расширенный стандарт как каноничный, запрещая использовать базовый.
                Ну раз вы считаете NPAPI «базовым стандартом», то вас, разумеется, не затруднит кинуть ссылочку на документик где-нибудь на W3C?

                А так, да, получается «война», но только давайте не забывать кто предложил совместно работать над заменой NPAPI и кто это предложение с негодованием отверг.

                Странный EEE получается, когда главный «злодей» ходит вокруг со словами «давайте жить дружно», а главный «пострадавший» посылает его… не знаю на сколько букв, но таки посылает.
                • 0
                  Например потому, что для нормальной скорости ARC требует JIT-компилятора и многопоточности. Которая когда-нибудь, лет через несколько, может и появится в asm.js, но пока — нет даже намёков.
                  С многопоточностью всё порядке. Без JIT прекрасно живёт Mono под iOS; в любом случае, вы можете генерировать asm.js код. Если же вас по каким-то причинам не устраивает asm.js, у вас есть универсальный способ запускать нативный код в браузере… NPAPI называется.
                  Ну раз вы считаете NPAPI «базовым стандартом», то вас, разумеется, не затруднит кинуть ссылочку на документик где-нибудь на W3C?
                  А как связаны NPAPI и W3C, позвольте спросить?
                  А так, да, получается «война», но только давайте не забывать кто предложил совместно работать над заменой NPAPI и кто это предложение с негодованием отверг.
                  Разумеется. Просто кто-то нашёл способ сохранить обратную совместимость, устранив недостатки, а кто-то другой не смог этого сделать, и объявил эти недостатки фатальными.
                  Странный EEE получается, когда главный «злодей» ходит вокруг со словами «давайте жить дружно», а главный «пострадавший» посылает его… не знаю на сколько букв, но таки посылает.
                  «Давайте жить дружно… под моим контролем.»
                  • 0
                    С многопоточностью может я не прав. Обычный Java код на Web Workers будет сложно перекомпилировать.
                  • 0
                    А как связаны NPAPI и W3C, позвольте спросить?
                    Ну если это стандарт, то его кто-то где-то должен стандартизовывать, не так ли? Ну хорошо, пусть не W3C, пусть что-нибудь другое. Только не аффилированное с Mozilla'ой, пожалуйста, а то Вы ведь выступаете против принципа
                    «Давайте жить дружно… под моим контролем.»


                    А насчёт
                    Просто кто-то нашёл способ сохранить обратную совместимость, устранив недостатки, а кто-то другой не смог этого сделать, и объявил эти недостатки фатальными.
                    … давайте к этому годика через два вернёмся и посмотрим кто, где и как сохранил.
                    • 0
                      Ну если это стандарт, то его кто-то где-то должен стандартизовывать, не так ли?
                      Раз уж вы так любите к словам придираться, то де-факто стандарт.
                      Ну хорошо, пусть не W3C, пусть что-нибудь другое. Только не аффилированное с Mozilla'ой, пожалуйста
                      Mozilla-то тут причём? У вас какая-то нездоровая мания :)
                      … давайте к этому годика через два вернёмся и посмотрим кто, где и как сохранил.
                      Сомневаетесь? Вы же проиграете. Вовсе не Firefox любит ломать обратную совместимость с каждым релизом.
                  • 0
                    Самое быстрое что сейчас есть — это C++. Самое удобное для разработки — Java и C#. И на этом написано уже много софта. Всё что нужно от браузера — мочь рендеринг куска веб-страницы отправить во внешнее нативное C++ приложение. Но нет, криворукие чушки даже этого не асилили.
          • 0
            Почему TypeScript победил? Корректней все же говорить о JS или более абстрактный JS в форме es6/es7/ts/coffee/dart etc.
            • 0
              Ну под HTML5 я имел ввиду всякие ES 6/7 с новыми браузерными API, под которые пишут вместо изобретения костылей вроде Dart VM. TS добавил из-за хайпа вокруг него, и потому что мне он нравится :)
              • 0
                Часть про «мне он нравится» похоже решающая (:
              • +1
                TypeScript — шикарен. Единственное, что я бы поменял в нем — сделал бы синтаксис как у той же Java.
        • +1
          Внешние разработчики не могут использовать хромовский API (PPAPI) для плагинов, его использование разрешено только выделенным плагинам вроде Flash.
          Не нашёл подтверждения этим словам — можете дать пруф?
          • 0
            mail.openjdk.java.net/pipermail/distro-pkg-dev/2014-July/028532.html можете тут почитать, обстоятельно расписано.
            • 0
              То есть, вся эта истерика из-за отсутствия автоматической установки плагинов? Я бы сказал, это вполне хорошо. Использовать PPAPI позволяет, никакие банки от запуска плагинов не предотвращает.

              Насчет «обстоятельно» вы погорячились, конечно :)
              • 0
                PPAPI плагин должен быть в белом списке хрома. Сейчас там только флеш. Установить новый нельзя никак без изменения самого хрома. Я так понимаю ситуацию.

                Я не думаю ничего хорошего о разработчиках Java-плагина, но если бы можно было обойти текущие ограничения, они бы это сделали, времени у них было достаточно. Раз пишут «браузер не поддерживается», с большой вероятностью ничего сделать нельзя.
                • 0
                  PPAPI плагин должен быть в белом списке хрома.
                  Пруф?
                  • 0
                    По ссылке выше ведь всё расписано:

                    «We have confirmed that PPAPI will not work because while Chrome
                    supports it they don't provide any way for third parties to install
                    PPAPI plugins. The only method of doing so involves a command-line
                    argument, which is unsuitable for most purposes.»

                    Вашим юзерам надо будет запускать хром со специальным аргументом, чтобы неодобренный плагин заработал.
    • –1
      А как в опере с NPAPI-плагинами? Не повлияет ли отказ гугла от NPAPI на оперу?
  • –4
    В последнее время не видел ни одного Java-апплета, который нельза было бы реализовать на HTML5 с JS.
    • +9
      Банковские клиенты?
      • +6
        И что в них есть такого, чего нельзя реализовать с JS? На ум приходит только работа с внешними аппаратными ключами.
        • +3
          Имея большой опыт работы с enterprise клиентами, могу сказать что зачастую проблема не технического характера а бюрократического. Ты не представляешь как мееееедленно и сложно принимаются решения в больших организациях и именно поэтому очень многие из них до сих пор используют Windows XP, IE6 и Java 6.
          • +13
            Это проблема больших организаций
            • +1
              А если под «большой организацией» понимать государство? Многие федеральные и региональные ГосИС используют Java-апплеты.
              • +5
                Это проблемы государства.
                • +1
                  Либо тех, кто вынужден использовать эти ГИС. Точнее стопроцентно это будет проблема пользователей:-(
                  • –1
                    Проблемы граждан это не проблемы государства? Печально.
            • +22
              Если большая организация — ваш банк, ваш мобильный провайдер и ваш поставщик электроэнергии, поверьте мне, эта проблема мгновенно перестает быть их проблемой и становится вашей.

