Zjavne je to všetko spôsobené tým, že Safari / WebKit pridáva „(a)“ do reťazca používateľského agenta prehliadača. Safari sa začalo hlásiť ako „Version/16.5.2 (a) Safari/605.1.15“ (pre stručnosť skrátené). Mám podozrenie, že (a) vo verzii zlomil takmer každý analyzátor reťazcov používateľského agenta. Keď som to odstránil z používateľského agenta pomocou devtools, stránky fungovali dobre s rýchlou reakciou zabezpečenia.
Chápem, že v niektorých ohľadoch to nie je chyba spoločnosti Apple, ale ako sa niečo také môže dostať cez kontrolu kvality?
Dalo sa to pekne otestovať a potom naraziť na vrásku zostavenia/nasadenia, s ktorou sa rýchlo vysporiadali pridaním „(a)“ do používateľského agenta. Vo všeobecnosti by zmena reťazca používateľského agenta nemala veci pokaziť, ale v praxi spôsob, akým mnoho stránok závisí od používateľského agenta, ďaleko presahuje jeho zámer a s nedostatočne navrhnutými analyzátormi/záložnými funkciami (v porovnaní so vzorkovaním iných, priamejších a konkrétnejších spôsobov chápania prehliadačov schopnosti).Aleamapper povedal:Chápem, že v niektorých ohľadoch to nie je chyba spoločnosti Apple, ale ako sa niečo také môže dostať cez kontrolu kvality?
Kliknutím rozbalíte...
...alebo jednoducho po dokončení testovania preklepli medzeru v reťazci verzie, mám podozrenie, že medzera poruší rozsah príliš jednoduchého regulárneho výrazu.
Teoreticky je použitie „(foo)“ mimo rozsah, ak sa pokúšate ctiť semver, ale používateľské agenty predchádzajú súčasnému mysleniu semver.
kód:
::= | "-" | "+" | "-" "+" ::= "." "." ::= ::= ::= ::= ::= | "." ::= ::= | "." ::= | ::= | aktualizoval tu všetko, mac, telefóny, tablety...nič zlé sa nestalo.
Pomáhal som jej zadať objednávku na webovej stránke a pokladňa nefungovala. V každom prípade som sa pozrel, či existuje bezpečnostná aktualizácia pre Safari pre jej počítač a Áno, Tu bol. Urobil to, reštartoval, objednal znova a fungovalo to skvele, ako má.
Takže YMMV ¯\(ツ)/¯
To, že sa TBH nedokáže dostať na FB, vyzerá skôr ako funkcia ako chyba.
Nechávam ho nainštalovaný na mojich 2 počítačoch MacOS a telefóne so systémom iOS, pretože Safari nikdy nepoužívam a nemám prístup k žiadnej z webových stránok uvedených ako nefunkčné.
Prevezmem bezpečnosť cez a zlý reťazec používateľského agenta. Ak ste to naozaj potrebovali obísť, povoľte režim vývojára a nastavte vlastného používateľského agenta.
Stránky, ktoré sa spoliehajú na reťazec UA, vyzerajú ako 90. roky, ako sa tento problém ešte nevyriešil?
Problém je veľmi vyriešený pre veci, ako je detekcia funkcií JavaScriptu alebo CSS. UA sa na to už nepoužíva.Christarp povedal:Stránky, ktoré sa spoliehajú na reťazec UA, vyzerajú ako 90. roky, ako sa tento problém ešte nevyriešil?
Kliknutím rozbalíte...
Niekedy sa dá použiť na veci, ako je zobrazenie používateľskej platformy a pokynov špecifických pre prehliadač. tj používate Firefox, takže tu sú kroky na získanie verzie tohto doplnku pre Firefox.
Ale hlavne sa používa na sledovanie / snímanie odtlačkov prstov prehliadača.
vcsjones povedal:Zjavne je to všetko spôsobené tým, že Safari / WebKit pridáva „(a)“ do reťazca používateľského agenta prehliadača. Safari sa začalo hlásiť ako „Version/16.5.2 (a) Safari/605.1.15“ (pre stručnosť skrátené). Mám podozrenie, že (a) vo verzii zlomil takmer každý analyzátor reťazcov používateľského agenta. Keď som to odstránil z používateľského agenta pomocou devtools, stránky fungovali dobre s rýchlou reakciou zabezpečenia.
