V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  iugo  ›  全部回复第 38 页 / 共 119 页
回复总数  2361
1 ... 34  35  36  37  38  39  40  41  42  43 ... 119  
2016-06-28 10:27:56 +08:00
回复了 iugo 创建的主题 程序员 民间布道: 让 Web 服务使用 HTTPS
@codesun HTTPS 再不安全, 再漏洞, 也是比明文的 HTTP 安全的. 也就是说所有安全方面, HTTPS 的下限是 HTTP.
2016-06-28 10:24:43 +08:00
回复了 iugo 创建的主题 程序员 民间布道: 让 Web 服务使用 HTTPS
@codesun 我是这样理解的: 一个东西, 只要有用, 就可以用. 而不是只有完美了, 我们才应该用.

我看到的您的用词是这样的: "完全", "任何".

没什么东西是完全和任何的.

我觉得我之前的回答也不够准确, 重新回答一下:

HTTPS 就能完全避免中间人攻击了吗?好像不是吧。。。
不能完全避免, 但能很大程度上减少.

任何信息都需要保证安全吗?好像不是吧。。。
有些信息是必须保证安全的, 有些环境是必须保证安全的. 比如网银登入, 比如运营商劫持, 广告严重的环境.

TLS 协议本身没有任何漏洞吗?好像不是吧,可能只是目前未发现罢了
这个逻辑我就不说了. 我觉得不可思议, 但和 HTTPS 本身讨论没什么关系.

1. 再重申一遍, 强调 "完全", "任何" 这样的词是不恰当的.
2. 不是只有完美了才能用, HTTPS 解决 HTTP 的问题, 就能用. 目前国际主流浏览器(Firefox, Chrome, Safari, IE Edge)对更先进的协议 HTTP/2 的支持也有前提, 就是 over TLS, 参考 http://caniuse.com/#feat=http2

---

另外, 证书存在的意义就是伪造成本非常高. 伪造证书会被浏览器阻止访问, 除非用户强制. 比如 12306.cn 的证书是国际主流浏览器不认的, 因为它自签名, 浏览器会阻止访问.

隐患在于用户会自行安装不安全的根证书. 而又无法避免这些不安全的根证书乱发证书.
2016-06-23 18:01:38 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@sagnitude 另外, 除了性能, 开发效率也应该被考虑. 我想您应该不会去使用 RoR, 但是这代表一些人的开发态度. 是否被恶心到, 冷暖自知.
2016-06-23 17:58:21 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@sagnitude 感谢. 吐槽只是附带.

不知道我总结后, 学到的这样的观点是不是正确: QQ 浏览器开发团队的 X5 比市场上一大部分 Android WebView 都可靠. 要做得更好, 比如像 Chrome 一样成本是巨大的, 所以不做.

我也不想用 polyfill, 希望一些特性得到浏览器重视, 所以有此一问. 有些问题是 polyfill 解决不了的, 如我的第二个例子 execCommand, 可能因为会带来安全问题, 所以移动端 Safari 也没有支持.

或许有比 X5 更好的, 我能想到的就是 Chrome WebView, 这样能让微信开发更少坑. 这就是我的想法.

之前您说的, 如一些特性的文档及适用范围, 我觉得和主题无关, 没必要科普. 浏览器支持, 不能只和 Safari 比, 也该和 Chrome 比.

其他非技术的就不说了. 我的观点没有参考价值.
2016-06-23 17:41:50 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@morethansean 目前 X5 的渲染引擎应该是基于 WebKit, 但给我的感觉和 Chromium 相差比较远, 许多特性没有得到支持.

我仅仅是从 Web 开发的角度看, 觉得 X5 不理想. 又想到既然有些版本的微信可以使用 Chrome 内核(Chrome for Android), 为何不将其替换掉 X5?

现在看来, 内置 X5 以外的 WebView 难度是很大的, 而 X5 也还堪用. 所以微信团队做了目前这样的设计.
2016-06-23 17:31:42 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@morethansean 对不起. 没有校对文字...
2016-06-23 17:31:10 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@morethansean ... 抱歉, 口气太厉害了. 对比起.

只是觉得自己已经说到的东西再被重新灌输, 要不就是没认真看文章, 要不就是把我当纱布. 所以带了戾气.

我又看了遍我的话 "重点在 2, 3 点的话. 我只能说, 请看清原文再继续讨论, 否则风马牛是互相浪费时间."

可能是我主谓宾分得不开. 第一个句号后面的话不是针对任何某一个人. 只是简单地认为, 对一个求教素菜如何烹饪的人, 植物种植专家讲食物如何有营养, 即便专家费心尽力, 可是对双方, 都无助益.

不针对任何人, 只是说这种行为对双方没有帮助.

如果我问题没描述清楚, 抱歉浪费大家时间了.
2016-06-23 17:02:45 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@wzxjohn 我原来的帖子中已经说三点并且加了自己简短的分析, 没想到楼会歪.

我的手机是几乎原生的 Android 5.1, Google Play 上装的微信.

一些小玩意, 我在自己的手机上测试没问题, 可其他人的 Android 手机上都出了问题. 然后做了小范围 UA 调查发现大家的微信几乎都是 MQQBrowser 6 (好像也标了 Chrome 31)版本, 我的是 Chrome 51 版本.

微信有些地方还是会使用 Chrome WebView 的, 说明微信对 X5 并不绝对支持. 所以才有此一问.
2016-06-23 16:41:19 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@wzxjohn
@fyooo

附言 2, 不重复了.