              Можно, конечно, уйти в современный высокотехнологичный подвижный никому не известный банк, но на эти риски вменяемые люди обычно не подписываются ради любимого браузера.
              • +9
                Есть всем известные банки, в которых в помине нет такого бреда, как Java-апплеты в интернет-банкинге.
                У мобильных операторов тройки тоже ничего такого нет.
                • –3
                  Банк Москвы например. Вчера только ставил его интернет банк на работе.
                  Сегодня залез в эту новость потому что обновился на работе хром и в системе передачи платежек перестал работать плагин подписания документов.
                  • +7
                    Помню с этого банка и ушел поэтому. Перешел в другой известный банк, где все нормально.
              • +2
                Ну значит приспосабливаться, как это часто приходится делать с государством/монополистами/крупными игроками. То есть использовать другой/старый браузер специально для них, который необходимостью своего использования каждый раз будет напоминать об ущербности организации с которой работаешь.
                • –1
                  Я в курсе. Я отвечал на комментарий человека в розовых очках: «Это проблема больших организаций».
                  • 0
                    человека в розовых очках больших организаций в розовых очках

                    /fixed
              • +2
                От кривых технологий нужно уходить, пусть даже постепенно. Иначе мы до конца жизни будем использовать тот же Capicom, который давно пора похоронить.
                • –1
                  Спасибо, кэп. А почему вы это сообщаете мне, а не упомянутым мной банкам и провайдерам услуг? Озвучивание трюизма не делает озвучившего автоматически с ним согласным.
                  • +2
                    А им не нужно ничего озвучивать. Постепенно их вытеснят более гибкие конкуренты с новыми технологиями. Зачем пытаться переделывать тех, кто этому отчаянно сопротивляется?
                  • +1
                    Это конкретная проблема банков в конкретном месте.
                    В других местах с банками все ок.
                    • 0
                      Вот что я люблю, так это взвешенные авторитетные мнения.

                      Даже если бы вы были правы, менять место жительства из-за того, что тут хром перестал поддерживать мой онлайн-банк, я лично не стану.
                      • 0
                        Вы уверены что проблемы заканчиваются на уровне «банк в браузере не работат»? Все вокруг работает по человечески?
                        • 0
                          Да в мире вообще бардак, что вы, что вы, разумеется.

                          Мне вот любопытно: удерживать в голове тему ветки — это такой навык, который простым смертным больше не раздают?

                          • 0
                            Нет, в мире много порядка. Но не везде.

                            Не нужно сарказма. Это, похоже вы не держите.

                            Вы говорите, что проблемы банков, мобильного провайдера и поставщика электроэнергии становятся нашими проблемами. А я выразил мнение, что проблемы граждан, это проблемы (места) государства.
                            • 0
                              Это софистика. В идеальном мире существуют проблемы государства, которые решают граждане.

                              В реальном мире есть провайдер электроэнергии. Который принимает платежи апплетом. Вы можете ходить в одиночные пикеты, баллотироваться в управу, даже объявить голодовку. Но если вам нужен свет, вы свои диванные тезисы свернете трубочкой и засунете к себе в карман. Откроете браузер, который поддерживает апплеты. И заплатите за свет. That simple.

                              Даже если это проблема места и государства, пока я не готов уехать из любимого города в какую-нибудь жопу, где все хорошо с банками, это _моя проблема_.
                              • 0
                                Вы называете место/государство где все хорошо работает жопой, и это я софист.
                                • 0
                                  Во-первых, софистика — не наука о способности правильно оценивать государства и места.

                                  Во-вторых, у разных людей могут быть разные представления о необходимом и достаточном для признания государства/места годным для проживания. Наличие в банках прогрессивного IT отдела для меня лично таковым не является. А климат, например, является. Причем климат с собой туда, где годные банки, — не увезешь, а открыть FF вместо хрома — легче легкого :)
                                  • 0
                                    Ну вы же сами сказали, что вокруг отсталые банки, мобильные провайдеры и поставщики электроэнергии (: Я лишь выразил мнение, что причиной такого класса проблем является место (а не отсутствие поддержки USB токенов в браузерах как тут пытаются объяснить ниже) и «страдают», как вы выразились, «мы».
                                    • 0
                                      Я никогда не говорил, что вокруг отсталые банки. Почитайте в каком-нибудь учебнике по русскому языку статью «сослагательное наклонение».
                                      • 0
                                        > Наличие в банках прогрессивного IT отдела

                                        Если наличие человеческого онлайн банкинга это «прогрессивный» то я даже не хочу думать что такое обычный. Вы знаете, все таки проблемы не от места, а от людей.
                                        • –2
                                          О, в ход пошли аргументы Ad hominem. Когда-нибудь вы вырастете и поймете, что люди разные.
                                          • 0
                                            И это после ваших обвинение в короткой памяти и софистике.
            • +3
              Если у меня нет варианта безболезненно отказаться от услуг этой организации, то это де-факто становится моей проблемой.
          • +3
            Скажите, а что уже появились решения для браузера, чтобы шифровать/расшифровывать в браузере, и ключи при этом хранить на стороне клиента?
            Я вот смотрю, что никто тут не шутит в тринадцатеричной системе, хотя даже количество комментариев намекает, а не только номер версии, так может я тоже отстал как и корпорации/государства? Могу я хранить ключи в токенах, или хотя-бы в браузере/на_диске, и не использовать аплеты?
            • 0
              LocalStorage?
              • +3
                Я тут недавно собирал определенную аналитику в интересах одного банка. Как оно водится походил по его основным конкурентам, пооткрывал счета, позабалтывал менеджеров, в некоторых местах даже до управляющих со своей болтовней доходил. И вот с одним управляющим мы обсуждали такой вопрос:
                1 — ключи хранящиеся на дисках, пусть и на флешках воруют. От массовых уводов денег спасает только работа сотрудников банка следящих за необычными транзакциями, сложности обналичивания денег и т.п. (уточню что мы говорили именно о корпоративном секторе, физиков не трогали)
                2 — смс-валидация дает неплохой выигрыш в безопасности (особенно с LBS, который банки уже начали в открытую упоминать в договорах, раньше то мы в серую шпионили). Но юридической силы не имеет, и самодеятельность некоторых банков грозит определенными проблемами. Это проходит для физиков, но не для юриков. Ну как не проходит, у меня есть счет в таком банке, я использую его для зарплатного проекта, для эквайринга, я заворачиваю на него платежи контрагентов у которых счета в этом банке, но все крупные сделки ходят по приличным путям.
                3 — единственный, подчеркну единственный вариант защиты денег, если ты не Неуловимый Джо это токен + принцип «знай своего клиента», когда банкир знает клиента, и не валидирует платеж если он подозрителен, без личного звонка, плюс смс-информирование.

