Полезная информация

Список ответов на каверзные вопросы можно получить в FAQ-разделе форума.
  • Форумы
  •  » Флейм
  •  » Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

№2613-08-2006 02:17:27

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

LattyF
Не стоит забывать, что Fiorefox - это не менеджер файлов, а просто интернет проводник. К сведению тех, кто не знаком с программированием, что бы реализовать запуск файлов из лисы нужно написать дополнительный модуль, который это бы реализовывал, затем ещё и побеспокоиться о его кроссплатформенности (в линуксе под иксами скрипт на шеле просто не запустится), и т.д.

А нужен ли такой комбайн? И многим ли он интересен? Если кому надо, то почему бы самому не написать расширение?

Во вторых все почему то забыли, что файерфоксом пользуются ещё и в корпоративном секторе, а там под видом локальных дисков могут быть и сетевые, и там то такого маразма админам совсем не нужно (ну если он совсем не конченный идиот, который захотел, что бы пользователи из браузера могли запускать всё, что им заблагорасудится).

И последнее - зпрет на запуск файлов - это, ИМХО, не только причуда мозиллы, это требование к интернет технологиям вообще.


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№2713-08-2006 16:14:58

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

ladserg, в том то и дело, что он не запрещает запускать, а просто тупо пытается скачать файл, хотя он и так на локальном диске (даже если тот примонтирован — для прикладных программ проходит все прозрачно). И это однозначно опознается пользователями как глюк. Если что-то запрещено, то так и должно говориться:
«Запуск выполняемых файлов запрещен, поскольку такое действие потенциально небезопасно» и т. д. Для того чтобы сделать такое не надо даже плагина писать. Нужно лишь проверить, что файл выполняемый.

Фокс же в любом случае просто тупо пытается скачать файл с винта. На что создатели оболочек для журналов (например) явно не рассчитывают. А вы хотите популярности. Оперу ругаете.

Отредактировано LattyF (13-08-2006 16:15:23)


Black holes were created when the God divided by zero.

Отсутствует

 

№2813-08-2006 23:46:57

Пит Бэнкман
Участник
 
Группа: Members
Зарегистрирован: 31-07-2006
Сообщений: 910

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

На что создатели оболочек для журналов (например) явно не рассчитывают

А они вроде только на Осла и рассчитывают :( Как и многие веб-дизайнеры...

Отсутствует

 

№2914-08-2006 08:32:15

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

LattyF пишет

ladserg, в том то и дело, что он не запрещает запускать, а просто тупо пытается скачать файл, хотя он и так на локальном диске (даже если тот примонтирован — для прикладных программ проходит все прозрачно).

Для браузера что локально, что в сети, всё URL ресурсы, и он просто должен качать эти URL и всё, а движок должен обрабатывать - картинки рисовать, текст отображать, и т.д. Неизвестные файлы же просто копировать. Вообще то все браузеры так и делали всегда, просто дорогая MicroSoft пошла по пути облегчения жизни вирусо-писателям и реализовала запуск *.exe файлов из инета (это ещё когда осёл не был встроенным менеджером файлов в винде), ну ту же дурость и стали пренимать некоторые "конкуренты"

LattyF пишет

И это однозначно опознается пользователями как глюк.

Ну это смотря на какого пользователя ориентироваться, у большинства пользователей винды стоят антивирусы, которые проверяют копируемые файлы на вирусы, и практика с копированием файлов повышают защиту их компьютера, признаться я сам таким образом отловил немало вирусов как с локально подключенных ресурсов так и с дисков весьма авторитетных журналов.

И опять же пользователи есть разные, напимер те, кого я встречал, скопируют с диска по папкам, а потом разбирают или ставят скопированный файлы.

LattyF пишет

Если что-то запрещено, то так и должно говориться:
«Запуск выполняемых файлов запрещен, поскольку такое действие потенциально небезопасно» и т. д. Для того чтобы сделать такое не надо даже плагина писать. Нужно лишь проверить, что файл выполняемый.

