ככל הנראה כל זה נגרם על ידי הוספת "(a)" של Safari / WebKit למחרוזת סוכן המשתמש של הדפדפן. Safari התחילה לדווח על עצמה כ"גרסה/16.5.2 (א) Safari/605.1.15" (קצוץ לקיצור). אני חושד ש(א) בגרסה שבר כמעט כל מנתח מחרוזות של סוכן משתמש. כשהסרתי את זה מסוכן המשתמש עם devtools, האתרים עבדו מצוין עם תגובת האבטחה המהירה.
אני מבין שבמובנים מסוימים זו לא אשמתה של אפל, אבל איך לעזאזל דבר כזה מצליח לעבור QA?
זה היה יכול להיבדק בצורה יפה ואז להכות בקמט לבנות/פריסה שהם התמודדו איתו במהירות על ידי הוספת ה-'(a)' בסוכן המשתמש. באופן כללי שינוי מחרוזת סוכן משתמש לא אמור לשבור דברים, אבל בפועל הדרך לאתרים רבים תלויה בסוכן המשתמש הרבה מעבר לכוונתו ועם מנתחים/כשלים לא מעוצבים מספיק (בהשוואה לדגימה של דרכים ישירות וקונקרטיות אחרות להבין דפדפן יכולות).אלאמאפר אמר:אני מבין שבמובנים מסוימים זו לא אשמתה של אפל, אבל איך לעזאזל דבר כזה מצליח לעבור QA?
לחץ להרחבה...
...או שהם פשוט מיששו את החלל במחרוזת הגרסה לאחר שבוצעו כל הבדיקות, אני חושד שהרווח ישבור טווח של ביטויים רגילים פשוטים מדי.
בתיאוריה השימוש ב-'(foo)' הוא מחוץ לתחום אם מנסים לכבד את Semver אבל סוכני המשתמשים קודמים לחשיבה הנוכחית של semver.
קוד:
::= | "-" | "+" | "-" "+" ::= "." "." ::= ::= ::= ::= ::= | "." ::= ::= | "." ::= | ::= | עדכנת הכל כאן, מחשבי מק, טלפונים, טאבלטים... שום דבר רע לא קרה.
עזרתי לה לבצע הזמנה באתר והקופה לא עבדה. בכל מקרה, בדקתי אם יש עדכון אבטחה עבור Safari עבור המחשב שלה ו כן, היה. עשה את זה, הפעל מחדש, הזמין שוב וזה עבד נהדר, כמו שצריך.
אז YMMV ¯\(ツ)/¯
TBH לא יכול להגיע ל-FB נראה יותר כמו תכונה מאשר באג.
אני משאיר אותו מותקן ב-2 מכונות ה-MacOS ובטלפון ה-iOS שלי מכיוון שאני אף פעם לא משתמש ב-Safari ואיני ניגש לאף אחד מהאתרים הרשומים כשבורים.
אני אקח את האבטחה על א רַע מחרוזת סוכן משתמש. אם באמת היית צריך לעקוף את זה, הפעל את מצב הפיתוח והגדר סוכן משתמש מותאם אישית.
אתרים המסתמכים על מחרוזת UA מרגישים כל כך שנות ה-90, איך הבעיה הזו עדיין לא נפתרה?
הבעיה נפתרת מאוד עבור דברים כמו זיהוי תכונות JavaScript או CSS. UA כבר לא משמש לזה.כריסטארפ אמר:אתרים המסתמכים על מחרוזת UA מרגישים כל כך שנות ה-90, איך הבעיה הזו עדיין לא נפתרה?
לחץ להרחבה...
לפעמים זה יכול לשמש לדברים כמו הצגת פלטפורמת משתמש והוראות ספציפיות לדפדפן. כלומר, אתה משתמש ב-Firefox, אז הנה השלבים לקבלת גרסת Firefox של תוסף זה.
אבל בעיקר הוא משמש למעקב/טביעת אצבע בדפדפן.
vcsjones אמר:ככל הנראה כל זה נגרם על ידי הוספת "(a)" של Safari / WebKit למחרוזת סוכן המשתמש של הדפדפן. Safari התחילה לדווח על עצמה כ"גרסה/16.5.2 (א) Safari/605.1.15" (קצוץ לקיצור). אני חושד ש(א) בגרסה שבר כמעט כל מנתח מחרוזות של סוכן משתמש. כשהסרתי את זה מסוכן המשתמש עם devtools, האתרים עבדו מצוין עם תגובת האבטחה המהירה.