                Я объясню еще раз узкие места:
                Даже если машина скомпрометирована (хотя проще компрометировать только файл), то транзакции с аппаратным носителем ключей можно провести ТОЛЬКО когда он подключен. Даже если вы не вводите пин при каждой подписи, и вам подменят экран в банк-клиенте, где левых транзакций нет, а левую транзакцию подпишут сразу вслед за легальной, то всё равно есть смс-информирование, есть звонок персонального менеджера, есть масса возможностей вернуть транзакцию СРАЗУ. С файловым хранением всё не так. Твоя машина чистая, атакующий убрал следы взлома, или просто скопировал файлики на флешку пока ты был в душе, пин сбрутил и всё такое. Уже месяц прошел с того времени, у тебя разряжен телефон, или ты просто его выключил потому что у тебя важные переговоры — пьешь с губернатором… Да, в этот момент легко могут перевести твои деньги и ты даже не узнаешь.
                Знаю реальный кейс когда человек уехал по делам в Европу на пару дней. никаких налогов и прочих платежей не предвиделось, но на всякий случай он захватил с собой флешку с ключами и его главбух естественно знал его роуминговый телефон. В общем в это время со счета ушла денежка, и когда он вернулся и обнаружил пропажу, то вернуть удалось лишь половину. Потерянные деньги для того предприятия были не фатальны, но суммы хватило бы на квартирку в Одессе.

                ПЫСЫ: я понимаю, что LS формально подходит под мой вопрос, и сам там хранил ключик от битков или чего-то подобного, но как я уже описал выше решение это лишь частичное.
                • +1
                  Я не увидел этого четко сформулированных, но, полагаю, что мы сойдемся во мнении, что любая информация хранящаяся на стороне клиента может быть уведена.

                  Соглашусь, что единственный путь относительно надежной валидации — это ваш третий пункт. Правда тут же в голову приходит старый фильм (кажется он назывался «Игра»), где главного героя обманули даже при личном звонке в банк.
                  • +2
                    Не любая. Принцип физических носителей ключей в том, что ключи из них не выходят никогда.
                    Наш браузер (или другой софт) отправляет в токен сообщение, а на выходе получает уже подписанное/зашифрованное/расшифрованное. Увести ключ можно только вместе с физическим устройством. Конечно есть нюансы, но сферическая система в сферическом вакууме работает именно так.
                • 0
                  Токены из мобильного приложения (в крайнем случае смс) уже решили эту проблему.
                  • +1
                    В том то и дело что не решили.
                    Безопасность смартфона? Юридическая значимость? Доверие банку?
                    Цифровая подпись есть цифровая подпись. Я понимаю что бывают приличные банки с распечатками одноразовых паролей в том числе и в Швейцарии, но там чуть другие механизмы работы с деньгами.
                    • 0
                      Простите, я не знаю какие есть отличия механизмов работ с деньгами.
                      Также я не понимаю что вы имеете ввиду под выражением «Цифровая подпись есть цифровая подпись».
                      Чем ц.подпись из телефона отличается от ц. подписи с использованием usb свистка?
                      • +2
                        Если телефон выступает носителем ключей, специальный софт который там настроен подписывает в соответствии со стандартами, как индустрии так и страны, то… как он взаимодействует с браузером?
                        Цифровая подпись подразумевает наличие ключей и всё что с этим связано.
                        «введите код полученный в смс» или «перешлите нам обратно код на номер такой-то» не является подписью.
                        Легальность таких вещей находится в рамках договорных отношений, а часто на уровне простой публичной оферты, и во многих случаях вызывает проблемы.
                        Вопрос электронной подписи часто урегулирован законодательно, в то время как смс это личные велосипеды банков.

                        Я исхожу из реалий а не из теории. Мне как-то приходилось судиться со «своим» банком за пару миллионов долларов, потому что они придрались к некоторым юридическим деталям. Суд правда был довольно быстрым и безболезненным, потому что за пару дней вопрос был решен «в кулуарах», потому что юротдел банка действовал не понимая интересов своих хозяев, но факт имел место — эти гоблины умудрились таки подать иск. И если бы с банком не было бы особых отношений, то не знаю чем бы закончилось. А еще у меня был более забавный случай — у меня деньги украли… из банковской ячейки.
                        Споры с банком в ключе «вы нам отправляли смс» или «мы вам отправляли смс» приемлемы на малых суммах.
                        • 0
                          Ваш тезис: «Цифровая подпись есть цифровая подпись. ». Цп Лучше чем приложение.
                          Мой тезис: Приложение к телефону такое же хорошее как и цп.
                          С точки зрения безопастности в целом и криптостойкости в частности
            • 0
              В браузере давно есть:
              WebCryptoAPI для работы с ключами и криптографией;
              продвинутые либы для криптографии;
              — куча либ для вычисления хэшей;
              возможность читать загружаемые в браузер файлы и хранить файлы в специальной песочнице;
              — несколько клиентских хранилищ: localStorage, IndexedDB, AppCache.

              Что еще нужно?
              • +2
                В вебкрипто есть аппаратные ключи? И он уже стал стандартом? в смысле уже релиз а не обсуждение?
                Я без ииронии, может я и проглядел, давно не отслеживал, но вроде как стабильных а не девовых решений для безопасной криптографии в вебе не было пока.
                (Безопасное подразумевает способное сохранять безопасность даже при компрометации машины на которой запущено, т.е. по факту только аппаратные токены для хранения ключей).
              • +8
                > Что еще нужно?

                Нужно:
                1. Поддержка криптоалгоритмов ГОСТ.
                2. Возможность работы с криптографическими USB-токенами.