Ну какой запрет, какой исполняемый файл в линуксе, макинтоше? А в Windows 3.11 (да есть и такие)? А графика, анимация, скрипты, архивы? Для браузера это просто ресурсы, а под линуксом вообще простой текстовый файл может быть исполняемым. Причём запускаемый файл может вообще не иметь расширения. Всё проверять?

Да и на кой это окно для тех, кто просто копирует эти файлы?

LattyF пишет

Фокс же в любом случае просто тупо пытается скачать файл с винта.

И не только фокс, ещё и links, lynx и ряд других, более взрослых браузеров. И как я уже объяснил, для URL ресурсов не значения - локальный или не локальный это ресурс.

LattyF пишет

На что создатели оболочек для журналов (например) явно не рассчитывают.

Ну, тут уже писали про дружбу этих создателей с ослами, правда встречал и такие диски, где светилась большая лайба, мол нельзя запускать файлы из браузера, сначала копируйте файл на диск, проверьте на вирус и там уже выполняйте.

А другие создатели просто создают свою оболочку, откуда пользователь может как и запускать эти файлы, так и копировать на диск.

LattyF пишет

А вы хотите популярности. Оперу ругаете.

Не знаю на счёт оперы, я уже более двух лет её просто в глаза не видел, но если фокс всякую фигню будет исполнять, то мне придётся запретить его у себя на предприятии (на более чем двух стах компах), мне дешевле какой нибудь lynx поставить, чем отгребать потом проблем).

Кстати, в осле эту фишку уже отключили, обещали вообще убрать такую возможность.

Думаю дешевле придерживаться той практики, которая была принята ещё до осла, той условности, которой придерживаются другие браузеры. Зато если чётко знать, что в браузере только качать, в менеджере файлов выполнять, то можно добиться хоть какого то порядка. Да, безобразно, но зато единообразно, ну и спокойнее.


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№3014-08-2006 13:28:49

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

Всё проверять?

Достаточно проверить его «исполняемость» :) Других способов запустить файл «просто так» я не знаю.

для URL ресурсов не значения

Есть такой url-handler — file:///
Достаточно подправить его обработчик.

Да, безобразно, но зато единообразно, ну и спокойнее.

Что есть, то есть. Хотя достаточно просто посмотреть на реацию «чайника», который «жму, а оно не запускается». Вот ему очень долго придеться объяснять, что хорошо, а что плохо.

Кстати, ставить xpi с сайтов тоже потенциально опасно. И ведь есть окошко, если пытаешься ставить с недоверенных сайтов. А ведь намного проще было просто запретить ставить. Разве не так? Чем xpi отличается от исполнимых файлов? С точки зрения безопасности вообще ничем. Тот же вирус. А с локальных дисков они вообще ставяться сразу, без всяких окон. Mozilla свои расширения не подписывает, всегда красная надпись. О чем тут можно рассуждать?

xpi ставить получается можно, потому что это «своё», а вот sh запустить нельзя, потому что лень написать обработчик…


Black holes were created when the God divided by zero.

Отсутствует

 

№3114-08-2006 16:24:07

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

LattyF
Я уже писал выше, дело не только в запретах на выполнение, дело ещё и в обработчиках файлов, например у картинок один обработчик, у PDF другой (как правило отдельное ПО), для запуска файлов на выполнение нужно писать отдельный модуль-обработчик, который создавал бы процесс, передавал бы ему окружение среды, хандлеры окна и т.д. А затем инициировать запуск программы. Это только для MZ и PE файлов, а для ELF и a.out файлов, да ещё в иксах несколько иначе, там ещё и терминальный процесс надо создавать. Есть и ещё одно НО, не мало сайтов базируются на CGI сделанных при помощи тех же exe файлов написанных на C, C++, Basic, Pascal. И как же должен будет реагировать в случае выполнения вот такого URL:

http://my.site.ru/index.exe?view=full

?

Он что, страницу должен выполнять? Т.е. браузер должен создать процесс, передать ему системное окружение, хандлеры окна, загрузить в память файл index.exe (напоминаю, что в нашем случае это CGI программа, которая возвращает HTML код), ну и запустить программу на выполнение. И что мы получим?

