Názory k článku
Firefox 3.5 obsahuje kritickou chybu

s/chybou/chybu/ v titulku

že kompilování JS přinese s sebou bezpečnostní díry :-(((

Neni o nic větší důvod, proč by kompilovaný JS měl být děravý, než v případě třeba Javy nebo C#. Ale budou si to muset fixnout. ;-)

Přijde mi, že kromě absence děr v knihovně s interpretem/JI­Tem/VM/whatever je nejdůležitější mít možnost omezit spotřebu strojového času (Firefox už de facto umí) a paměti (to jsem zatím snad nikde neviděl), a zajistit, aby javascriptí heap nebylo možné spouštět (protože to se dá potenciálně zneužít i jinak než chybou v implementaci JavaScriptu). Ale jaké výhody nabídne statické typování pro bezpečnost klienta, to mě nenapadá. V nejhorším případě by skript na stránce měl selhat a zmařit tak autorovy kreativní plány, ať už zamýšlel cokoli (validace polí? animace? raytracer? :o)), ale zajistit tím bezpečnost? (Samozřejmě předpokládám, že exponovaná API nedovolují exploitaci.)

To vskutu neni… kdyz se to udela dobre, o cemz jsem prave pochyboval…

Velmi casto bezpecnostni chyby prohlizecu vyzaduji aktivni javascript (typicky kvuli heap spraying). NoScript nebo ekvivalent je proto temer podminkou (vcetne NX bitu pro stack a heap a/nebo neco jako grsecurity).

uz vysiel 16.7.

ftp://ftp.mozilla.org/…eases/3.5.1/