AB
Новые доклады будут не очень скоро
Это повод для флуда?
Size: a a a
2019 April 23
AG
Флуд? Сорри что это такое?
AG
Пример очень специфический)
И требует, скорее, изменения в архитектуре (или механизма валидации интегрируемых плагинов) :)
И требует, скорее, изменения в архитектуре (или механизма валидации интегрируемых плагинов) :)
Это просто примивный пример
D
Флуд? Сорри что это такое?
БС
Флуд? Сорри что это такое?
это когда много пишут не по теме, чат вроде посвящён конкретной конференции, а не обсуждению любых мыслей и фантазий, касаемых Java
AG
Flood значит
AG
Сорри не буду писать больше
A
Обсуждать кто за каким макбуком работает - это не флуд, ага 🙂
Но java фантазии это флуд, однозначно
Но java фантазии это флуд, однозначно
ch
Обсуждать кто за каким макбуком работает - это не флуд, ага 🙂
Но java фантазии это флуд, однозначно
Но java фантазии это флуд, однозначно
Там был конкретный вопрос с конкретным набором ответаов, а это непонятно что так как просто напросто невозможно понять обсуждения чего идёт
ch
- ПЕРЕД НАЧАЛОМ ХОЛИВАРА СЛЕДУЕТ ЧЁТКО ОБОЗНАЧИТЬ ТЕЗИС ОБСУЖДЕНИЯ, КОНТЕКСТ И ВСЮ НЕОБХОДИМУЮ ИНФОРМАЦИЮ О РАССМАТРИВАЕМОМ СУБЪЕКТЕ
ch
Правило не отсюда однако думаю оно будет тут в тему
A
Там был конкретный вопрос с конкретным набором ответаов, а это непонятно что так как просто напросто невозможно понять обсуждения чего идёт
Тут про оффтоп речь была. И @asadganiev вроде как высказал позицию и задал вопрос
ch
Тут про оффтоп речь была. И @asadganiev вроде как высказал позицию и задал вопрос
Оффтоп был и будет вопрос можно ли будет его читать не хотя убить того кто писал сообщения и как раз для этого и нужно правило которое я скинул и если его соблюдать то всем будет проще.
AG
Правило не отсюда однако думаю оно будет тут в тему
Для этого в этом канале есть три администратора, не так ли? Даже четыре
RA
Это флуд, да. Давайте закругляться
AG
Это флуд, да. Давайте закругляться
Не вопрос
VS
Я считаю что рефлексия опасная штука для продакшна в рантайме.
Сейчас поясню. Скажем у Вас есть сайт который загружает перед
запускам все его плагины из директории plugins который включен
в classpath, и читают из каждого jar файла Manifest
или другого какого нибудь файла xml, properties, yml etc
про имплементацию Plugin интерфейса и делает вот это:
Class cls = Class.forName("com.example.PluginImpl");
Plugin plugin = (Plugin) cls.newInstance();
plugin.run();
А теперь представьте что в папке plugins попался какой нибудь
jar злоумышленник, который может делать все:
- Создавать .class файлы и загружать их в jar файл
и поставить на папку plugins причем делая ее скрытой
Тут я думаю у программы появятся серъезные security issues
Как вы думаете?
Сейчас поясню. Скажем у Вас есть сайт который загружает перед
запускам все его плагины из директории plugins который включен
в classpath, и читают из каждого jar файла Manifest
или другого какого нибудь файла xml, properties, yml etc
про имплементацию Plugin интерфейса и делает вот это:
Class cls = Class.forName("com.example.PluginImpl");
Plugin plugin = (Plugin) cls.newInstance();
plugin.run();
А теперь представьте что в папке plugins попался какой нибудь
jar злоумышленник, который может делать все:
- Создавать .class файлы и загружать их в jar файл
и поставить на папку plugins причем делая ее скрытой
Тут я думаю у программы появятся серъезные security issues
Как вы думаете?
Кому-то может показаться, что это «не относится к JPoint», но серьёзно приходят заявки на доклады «о том, как делать плагины в Java приложениях».
С одной стороны, да, есть proj.jvm чат, но здесь было бы забавно обсуждать то, какие темы интересны, про какие интересно услышать доклад, а про какие перетереть в BOF-сессиях.
И, да, JPoint будет через год, а осенью будет Joker — там несколько другой чат.
С одной стороны, да, есть proj.jvm чат, но здесь было бы забавно обсуждать то, какие темы интересны, про какие интересно услышать доклад, а про какие перетереть в BOF-сессиях.
И, да, JPoint будет через год, а осенью будет Joker — там несколько другой чат.
T
Я считаю что рефлексия опасная штука для продакшна в рантайме.
Сейчас поясню. Скажем у Вас есть сайт который загружает перед
запускам все его плагины из директории plugins который включен
в classpath, и читают из каждого jar файла Manifest
или другого какого нибудь файла xml, properties, yml etc
про имплементацию Plugin интерфейса и делает вот это:
Class cls = Class.forName("com.example.PluginImpl");
Plugin plugin = (Plugin) cls.newInstance();
plugin.run();
А теперь представьте что в папке plugins попался какой нибудь
jar злоумышленник, который может делать все:
- Создавать .class файлы и загружать их в jar файл
и поставить на папку plugins причем делая ее скрытой
Тут я думаю у программы появятся серъезные security issues
Как вы думаете?
Сейчас поясню. Скажем у Вас есть сайт который загружает перед
запускам все его плагины из директории plugins который включен
в classpath, и читают из каждого jar файла Manifest
или другого какого нибудь файла xml, properties, yml etc
про имплементацию Plugin интерфейса и делает вот это:
Class cls = Class.forName("com.example.PluginImpl");
Plugin plugin = (Plugin) cls.newInstance();
plugin.run();
А теперь представьте что в папке plugins попался какой нибудь
jar злоумышленник, который может делать все:
- Создавать .class файлы и загружать их в jar файл
и поставить на папку plugins причем делая ее скрытой
Тут я думаю у программы появятся серъезные security issues
Как вы думаете?
В пределах одной джава-машины ты не защитишься никак от злоумышленников, они всегда могут сломать твой процесс, если им позволено загружать джары. SecurityManager отсекает очевидные проблемы, но есть тонна менее очевидных. Создавай докер-контейнеры, поднимай плагины там как процессы и общайся с ними по ресту, это надёжней
AA
В пределах одной джава-машины ты не защитишься никак от злоумышленников, они всегда могут сломать твой процесс, если им позволено загружать джары. SecurityManager отсекает очевидные проблемы, но есть тонна менее очевидных. Создавай докер-контейнеры, поднимай плагины там как процессы и общайся с ними по ресту, это надёжней
plugins as microservices 🤔