                И если первое я могу ещё представить в виде тормозной JS-реализации, то второе не могу, потому что у разных токенов разные протоколы общения. В Казахстане, например, используются 3 разных вида токенов (насколько мне известно). В Java-апплете реализованы все эти протоколы. Тут нужен JS-мостик для общения с произвольными смарт-картами. Я про такое не слышал.
                • –1
                  1. Поддержка криптоалгоритмов ГОСТ.
                  А где вы были, когда согласовывался набор ciphersuites для WebCrypto API? Там предлагали желающим высказываться.
                  • 0
                    lists.w3.org/Archives/Public/public-webcrypto/2014Jun/0020.html вот например сходу нагуглилось предложение человека. Стандарты делают американцы, им до на наши госты глубоко плевать, у них свои стандарты. Так было (ASCII, однобайтовые кодировки), так и есть и так всегда будет. В openssl через сколько лет после его релиза появились алгоритмы гост? В Intel Core когда появится хардварная поддержка гостовских алгоритмов шифрования?
                    • –1
                      В Intel Core когда появится хардварная поддержка гостовских алгоритмов шифрования?
                      Им на каждую Папуа Новую Гвинею делать хардварную поддержку алгоритмов? Есть поддержка шифрования которым пользуется весь мир, хочется выпендриться и сделать что то «свое, уникальное, кругом враги» — ну так не жалуйтесь.
              • +1
                WebCryptoAPI для работы с ключами и криптографией;
                А в каких браузерах он сейчас поддерживается? На caniuse что-то не нашел толком(
                  • +1
                    Это я видел. Но crypto.getRandom — это только часть. А остальное выключено в ff (по умолчанию) и сделано по устаревшей версии спеки в ie11. Прекрасная поддержка, да.
            • 0
              Вроде этого sites.google.com/site/oauthgoog/gnubby? Если не подходит, можно написать расширение в хроме, которое будет общаться с внешней программой через Native Messaging API. Внешняя программа уже может брать ключи откуда угодно.
              • 0
                Внешней программой которая будет иметь весь сомн проблем типа кросплатформенности и т.п.
                И опять таки плагин… Существующая экосистема внешнего шифрования там и хороша что она уже есть. А пока у нас есть только планы создать новые, более надежные костыли в замен старым.
              • +3
                Native Messaging API очередной костыль от гугла. Причем Chrome-only!
                На кой черт мне эта кривая поделка, если XmlHttpRequest или WebSockets будет работать кроссбраузерно?!
          • 0
            Зачем этим организациям обновленный Chrome?
        • 0
          Я не уверен, но кажется у банка Москвы была с тема с генерацией рандома с помощью движения мышкой по апплету. Ну и всё шифрование на джаве было реализовано, понятное дело.
          • +3
            JS тоже в состоянии рандом генерировать с помощью мыши. Также не вижу препятствий для реализации шифрования.
            • +1
              О! Давно хочу реализацию на js возможности получить md5-хэш файла с локального диска! Поможете?
              • +3
                • –5
                  Знаете, девятый эксплорер (не самый старый) не поддерживает FileAPI, а даже он далеко не у всех стоит. Так что о чем вы говорите?
                  • +3
                    О Хроме мы говорим (см. название статьи). В IE Java живёт и будет жить ещё 100 лет.
                  • +2
                    «Не самый старый» он только из-за существования ещё более древних версий IE.
            • +6
              Реализуй. Сертифицируй в ФСБ. Срубишь бабла. Я серьезно.
              • +1
                Поделитесь success story о срубания бабла с ФСБ? Вот бы я почитал.
                • 0
                  Так не с ФСБ, а с организаций, которые с удовольствием купят решение, сертифицированное в ФСБ.
                  • 0
                    Ну это понятно.
                    • 0
                      В чем вопрос тогда?
                      • –1
                        В success story «сертифицировать свой код у ФСБ и срубить бабла на продажах»
                        • +1
                          У меня там точки.
              • 0
                Ок.
          • 0
            А зачем вам движении мышки если браузеры давно предоставляют честный рандомизатор в рамках CryptoAPI?
        • 0
          А Вам не приходило в голову, что некоторым людям и организацям может не нравится идея писать на джаваскрипте?
          • +7
            А мне нравится писать на COBOL. Мне не нравится эта вся мишура браузерная. Как в 70-х писал на COBOL, так и буду продолжать. У меня весь код на мейнфреймах крутится. Да, старые они уже, электричества много кушают. Но работают ведь. А если работают, зачем менять их на что-то другое? Не буду я переучиваться и что-то переделывать. Ещё апостол Павел говорил: «Пребывай в том, чему научен».
            • +2
              У JS и язык стремный, и инструментария никакого, почему вы думаете, что он не COBOL нового века? Если бы он был хорош — он бы на серверах давно победил. Но нет, на серверах как раз прикручен какой-нибудь GWT, а в интернетах сотни «имярек to javascript compiller».

              Я вообще не уверен, что физически можно написать рабочий проект в миллион строк на JS, а не только мишуру для браузера
              • 0
                Да, язык не самый ровный в использовании. Но в современном вебе выбор технологий небольшой. Про проекты в миллионы строк не скажу, но в качестве начинки для браузерного терминала для какого-то сервиса JS вполне себе подходит.
                • 0
                  > Но в современном вебе выбор технологий небольшой.
                  > Ещё апостол Павел говорил: «Пребывай в том, чему научен».

                  Так и сидим. Даже плагины универсальные писать спокойно нельзя.
      • –1
        Кажется, эта проблема есть только в России. В остальных странах никакого особенно богатого клиентского приложения в интернет-банке нет.
    • +5
      Хорошее решение хоть я и сам пострадал от этого ибо активно использую несколько Java-апплетов. Иногда приходится принимать не популярные и жесткие меры, чтобы иметь возможность двигаться дальше.
    • +8
      Например в Казахстане и в России используется шифрование с использованием специальных «гостовских» алгоритмов. Если я заказываю услугу на сайте электронного правительства, я подписываю свой запрос с помощью ЭЦП используя специальный USB-токен. Используя Java-апплет это делается без каких-либо проблем, кроссплатформенно и кроссбраузерно. Что бы вы предложили взамен? WebCrypto ничего подобного не поддерживает. JavaScript не имеет возможности доступа к USB-устройствам.
      • –7
        Что значит «JavaScript не имеет возможности доступа к USB-устройствам»? Напрямую, конечно, нет, а через браузер — так вполне. Уже не первый год.
        • +3
          > Что значит «JavaScript не имеет возможности доступа к USB-устройствам»? Напрямую, конечно, нет, а через браузер — так вполне. Уже не первый год.

          А что значит «через браузер»? Вот у меня есть USB-устройство. Java его открывает используя API для смарткарт и общается с ним по специальному протоколу. Посылает команды «подписать данные», токен подписывает данные и возращает подпись. Или сертификат возвращает. Ну и прочие функции, много их. Как это сделать без апплета, без ActiveX, без плагинов к браузеру?
          • –8
            Читаете документацию, пишете своё поделие, если что-нибудь не работает — обращаетесь с разработчиками.