Как обрабатываются файлы браузерами сейчас:

1. Если веб сервер передал браузеру тип файла, то смотрится список mime/type отношений, если браузер сам поддерживает этот mime/type (такие как plain/text, plain/html, image/gif, etc), то он сам его обрабатывает, картинку показывает, текст отображает, хтмл преобразует, форматирует, размечает, и собственно, тоже отображает.

2. Если веб сервер не передал тип файла, то смотрится локальный список соответствий расширений mime типам, затем смотрится соответствие программ и если браузер поддерживает этот тип, то он его обрабатывает.

3. Если браузер не умеет обрабатывать указанный тип файла, то он смотрит какая программа обрабатывает этот тип (в винде он просто у системы спрашивает, в линуксе он может спросит как у графической среды, например KDE, или может иметь свой список соответствий) и просто скармливает ей.

4. Ну и если у типа файла не нашлось ни папы, ни мамы, то он просто тупо предлагает его скачать.

О чём это я, ах да, откройте вот эту ссылку в соседнем окне, красивая такая собачка да? Представьте себе если браузер вместо показа этой картинки будет всегда предлагать выполнить, или выполнять?

Поверьте мне, как нелюбителю собачек, лучше и спокойнее когда файл выполняется руками, бог его знает что и как запустит браузер, или чего он откажется отображать как текст (если экзешник - CGI).

Что по поводу глюков и чайников, тот чайник, которого описали вы, видимо очень любит думать, иначе он бы вообще не додумался что файл должен выполняться браузером а не системой. Такому чайнику, ИМХО, нужен кипятильник.

Нормальная реакция, как минимум наших пользователей (а те такие чайники, что даже кипятильники тут бесполезны), не запускается в браузере - видимо и не должно, запустит в проводнике.

А то так и редактор edit заставят файлы по ссылке выполнять, или просмотрщик less(more).

По поводу изменения обработчика file://:

1. изменять его - это значит отходить от стандартов
2. file://, http://, ftp://, smb://, ldap://, etc - это всего лишь протоколы передачи данных, фиолетово каких, и обработкой этих данных они не занимаются, обработчику этих протоколов вообще фиолетово - картинка это или экзешник. Самый простой пример такого обработчика - консольная качалка wget, всё качает, но не более. Ну так вот, обработчик протокола скачал ресурс (любой) по указанному протоколу и отдаёт скачанное браузеру, который с этим (скачанным) что-то уже делает. Ну и что вы хотите менять в протоколе передачи данных file://? Это я о том, что модуль обработки данных по типам абсолютно не зависит от модуля получения этих самых данных.

Надеюсь теперь вы понимаете почему нет смысла менять обработчик протокола передачи данных file://?

И последнее, вернее два последних:

1. запуск файлов в лисе не запрещён, он просто не реализован (вернее нет обработчика этих типов).
2. сюда зайдите, а если это вам выполняться полезет?

Отредактировано ladserg (14-08-2006 16:27:13)


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№3214-08-2006 18:31:34

Lain_13
Забанен
 
Группа: Members
Откуда: Волшебная Страна
Зарегистрирован: 26-04-2006
Сообщений: 10320

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

ЭТО выполнятся полезть в принципе не может...
Потому, что сервер с того края сообщает, что это не выполнимый файл... А страничка. И хоть лбом апсетнку бейся. Не будет оно его качать и исполнять. При любом обращении к CGI сервер его отлавливает и выполняет CGI, а под его именем выдает то, что CGI сгенерировал. И СООБЩАЕТ ЧТО ЭТО СТРАНИЧКА-НАХ А НЕ ИСПОЛНИМЫЙ ФАЙЛ-НАХ!!!
В каждой операционке есть 1 комманда запуска исполнимых файлов. ОДНА! Дальше разбирается операционка, что с этим файлом делать. Так его запустить или открыть при помощи чего-то другого.
В фоксе есть явно обозначенные участки кода, отвечающие за блокирование элементов управления в окне открытия файлов. Правда их удаление не помогает... Странно... Может прописать активацию... Как нить попробую...
Я тоже считаю, что запускать что попало не стоит, но хочется сломать этот запрет... Просто из вредности... Такой уж я...
з.ы. Все таки попробую... Если что-то выйдет - отпишусь...