Kliknutím rozbalíte...
Moje čítanie IETF RFC 9110 je to"
(a)" (s úvodnou medzerou) je problém, pretože analyzátor User-Agent by interpretoval "(a)"ako začiatok ďalšieho"product[/version]".Ak by bol User-Agent "Version/16.5.2_a Safari/6051.5", pravdepodobne by to bolo v poriadku.
Pozri sekciu 10.1.5 User-Agent
kód:
User-Agent = product *( RWS ( product / comment ) ) product = token ["/" product-version] product-version = tokenoddiele 5.6.2 Tokeny
kód:
token = 1*tchar tchar = "!" / "#" / "$" / "%" / "&" / "'" / "*" / "+" / "-" / "." / "^" / "_" / "`" / "|" / "~" / DIGIT / ALPHA; any VCHAR, except delimiters(atď).
(Samozrejme to predpokladá, že implementátori skutočne používajú špecifikácie (A)BNF na písanie syntaktických analyzátorov pre IETF RFC, ktoré v praxi väčšina z rôznych dôvodov nerobí.)
Nemalo by byť kódovanie / dekódovanie videa súčasťou OS? Nemalo by byť kódovanie / dekódovanie zvuku súčasťou operačného systému? Nemali by byť rámce používateľského rozhrania súčasťou operačného systému? atď.schnackenpfefferhausen povedal:The
Kliknutím rozbalíte...
Čo robí webový stroj a java skriptovací stroj súčasťou moderného OS problémom v modernom svete mať takúto vec je základom nielen pre webový prehliadač, ale aj pre celý rad operačných systémov a aplikácií schopnosti.
Teraz, keď veci uzamknete iba na motor poskytnutý OS, môžete proti tomu viac argumentovať.
Sajuuk povedal:Iste, ale teraz existujú oveľa sofistikovanejšie metódy na snímanie odtlačkov prstov zariadení, v oblasti, v ktorej som si istý, že Facebook je už čoskoro kvalifikovaný. Moja črevná reakcia hovorí, že je to pravdepodobne niekde zle implementovaný polyfill, ktorého sa veky nedotkli.
Kliknutím rozbalíte...
Aké sú niektoré z týchto metód? Práve som sa začal učiť o reláciách PHP a používateľský agent je jedným z mála polí odporúčaných na overenie, že ste vy, a nie niekto, kto sa za vás vydáva.
Stále si lámem hlavu nad myšlienkou, že cookies už nestačia, ale zdá sa, že existujú nejaké (nevymyslené?) prípady použitia odtlačkov prstov.
To vysvetľuje, prečo som nemohol nájsť aktualizáciu, keď som včera večer skúšal zariadenia svojej manželky a detí. Nainštaloval som si na svojom iPhone a Mac Studio a nevšimol som si žiadne problémy (hoci Safari na svojom Macu nepoužívam, iba iPhone). Urobím opravu v nultom dni na niekoľkých stránkach, ktoré môžu mať problémy.
Pokiaľ ide o snímanie odtlačkov prstov, techniky, o ktorých viem, sú vo všeobecnosti založené na matici informácií o zariadení, hlavičkách a funkciách prehliadača, ktoré sú vo všeobecnosti veľmi jedinečné. Príklad si môžete pozrieť pomocou nástroja „panopticlick“ EFF: https://coveryourtracks.eff.org/.AmanoJyaku povedal:Aké sú niektoré z týchto metód? Práve som sa začal učiť o reláciách PHP a používateľský agent je jedným z mála polí odporúčaných na overenie, že ste vy, a nie niekto, kto sa za vás vydáva.Stále si lámem hlavu nad myšlienkou, že cookies už nestačia, ale zdá sa, že existujú nejaké (nevymyslené?) prípady použitia odtlačkov prstov.
Kliknutím rozbalíte...