            Это если вам, конечно, нужно «ехать». Если нужны «шашечки» (сертифицированный Java-plugin, etc) — ну это уже ваши проблемы.
            • +5
              Вы мне скидываете документацию про Chrome Apps. Мне нужен доступ к устройству с сайта. Насколько я понимаю, это разные вещи.
              • +1
                Да, кстати, вчера тоже убеждали, что в хроме уже есть api. Пришлось наглядно показывать, что это все не будет работать на обычной странице. Благо готовый пример у них есть.
                Но насколько я понимаю, даже у приложений есть проблемы с токенами. Вероятно из-за CCID. Поскольку приложение смогло отобразить токен в списке подключенных USB-устройств, а дальше уже не знает что с ним делать.
                Кстати, там же есть предостережение насчет USB API.
                Not all devices can be accessed through the USB API. In general, devices are not accessible because either the Operating System's kernel or a native driver holds them off from user space code…
    • +1
      Из JS можно работать с eToken?
      • 0
        В конечном итоге да. Ниже я примерно описал, как мы это делаем.
    • +1
      www.geforce.co.uk/drivers пример. JS не способен добраться до железа.
    • 0
      IPMI?
      • 0
        Саму консоль сделать можно (см. VMware Blast), а вот с подключением дисков облом.
    • 0
      доступ к локальным ресурсам.
    • 0
      VPN-клиент?..
    • 0
      Не путайте «нельзя было бы реализовать» и «не реализован». Например, образовательных Java-апплетов осталось очень много еще с тех пор, когда Java было мейнстримом.
      • 0
        У меня в ВУЗе их около тысячи успали наклепать с 2004 года. Будем рекомендовать студентам использовать другие браузеры.
  • 0
    Неужели я увижу флешекапец на своем веку?..
    • +45
      Чтобы увидеть флешекапец, у вас должен быть установлен плагин Adobe Flash Player версии не ниже 11.
    • +9
      Flash в версии для хрома уже давно перешел на PPAPI так что ему ничего не грозит.
      • +5
        Для всех, кому не нравится реализация PPAPI Flash от Google — всегда может поставить реализацию то Adobe. Кстати, вот они в конце 2014 года релизнули PPAPI плагин свой. Так, что очередные похороны сорваны :D Как говорится — «Хоронили флеш — порвали три стандарта» :D
      • 0
        Значит, не увижу. Эх…
        • 0
          Естественно не увидите. Более того… FireFox неспешно пилит Shumway. Это Flash Player, который реализован на чистом JS :D Даже если у Вас нет Flash плеера в барузере — это не значит, что Вы не увидите рекламный блок на Flash :D. Вы его увидите. Только через Shumway.
          • –2
            Flash Player на чистом JS? Ну это же очевидно нереализуемо.
            Или это чисто для рекламы, которая сделана на AS1.0 с помощью on(release){}, gotoAndPlay() и stop()? :D
            • 0
              Flash Player на чистом JS уже давно есть. Тот же swiffy от Google. Он перемалывает весьма качественно практически любой Display List контент от as1 до as3 и выдает его в html5 canvas.
              • 0
                А что он делает с потоковым видео?
                • 0
                  не знаю. Потоководе видео и html5 это курам на смех. А все мои капризы swiffy покрывает. Но там ограничение на сервере — 1 мб на swf файл. Приходится извращаться, чтоб собрать большие пакеты )
                  • 0
                    Просто на заезженное «флеш умрёт» я всегда привожу любимый пример с Твичом и стримами, которые имеют огромную аудиторию.
                    И тоже самое к флешезаменителям. =)
                    • 0
                      ))) Adobe сейчас делает технические ограниченные по возможностям сборки WebGL рантайма, который является по своей сути флеш плеером ) все косо-криво, но уже работает. Думаю, что флеш умрет не скоро. Он еще попьет кровь тем, кто его не любит )

                      p.s. у меня уже племяха в 3й класс пошла. А флеш все умирает :D первые разговоры о его смерти я услушал, когда она пошла в садик :D
                • 0
                  w3c.github.io/media-source — вовсю используется на YouTube
                  • 0
                    Действительно. Но почему тогда остальные так долго подтягиваются?
                    • 0
                      Отчасти потому что в Firefox ещё не работает (кроме YouTube).
            • 0
  • 0
    Ещё Silverlight отрубился.
    • +4
      Его кто-то использует ещё? Если мне память не изменяет, то MS уже пару лет его не развивает.
      • 0
        Причём тут развивает-не развивает… Очень много софта написано под Silverlight. Как специализированного для предприятий, так и просто онлайн-игры (например, theriansaga.ru).
        • +15
          Это же надо было себя так подставить и что-то написать под Silverlight.
          • 0
            Почему же? Если у Вас есть под рукой команда дотнетчиков, то Silverlight — прекрасное решение. И куда более удобное, нежели Flash или, HTML. Люди на нём пишут серьёзные приложения и зарабатывают вполне неплохие деньги. Уж всяко не хуже, чем Flash.
            • 0
              Хорошо, что у них нет под рукой программистов на Assembler, Visual Basic или Visual FoxPro. :)
      • 0
        Используют. В этом месяце вроде бы проект на нем сдаем заказчику…
      • 0
        Amazon Instant Video например в хроме теперь показывает только контент SD качества, для HD предлагает использвоать другой браузер.
        • 0
          Причем мне даже выставление флага chrome://flags/#enable-npapi не помогло. Все равно предлагает «Experience better quality video with Internet Explorer, Safari or Firefox».
  • +1
    Все. Приплыли. Как теперь работать с egov.kz, НУЦ РК и ГОСТ-овскими шифрованиями?
    • +1
      Из Spartan'а!
    • +2
      Oracle официально предлагает не паниковать и использовать альтернативные браузеры.
      • 0
        Да, но тут встает вопрос централизованного управления. Chrome из коробки поддерживает управление с помощью GroupPolicy, при этом msi пакеты его не надо перепаковывать (как это делают с firefox'ом) и расширения устанавливаются автоматом тоже через групповые политики с локального хоста. Теперь же надо все придумывать заново
  • +4
    Теперь никакого minecraft в браузере?
  • +16
    Слава богу, на одном хроме браузеры не заканчиваются.
  • –7
    Уже говорили, что флеш и хорошего браузера превращается в очередной IE6, тормознутый и бредовой политикой?
    • –1
      Не ведитесь на то в чем не разбираетесь. Гугл в первую очередь, как и все корпорации, беспокоится о своих доходах. То что пишут на счет костылей и тормозов все это простая пропаганда.
      • +2
        Спасибо, что сказали, что я должен делать. Уверен, я прислушаюсь к этому, когда мне не будет следующий раз чем заняться.
        Я еще могу запустить сам браузер и посмотреть, насколько все стало плохо, сравнительно с более старыми версиями. Особенно в вопросах принуждения.
        Сейчас запустил Оперу 28 (она ведь на движке хрома, наблюдаются те же самые симптомы. Увы, на этой машине хрома нет, но думаю на чистоту эксперимента это не повлияет), чтобы проверить еще раз. Открыта только пустая вкладка, уплыло 100 мб оперативки в неизвестном направлении. В то время как тот же Фх ест 63мб, не свопит постоянно вкладки на диск, из-за чего приходится постоянно терпеть задержку при переключении между вкладками.
        Наверное у меня слишком сильно самовнушение, другие пропагандируют, а я поддался и вижу фантомные тормоза в браузере, которых на самом деле не существует.
        • –3
          Включил компьютер с Windows 10 — уплыло 1024Мб оперативки в неизвестном направлении.
          В то время как тот же Ubuntu ест 700Мб.