לחץ להרחבה...
הקריאה שלי של IETF RFC 9110 האם זה "
(a)"(עם רווח מוביל) היא הבעיה, כי מנתח User-Agent יפרש את"(a)"כהתחלה של הבא"product[/version]".אם ה-User-Agent היה "Version/16.5.2_a Safari/6051.5" זה כנראה היה בסדר.
ראה סעיף 10.1.5 User-Agent
קוד:
User-Agent = product *( RWS ( product / comment ) ) product = token ["/" product-version] product-version = tokenסָעִיף 5.6.2 אסימונים
קוד:
token = 1*tchar tchar = "!" / "#" / "$" / "%" / "&" / "'" / "*" / "+" / "-" / "." / "^" / "_" / "`" / "|" / "~" / DIGIT / ALPHA; any VCHAR, except delimiters(וכו).
(כמובן, זה מניח שהמיישאים אכן משתמשים במפרטי (A)BNF כדי לכתוב מנתחים עבור IETF RFCs, שבפועל רובם לא עושים זאת, מסיבות שונות.)
האם קידוד/פענוח וידאו לא צריך להיות חלק ממערכת ההפעלה? האם קידוד/פענוח אודיו לא צריך להיות חלק ממערכת ההפעלה? האם מסגרת (ות) ממשק המשתמש לא צריכה להיות חלק ממערכת ההפעלה? וכו 'schnackenpfefferhausen אמר:ה
לחץ להרחבה...
מה הופך מנוע אינטרנט ומנוע סקריפט ג'אווה להיות חלק ממערכת הפעלה מודרנית לבעיה בעולם המודרני דבר כזה הוא בסיסי לא רק עבור דפדפן אינטרנט אלא עבור מגוון של במערכת ההפעלה ובאפליקציה יכולות.
כעת, נועלת את הדברים רק למנועי מערכת ההפעלה שסופקו, אתה יכול לטעון יותר נגד.
סאג'וק אמר:בטח, אבל ישנן שיטות הרבה יותר מתוחכמות לטביעת אצבע במכשיר כעת, תחום שאני בטוח שפייסבוק מוסמכת אליו בקרוב. תגובת הבטן שלי אומרת שזה כנראה פוליפיל מיושם גרוע איפשהו שלא נגעו בו כבר עידנים.
לחץ להרחבה...
מהן חלק מהשיטות הללו? רק עכשיו התחלתי ללמוד על הפעלות של PHP, וסוכן המשתמש הוא אחד מכמה שדות שמומלץ לאמת שאתה אתה, ולא מישהו שמתחזה להיות אתה.
אני עדיין עוטף את הראש סביב הרעיון שעוגיות כבר לא מספיקות, אבל נראה שיש כמה מקרי שימוש (שלא מתוכננים?) לטביעת אצבע.
זה מסביר מדוע לא הצלחתי למצוא את העדכון כשניסיתי את המכשירים של אשתי והילדים אתמול בלילה. התקנתי ב-iPhone וב-Mac Studio ולא שמתי לב לבעיות (אם כי, אני לא משתמש ב-Safari ב-Mac, רק באייפון). אני אקח את תיקון יום האפס לגבי כמה אתרים שעלולים להיתקל בבעיות.
במונחים של טביעת אצבע, הטכניקות שאני מודע אליהן מגיעות בדרך כלל למטריצה של מידע על המכשיר, כותרות ותכונות דפדפן, שכאשר נלקחים יחד, הם בדרך כלל מאוד ייחודיים. אתה יכול לראות דוגמה לכך באמצעות כלי "panopticlick" של EFF: https://coveryourtracks.eff.org/.AmanoJyaku אמר:מהן חלק מהשיטות הללו? רק עכשיו התחלתי ללמוד על הפעלות של PHP, וסוכן המשתמש הוא אחד מכמה שדות שמומלץ לאמת שאתה אתה, ולא מישהו שמתחזה להיות אתה.אני עדיין עוטף את הראש סביב הרעיון שעוגיות כבר לא מספיקות, אבל נראה שיש כמה מקרי שימוש (שלא מתוכננים?) לטביעת אצבע.
לחץ להרחבה...
השיטות המתקדמות (שוב, עד כמה שידוע לי) עושות דברים כמו שימוש בדפדפן שלך וכיצד הוא מעבד משהו באופן ספציפי כסט ייחודי נוסף של נתונים.