Pokročilé metódy (opäť, pokiaľ viem) robia veci, ako je používanie plátna vášho prehliadača a to, ako konkrétne vykresľuje niečo ako ďalšiu jedinečnú množinu údajov.
Teraz, pokiaľ ide o moje skúsenosti, je to všetko pre marketing/sledovanie/retargeting na rozdiel od overovania používateľských relácií.
The sw_vers príkazový riadok tiež pridáva ďalší výstup, keď máte nainštalované RSR, ProductVersionSupplemental ktorý uvedie, že (a), ale videl som určité skripty dodávateľov, ktoré len volajú sw_vers a potom grep verzia... viete si predstaviť, že viacriadkový výsledok im teraz naruší skript!
Čím sa dostávam k jadru mojej sťažnosti – Apple má štvrťročné zisky v miliardách dolárov a napriek tomu sa nemôže obťažovať kontrolou kvality svojej práce ani implementáciou funkcií alebo riešení spôsobom, ktorý prerušujú existujúce pracovné toky používateľov/správcov/subjektov a robia to takmer hrdo, ako keby to bola vlastnosť a výhoda ich produktov a služieb, hoci náklady na toto správanie sú v skutočnosti nemerateľný. A častokrát by jednoduché úpravy ich myslenia zašli ďaleko, ako napríklad fiasko s preferenciou Bezpečnosť a súkromie panel (teraz stále spojený ako systémové nastavenie Privacy & Security) – správcovia chcú zablokovať určité nastavenia, aby používatelia nemohli blokovať ich počítačov Mac alebo obísť/odstrániť správu, ale spoločnosť Apple tam vložila tieto nastavenia ochrany osobných údajov používateľov, čo si vyžaduje účet správcu, prístup. Ako to vyriešiť? Nie, nerozdelíte súkromie na samostatnú tablu, aby ste používateľom umožnili úplný prístup, ale pridali ovládacie prvky politiky preferencií ochrany osobných údajov (PPPC), ktoré stále nedávajú správcom vozového parku možnosť, povedzme, nastaviť kameru tak, aby ju Zoom používal automaticky, ale skôr správne implementovaná umožňuje správcovi vozového parku používateľovi nastaviť kameru na používanie Zoom.
Iste, možno je toto „riešenie“ akosi bezpečnejšie, ale pre všetkých zúčastnených je to oveľa viac práce, sú tam zbytočné intelektuálne skomoleniny, ktoré nedávajú zmysel.
Nakoniec to uzavriem – čo sa stane, ak je potrebných viac ako jedno RSR, kým bude k dispozícii úplná aktualizácia operačného systému? Zvyšuje sa doplnková verzia pozdĺž abecedy od (a) po (b) alebo sú kombinované (ab) alebo sú obe potrebné a oddelené, takže hľadáte (a) (b) až byť plne aktualizovaný a možno príliš predpokladám, že ďalšie použité písmeno by mohlo byť (p) nasledované (P) a potom (le), takže by potom mohol byť plne opravený systém (jablko)?
To je, samozrejme, triviálne, až na to, že som teraz uviaznutý s „prázdnym“ odznakom na mojej ikone nastavení a extra malý oznamovací pruh v settings.app, ktorý mi stále hovorí, že bezpečnostná odpoveď je k dispozícii. Po stiahnutí aktualizácie mi to nefungovalo a teraz účinne nevedú k ničomu, keď na ne klepnete a skontrolujete. Takže teraz si myslím, že budem musieť pravidelne manuálne kontrolovať, kedy Apple znova vydá túto aktualizáciu bezpečnostnej odpovede.
Ochotne pripúšťam, že toto je ufňukaný problém typu „och, chudák“. Ide o to, že je to ďalší príklad toho, ako Apple jednoducho prejavuje ignorovanie skúseností koncového používateľa vo väčšine vecí, ktoré súvisia s aktualizáciami. V tomto prípade si myslím, že to, že systém iOS nezohľadňuje možnosť stiahnutia aktualizácie bezpečnostnej odpovede, je takmer horšie správanie od spoločnosti Apple ako skutočná chyba s touto konkrétnou aktualizáciou.