          Ну всё, срочно пересаживаюсь на FF и Ubuntu.
    • 0
      Избавится от костылей 20-летней давности, это бредовая политика? А то что разработчики плагинов не пошевелились переделать под новый API… так это чья проблема?
      • +1
        В первую очередь — это проблемы пользователя.
        • +1
          А пользователь всегда крайним оказывается. Мне вот только интересно: тут все вроде как за «ынтырпрайз» переживают. В основном за Java.

          Которой, на минуточку, «чёрную метку» выдали четыре года назад. Чем всё это админы занимались? Всякие TCO? Бонусы себе раздавали? Ну тады ой, они заслуживают то, что заработали.
          • 0
            ну че, как обычно… 4 года, ого-го это же времени вагон, через годик можно подумать. Проходит год… никто не шевелится, закрадываются мысли «а может пронесет?» и так следующие 4 года… но тут наступает момент Ч и «последнее китайское» только метаться уже поздно.
            Нет, если резать то резать — не откладывать. Или резко или постепенно но резать, чтобы люди чувствовали что движение есть и его не остановить.
            А то, если бы до сих пор заботились о пользователях не делая изменений то большинство из программистов до сих пор бы программировало под ДОС 3.0 или 6.20 у самых продвинутых.
  • +3
    EEE же.
    ✓ Embrace
    Extend
    ✓ Extinguish стадия запущена 2 дня назад вместе с Chrome 42
  • –4
    Я всю сознательную жизнь пользуюсь Linux (сразу после MSX и MS-DOS). Сначала, поддержки Flash в Linux не было совсем. Затем она появилась, но:
    * постоянно роняет браузер, с первых дней появления до сих пор
    * все эти флэш свистоперделки и баннеры на каждой странице непрерывно грузят CPU, разряжая батарейку и гоняя кулер
    * каждую неделю в этом флэше находят дыры все время его существования
    * эта поделка открывает дополнительный канал слежения за пользователями

    Не люблю и не пользуюсь Chrome (IMHO, Firefox его давно уделывает по всем параметрам), но это решение всецело одобряю, если оно наконец приведет к окончательному вымиранию flash.
    • +2
      Как уже выше сказали «Flash в версии для хрома уже давно перешел на PPAPI так что ему ничего не грозит».
  • +2
    Интересно это автоматически скажется на браузерах на том же движке типа Яндекса и Оперы? Или их это уже вотчина их разрабов?
    • 0
      Да. Думаю им и без этого хватает merge конфликтов.
      • 0
        Opera — мы пока поддерживаем NPAPI.
        Yandex — по крайней мере, браузер версии 15.2 (основанный на Chrome 40), тоже поддерживает.

        Когда поддержка закончится — логично предположить, что как только Chrome начнет удалять соответствующие части из кода. Но обещать я, конечно, ничего не могу :)
        • 0
          Yandex уже пообещали по крайне мере для Unity поддержку до тех пор, покак Unity не перепишут себя для совместимости
          • +1
            Интересно как они это себе представляют. Когда осенью начнут из кода Chromium'а выкорчёвывать потихонечку костыли для NPAPI (которых там невероятное количество), что они делать будут? Форкнут? А ресурсов у них хватит?

            Впрочем попкорном нужно запастись — это факт.

            P.S. Не очень, впрочем, понятно, что обозначает «Unity не перепишут себя для совместимости». До версии 4.3 Unity поддерживала NaCl, потом им это надоело. Теперь они на asm.js будут переходить? А смысл? Играм совершенно необязательно жить в браузере, тем более таким тяжёлым, как Unity. Ну или можно проверок наотключать, ARC на десктопе в Yandex.Браузере запустить и сказать, что всё, проблема решена: Unity «себя переписала для совместимости».
            • 0
              Ну они изначально форкнули, хотя достаточно большую часть кода — синхронизируют с основной веткой. Просто будут несколько больше усилий при синхронизации затрачивать. Про unity — хз, на что они будут переписывать, есть только информация, что точно будут, а вот на что решат — только слухи, по предположениям — WebGL.
            • 0
              У Яндекса-то ресурсов должно хватить.

              Вот даже Вивальди собирался (или даже уже) форкнуть Хромиум.
          • +1
            Не совсем это я писал в клубе Яндекс.Браузера. Некоторое время в новых версиях (основанных на свежих Chromium) мы будем поддерживать NPAPI. В основном ради Unity Web Player. Приложения на его основе достаточно сильно распространены (если пальцем в небо, то это около половины всех игр во ВКонтакте). Хотим дать разработчикам игр максимум времени на переход.

            Чем быстрее в Chromium будут ломать NPAPI (а его уже начали ломать, но мы пока справляемся с восстановлением оного), тем сложнее нам будет поддерживать его.
            • 0
              Пользуясь случаем, хочу узнать из первых рук: в Яндекс.браузере информация о посещении страницы также поступает на серверы Гугла (или не Гугла, а Яндекса, скажем)? Или у вас как в Iron Browser, эта «фича» удалена?
              На мой взгляд, вопрос хоть не прямо по теме заметки, но вполне релевантен упоминаниям о безопасности здесь, в комментариях.
              • +4
                На самом деле вопрос статистики мало связан с безопасностью уже потому, что статистика анонимна. Но попробую ответить. Данные и статистика, которые отправляет браузер, можно разделить на несколько категорий:

                1. Сообщения о падениях. Тут все понятно. Отключаются в настройках.
                2. Статистика использования. Как мы эти данные используем, я уже рассказывал тут и даже здесь. Отключается в настройках.
                3. Отправка введенных запросов. Поисковые подсказки (Быстрые ответы) без этого не работали бы. Отключается все там же.
                4. Защита от вредоносных сайтов, фишинга и мошенников. Но тут введенный урл мы отправляем к себе для проверки только в том случае, если локальная база еще не подгрузилась. Отключается.
                5. Ошибки навигации. Когда вы попадаете, например, на 404, браузер не просто ругается на ошибку, но и старается подсказать выход (исправить адрес, предложить сохраненную копию). Для этого тоже нужен урл. Отключается.
                6. В браузере используются много прочих фишек, некоторые из которых нельзя отключить. Например, переводчик, проверка орфографии и прочее. Для их работы нужна связь с веб-сервисом.