כעת, ככל שהניסיון שלי מגיע, כל זה נועד לשיווק/מעקב/טירגוט מחדש, בניגוד לאימות הפעלות של משתמשים.
ה sw_vers שורת הפקודה מוסיפה גם פלט נוסף כאשר מותקנים לך RSRs, ProductVersionSupplemental שיפרט את זה (א) אבל ראיתי סקריפטים מסויימים של ספקים שפשוט מתקשרים sw_vers ואז grep הגרסא... אתה יכול לדמיין שעכשיו תוצאה מרובה שורות שוברת את התסריט שלהם!
מה שמוביל אותי לליבה של התלונה שלי - לאפל יש רווח של מיליארדי דולרים מדי רבעון, ובכל זאת לא ניתן להטריד את איכות העבודה שלהם או ליישם תכונות או פתרונות בדרכים שלא. לשבור משתמשים/מנהלים/ישויות זרימות עבודה קיימות, והם עושים זאת כמעט בגאווה כאילו היו תכונה ותועלת של המוצרים והשירותים שלהם כאשר למעשה העלות של התנהגות זו היא לְלֹא גְבוּל. ולעיתים התאמות פשוטות בצורת החשיבה שלהם היו מובילות הרבה, כמו הפיאסקו של העדפת אבטחה ופרטיות חלונית (עכשיו, עדיין משולבת כהגדרת מערכת הפרטיות והאבטחה) - מנהלי מערכת רוצים לנעול הגדרות מסוימות כדי שמשתמשים לא יוכלו לבנות מחשבי ה-Mac שלהם או להתחמק/להסיר ניהול, אבל אפל שמה שם את הגדרות הפרטיות של המשתמש, מה שמצריך חשבון מנהל כדי גִישָׁה. איך לפתור את זה? לא, לא לפרוץ פרטיות לחלונית נפרדת כדי לאפשר למשתמשים גישה מלאה אליה, אלא להוסיף בקרות מדיניות העדפות פרטיות (PPPCs) שעדיין לא נותנות למנהלי צי הכוח, למשל, להגדיר את המצלמה לשימוש על ידי זום באופן אוטומטי, אך מיושם נכון מאפשר למנהל הצי לאפשר למשתמש להגדיר את המצלמה שלו לשימוש על ידי תקריב.
בטח, אולי ה"פתרון" הזה איכשהו יותר בטוח, אבל זה הרבה יותר עבודה עבור כל המעורבים, יש עיוותים אינטלקטואלים מיותרים שאינם הגיוניים.
לבסוף, אסיים בזה - מה קורה אם יש צורך ביותר מ-RSR אחד לפני שעדכון מלא של מערכת ההפעלה הופך זמין? האם הגרסה המשלימה גדלה לאורך האלפבית מ-(א) ל-(ב) או שהן משולבות (ab) או שניהם נחוצים ונפרדים כך שאתה מחפש את (א)(ב) ל- להיות מעודכן במלואו ואולי אני מניח יותר מדי האות הבאה שבה נעשה שימוש עשויה להיות (p) ואחריה (P) ואז (le) כך שמערכת תיקון מלאה עשויה להיות אז (תפוח עץ)?
זה טריוויאלי, כמובן, אלא שעכשיו אני תקוע עם תג "ריק" על הסמל שלי להגדרות וסרגל ההתראות הקטן הנוסף ב- settings.app עדיין אומר לי שתגובת האבטחה זמינה. אלה לא הלכו כמוני כאשר העדכון נמשך ועכשיו למעשה לא הובילו לכלום כשאתה מקיש עליהם כדי לבדוק. אז עכשיו אני מניח שאצטרך לבדוק מעת לעת באופן ידני כדי לראות מתי אפל משחררת מחדש את עדכון תגובת האבטחה הזה.
אני מודה בפה מלא שזו בעיית ה"אוי, מסכן אתה" המבכיין. עם זאת, הנקודה היא שזו עוד דוגמה לכך שאפל פשוט מראה התעלמות מחוויית משתמש הקצה לרוב הדברים שקשורים לעדכונים. במקרה זה, אני חושב ש-iOS לא מתייחס לאפשרות של משיכת עדכון תגובת אבטחה היא התנהגות גרועה כמעט מאפל מאשר הבאג בפועל עם העדכון המסוים הזה.