Отсутствует

 

№3315-08-2006 00:15:45

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

ladserg, ты издеваешься что ли? Ну давай я тебя тоже буду отсылать по учебным и справочным ресурсам. Кому от этого лучше-то станет? Еще по разику все прочитать? Может тогда лучше отдельный топик завести — «Вся документация по проблеме запуска файлов из браузера, которую вы только можете придумать»…


Black holes were created when the God divided by zero.

Отсутствует

 

№3415-08-2006 08:05:02

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

LattyF
Ладно, скажу проще - лично я против какой либо возможности запуска исполняемых файлов в браузерах. И останемся каждый при своём мнении.


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№3503-01-2007 12:45:59

victor630
Участник
 
Группа: Members
Откуда: г.Ульяновск
Зарегистрирован: 17-10-2006
Сообщений: 3

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

IE Tab
Для перечисленных здесь сайтов всегда использовать "встроенный" IE
file:///*.exe

Отсутствует

 

№3603-01-2007 21:07:20

dvdianov
Бывший хомяковод
 
Группа: Extensions
Откуда: Красногорск
Зарегистрирован: 12-06-2006
Сообщений: 1601
Веб-сайт

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

Я с ladsergом согласен. К чему браузеру такая возможность?

Отсутствует

 

№3703-01-2007 22:00:18

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

К чему браузеру такая возможность?

Осталось только выкинуть из Firefox'a Gecko и по секурности он переплюнет вообще всех. Будет скачивать страницы и сохранять на винт, а как их посмотреть-то мы всегда найдем, ведь так?


Black holes were created when the God divided by zero.

Отсутствует

 

№3804-01-2007 01:49:45

exlex
 
Группа: Members
Откуда: Kanash
Зарегистрирован: 16-06-2005
Сообщений: 691

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

LattyF
ненадо демагогию разводить.. эти *.exe к сёрфингу по www ничего общего не имеют, если кому очччень нужно пусть сами извращаются


Я — внутри; смысл — вне © Генри Лайон Олди «Человек Номоса»

Отсутствует

 

№3904-01-2007 09:32:48

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

если кому очччень нужно пусть сами извращаются

Да мы и так очччень извращаемся, когда фокс юзаем :) Чего только HandyCache вместо кеша фокса стоит…


Black holes were created when the God divided by zero.

Отсутствует

 

№4004-01-2007 22:19:06

Anonymous
Участник
 
Группа: Members
Зарегистрирован: 29-06-2005
Сообщений: 59

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

LattyF:
>Если файл уже есть на локальном ресурсе, значит этого захотел пользователь.
например, пользователь nobody/guest- а ссылку будет открывать root/(как бишь его?) - и ага,- локальное повышение привилегий.
И потом, далеко не все что уже есть на диске, можно безболезненно запускать- reboot.com/format.exe/remoteadmin.exe(вроде в винде же есть что-то такое?) - мало-ли что можно придумать, что-бы навредить пользователю? (Я, например, назначение и 10% программ в C:\Windos\* не знаю- от программ для отправки списка mp3 в RIAA(для проверки "подлинности") при установке сервис-паков отказаться небось уже нельзя?:)


2ladserg:
примеры про Linux в основном, мимо- но правильной(IMXO) сути это не меняет

Отсутствует

 

№4114-01-2007 22:29:10

djet
Участник
 
Группа: Extensions
Откуда: 404 Not Found
Зарегистрирован: 20-11-2004
Сообщений: 2611

Re: Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

А где начало темы, что-то никак не могу найти? Мне тоже нужно запускать .ехе.


Без бага и ошибки я софт Mozilla не люблю!
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1
Microsoft® Office Outlook® 2007 (12.0.4518.1014) MSO (12.0.4518.1014)

Отсутствует

 
  • Форумы
  •  » Флейм
  •  » Запуск EXE-файлов из браузеров (продолжение одной скандальной ветки)

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]