                В общем, если копать подробно, то все оказывается достаточно скучно и без коварных планов по захвату человечества.

                UPD. Забыл уточнить. Это все наши сервера.
  • +14
    Почему-то никого в топике не волнует что NSAPI — дыра в безопасности, что и послужило толчком для разработки «велосипеда». Всё правильно делают.
  • +3
    А я-то пытаюсь понять почему у меня VMware Web Client перестал в Хроме работать… ruikarikun, спасибо за подсказку
    • +1
      Дополнение: отвалились так же сервисы kontur.ru и ему подобные
  • +5
    Где вариант, гори оно огнем! Гугл молодцы! Но использую firefox.
    Интересно разработчики банковских систем и корпоративных порталов зачешутся?

    Или придется использовать спортанского осла и другой браузер?
    Firefox тоже вроде в этом году хотел отказаться от поддержки жабы? (Полностью)
    • +9
      Думаю, разработчики банковских систем и корпоративных порталов просто изменят сообщения с «Проверьте, установлена ли у вас актуальная версия Java» на «Для работы с данной системой вам необходим броузер Microsoft Internet Explorer 6.0 или выше» :)
  • +1
    Означает ли это что Java апплеты будут становиться всё менее популярными?
    • +8
      А они популярны?
      Единственное место где они еще живы так это криптография… Есть еще некоторые локальные решения типа интеграции сканеров в СЭД, но в большинстве случаев это недостатки архитектуры, и существуют более удачные решения исходных задач.

      Нет, серьезно, может это я такой отсталый, но где еще вы видели апплеты?
      • +6
        Из того, от чего нельзя отказаться — как минимум, всякие IP-KVM решения.
        Плюс, довольно много всего зарубежного, в том числе для простых людей, всё ещё живёт на джава-апплетах, хоть жёсткой необходимости в этом и нет.
        • 0
          Плюсую за IP-KVM. Сидел с IE сегодня, потому что хром отказался его включать.
  • +2
    И к чему весь сыр-бор? Ну используют много-много человечкой Хром, ну решил гугл навязать свое мнение. Толку-то?
    Используйте форки, используйте предыдущую версию, используйте FF devel edition в кои-то веки.
    Делов-то и трагедии.
  • +1
    Тэги порадовали :D
  • +7
    То, что пользователи Chrome пользуются интернетом не так, как хотят, а так, как этого хочет Google — не секрет.

    Гуглу не нужна Java вообще никогда и нигде — значит, вам она тоже не нужна, придумывайте сотню оправданий, что «не очень-то и хотелось», чтобы не чувствовать себя в странной позиции.
    • 0
      В странную позицию вас поставил Oracle, превратив Java в ActiveX (только ещё более дырявый, чем настоящий ActiveX). То, что Google, вполне резонно, решил заткнуть эту зияющую пробоину в безопасности отнюдь не значит, что пользователи Chrome'а — все сплошь идиоты.
      • +2
        Стоп, стоп. Кого это «вас»? Желание поставить себе Chrome у меня не возникало и, думаю, не возникнет (разве что как-нибудь поврежусь умом), а Java-плагин в последний раз потребовалось запустить уже не помню когда для каких-то чепуховых визуализаций на древнем сайте. Сравнивать количество дырок во Flash, Java, и прочих плагинах бесполезно по одной простой причине: безрассудство пользования вебом со включенными плагинами и отсутствием ограничений всё перевешивает. Кто-то осознанно включает загрузку по клику; Google осознанно заявляет «у нас много глупых пользователей, нагнанных рекламой с главной страницы, они того не понимают, этого не понимают (не дай бог, поставят себе другой браузер, кликнув на ещё какой-то баннер на каком-нибудь дорвейчике), мы делаем функциональность под них (с привязкой в наши сервисам, естественно)»; кто-то изо всех сил делает вид, что «глупые пользователи» — это про других, а они пользуются Chrome исключительно из-за совпадения собственного изысканного вкуса со вкусом компании Google, каким бы он в данный момент ни был.
        • 0
          Вы, случаем, Javascript-ы у себя в браузере не отключаете? :)
          • +3
            Иногда приходится, чтобы не мешали. «Rich» в «rich web» слишком часто стало значить не «изобилие», а «шикующих нуворишей с цацками».

            Вообще, вы в курсе, что методики удобной и безопасной работы с браузером в той или иной виртуальной среде — не тема презентации на хакерской конференции, а будничное обсуждение? Что многуровневым разделением машин и сетей с личной и рабочей, чепуховой и ценной информацией занимаются не только люди, работающие с государственной тайной и промышленными секретами, но и обычные «продвинутые пользователи»? Зайдите на какой-нибудь новостной сайт, чтобы прочесть два абзаца текста, и посчитайте, сколько всего грузится и обрабатывается браузером ради этой задачи, прикиньте пропорцию и масштаб обмена информацией. Нет уж, мне, по старинке, заверните только эти два абзаца, да в простой текстовый протокол.

            Всё это возмущение не на пустом месте возникло. Не раз и не два я видел баннеры «наш прекрасный проект работает только в Chrome, поставьте его и зайдите снова». Конечно, уже побежал. Годы говорильни про открытые стандарты потребовались для того, чтобы заменить Adobe Flash на Google Chrome (причём первые хотя бы не хотели знать о каждом шаге интернет-пользователя). Зашибись достижение!
            • +1
              О каждом шаге пользователя хочет знать не только Гугл, это всеобщее желание. Поставьте Ghostery или аналогичный плагин, включите полную блокировку (можно оставить веб-шрифты, они сравнительно безобидны), и посмотрите, сколько «очень полезных штук» у вас выключилось. На этой странице у меня, например, горит четвёрка, означающая, что тут было аж четыре общеизвестных трекера, желавших следить за моими действиями. Вконтач — 5. Злая Лента.ру — 12. Добрая и пушистая Медуза — «всего» 6.

              Вы в интернете — не потребитель, а товар. Вас продают с сайта на сайт, заманивая рекламой, заточенной конкретно под вас. Можно любить это или не любить, делать с этим что-то или не делать, но это факт.
              • –2
                Конечно, всеобщее. Представьте, что Winrar посылает список файлов обрабатываемого архива Рошалю, а проклятый M$ копирует все офисные документы к себе на сервер (всего лишь на случай сбоев, само собой). И только в вебе фраза «Но они же должны как-то зарабатывать деньги…» служит оправданием для любой садо-мазо фантазии любителей анальных зондов.
                • 0
                  А кто сказал, что их кто-то оправдывает? Они штопаные гондоны и оправдания им нет. Но от того, что мы будем тут это обсуждать, они не исчезнут, не раскаются, не сделают себе сэппуку в туалете, и не прекратят вас продавать всем подряд.
                  • 0
                    Без денег, которые они зарабатывают на «торговле людьми» не было бы нормального поисковика, gmail, хабры, Office356 и прочих ресурсов, которые сейчас практически незаменимы для пользователя.
                    Если есть что-то действительно ценное, что требует защиты и конфиденциальности — держите это на съемном винте и не говорите об этом в интернета. В остальном хотел бы я посмотреть на этих всевидящих, которые перерывают тонны бухгалтерии мелких бизнесов, коих миллионы в Google Drive и Office365.
                    — Нет Unity — а нахрен он нужен в браузере со своими то запросами? Пусть будет stand-alone клиент на том же самом юнити и все ок.
                    — Нет Java — погодите чуток — появится.
                    — Реклама надоела — поставьте ад-блок.
                    — Боитесь что за вами следит СРУ? — не нарушайте закон.

                    Что еще я упустил?
          • 0
            Бывает, приходится отключать…
  • +1
    Вот здесь товарищи вполне качественно расписали варианты замены для NPAPI.
    Там нужно промотать до строки «Below is the previous version of this page...». Они уже допили новую версию, в начале ее анонс.

    Мы ждать не стали и сделали собственный вариант. Тут спрашивали про работу с USB-токенами, как раз для этого и делалось.

    По сути все очень просто. Маленькое приложение прокидывает JSON-пакеты (упрощенный вариант JSON-RPC) между JavaScript'ом и старой NPAPI-библиотекой. Работать умеет через XmlHttpRequest (имитируя синхронную работу с библиотекой) и, на всякий случай, через WebSockets. Написано на FreePascal, прекрасно работает в Windows, Linux и Mac OS.

    Единственный нюанс — если вам нужно соединение через https или wss, хром будет ругаться на сертификат. Однако это тоже решаемо.
    Хотя получить от доверенного издателя (в нашем случае Thawte) сертификат на localhost и не выйдет, но есть обходной трюк.
    • 0
      На Windows машине я на лету генерирую сертефикат само подписанный на localhost и добавляю его в доверенные. практика показала что даже браузер перезагружать не нужно :)
      • 0
        Вполне себе вариант. Кем выдан сертификат, пользователю в данном случае не важно, он его не видит. Ну придется один раз подтвердить установку сертификата в хранилище, при установке это не проблема.

        Мне же была нужна кроссплатформенность малой кровью и быстро. Поэтому для домена третьего уровня получили сертификат и выставили ему адрес 127.0.0.1. Вуаля! ))
  • 0
    Я давно знал об этой штуке, и что это случится. Поэтому в экстренном порядке пришлось переписать плагин использующий NPAPI, на локальное приложение сервис и вебсокеты. Вполне хорошо получилось.
    • 0
      А можно немного больше информации о вашем плагине? Я сам являюсь разработчиком одного Open Source браузерного плагина и пользователи с каждым днем все настойчивей и настойчивей спрашивают про перспективы проекта в контексте запрета NPAPI в Chrome. У нас есть некоторые идеи как обойти эту проблему, но все они обладают большим количеством недостатков. В моем случае проблема еще осложняется тем что плагин предназначен для воспроизведения видео, соответственно просто запустить его в фоне и общаться с ним через WebSockets не получится…
  • –2
    Сгорела-кончилась эпоха великих парусных судов

    Фууу.
  • –2
    Законодатель, ёпт… А это все потому что у кого-то слишком большая доля рынка.
  • –2
    Ну и отлично, еще бы flash выпилили и было бы отлично. Живу более 2 лет без flash и чувствую себя отлично, не нашел ничего что бы не работало. Уже все приличные ресурсы видео по html5 отдают.
    • 0
      Современная винда, высокопроизводительный процессор и гигабайты RAM делают чудеса. Но… остальных — за борт.
      У меня слабенький ноут без проблем воспроизводит FullHD видео, а вот стационарный дико тормозит, несмотря на то что процессор там раз в 10 мощнее… А все из-за чего, из-за того что ноут более современный и имеет аппаратную поддержку декодирования видео, а на старых системах этим занимается процессор и все зачастую упирается в него. Вот из-за таких мелочей переход на новые технологии не может свершиться абсолютно бескровно, кому-то придется страдать или кардинально заменять железо.
  • +1
    Включил поддержку NPAPI, т.к. рухнул WebTwain.
    Но в дальнейшем придется переходить на другой браузер…
  • –4
    Сначала хотел было по-возмущаться…
    image
  • +1
    Обнаружил этот вопиющий факт, когда было собирался написать NPAPI плагин. Таким образом, хромой убил единственный более-менее кроссбраузерный способ написания плагинов, тоесть теперь написание плагина для всех браузеров становится все утопичнее.

    Хромой под предлогом безопасности еще много чего сделал, например, он единственный, кто запрещает флешу LocalConnection (убивая связку Flash + Air), не дает никаких механизмов определить зарегистрирован ли кастомный протокол в системе или нет(хотя 11 ослик наоборот добавляет явную поддержку кастомных протоколов, это разные на 180 градусов представления о безопасности).
  • 0
    Без LocalConnection будет невозможно делать связанные между собой баннеры.
    Что касается Flash + AIR связи — сделай на AIR микросервер с помощью ServerSocket и кидай его на 127.0.0.1. А у Flash сделать обычное Socket подключение к localhost
    • 0
      Этим я сейчас и занимаюсь, но вариант с LocalConnection существенно удобнее был, не надо занимать порты, отправлять сокет полиси, в очередной раз писать сокет сервер и прочее. LocalConnection между флешками на одной странице все еще работает, а вот по всей системе уже нет.
  • 0
    это поэтому у меня перестал работать флэш на сайтах?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.