另: @sagnitude 说到的蓝牙部分, 因为以前没接触, 所以很受教. 但其他, 我不觉得技术上有什么我之前没注意到的地方. 至于观点问题, @fyooo , 不是我先提起来的, 观点之争也不是本帖的目的.

> Safari webkit 不能用,老的 Android webview 不能用,楼主你就不该用 fetch ,这个组件本身就不应该被用作移动端开发

这是技术层面的吗? polyfill 的存在不就是为了让一些新技术能在老设备上兼容吗, 技术上何来不能用只说?

> 没有用户需求,就不需要开发者,开发者不是和用户对等的

这是技术层面的问题吗? 是不是方向性的问题?
2016-06-23 14:59:50 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@morethansean 重点在 2, 3 点的话. 我只能说, 请看清原文再继续讨论, 否则风马牛是互相浪费时间.
2016-06-23 14:42:04 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@sagnitude

您说的第一点和第四点可能是题解. 我没做过 Android 开发, 如果开发中集成 Chrome WebView 难度大, 那这的确是很可信的一个理由.

关于第二, 第三点. 要不要用系统的 WebView, 我觉得没必要再说了吧, 再次引用主题帖中我已经说过的:

> 可以跟随系统使用系统的 WebView. 弊端可能是国内环境乱象, 系统的 WebView 大多不是 Chrome, 可能更坑.

顺便说下 fetch, Safari 的确不支持, iOS 7 连 Promise 都不支持. 这些通过 polyfill 都能解决. 但这不是拒绝的理由吧? 因为一些东西不支持, 就不该用?

这已经是个世界观的问题了:
- 一些国内浏览器不支持 HTTP/2, 运维人员就能在优化服务让能用 HTTP/2 的人用上?
- 浏览器对 ES6 支持有待提升, 开发者就不该用 ES6 语法做开发?
- 不考虑什么新功能, 那就不会有以前 io.js 的分裂和现在浏览器版本号的比赛.

再说另外一个产品观的问题:

> 没有用户需求,就不需要开发者,开发者不是和用户对等的

微信可以不考虑开发者, 没问题. 只不过在我个人看来, 微信是希望吸引开发者依赖微信开发更多所有 "轻应用" 的. 当然, 也可能我错了, 微信才不管开发者, 微信有用户, 如果开发者想要用户, 要巴结着微信.
2016-06-23 14:14:36 +08:00
回复了 iugo 创建的主题 程序员 民间布道: 让 Web 服务使用 HTTPS
@codesun

HTTPS 就能完全避免中间人攻击了吗?好像不是吧。。。
举个 HTTPS 毫无帮助的例子吧.

任何信息都需要保证安全吗?好像不是吧。。。
好像只有您提到 "任何" 这两个字了吧?

TLS 协议本身没有任何漏洞吗?好像不是吧,可能只是目前未发现罢了
这个是神逻辑. 如: 我是活在(黑客帝国的)母体中而不是物理现实中吗? 好像是吧, 可能只是我目前未发现证据罢了.
2016-06-23 11:00:37 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@just4test
@daodao
@hhh

参考 @SourceMan 给的链接. 腾讯浏览服务, "即可解决一切令开发者们头疼的问题,为用户提供最优秀的浏览体验". 这句话一半说开发者, 一半说用户. 可以看出开发者的重要性吧?
2016-06-23 10:49:13 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@just4test 你说这话是在回答 "微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?" 这个问题吗?
2016-06-23 10:46:05 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@just4test 我觉得我已经说得比较清楚了:

> 微信既然想吸引开发者, 就应该在乎开发者的需求, 减少开发者的负担, 比如在适配上的工作量, Chrome 版, Safari 版, 再来个 MQQBrowser 版, 好累呦.

> 不支持 fetch, execCommand 等, Chrome WebView 支持.
2016-06-23 10:44:21 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@kikyous 我接触到的 非大陆国行的手机 微信都使用系统的 WebView. 国行的都不支持.

但是对于大多数用户来说, 都使用国行手机. 都是 MQQBrowser.

既然微信允许系统使用 Chrome WebView, 为什么不干脆内置 Chrome WebView 呢?

WebView 的限制? 还是微信不想用?
2016-06-23 10:40:09 +08:00
回复了 iugo 创建的主题 程序员 微信 Android 大陆版为什么不用 Chrome WebView 而用 QQ 浏览器?
@cst4you 参考第三种选择: 既然内置了, 为什么不使用 Chrome WebView?
2016-06-20 17:19:28 +08:00
回复了 cheneydog 创建的主题 汽车 要不要买车呢?给我点建议吧。所有回复全部感谢。
卡罗拉 /雷凌 双擎.

便宜, 相对环保.

贷款买.
2016-06-19 23:28:40 +08:00
回复了 iugo 创建的主题 程序员 民间布道: 让 Web 服务使用 HTTPS
@wql 感谢。应该是我说得不准确。再补充一下:

ALPN 代指的是 The ALPN HTTP Header Field.
ALPN 是 Application-Layer Protocol Negotiation 的缩写。

This specification allows HTTP CONNECT requests to indicate what protocol is intended to be used within the tunnel once established, using the ALPN header field.

For a tunnel that is then secured using Transport Layer Security
(TLS) [RFC5246], the header field carries the same application
protocol label as will be carried within the TLS handshake [RFC7301].
If there are multiple possible application protocols, all of those
application protocols are indicated.

大概意思就是 ALPN 是 HTTP 连接请求的一个字段。在使用 TLS 通道时,会包含 handshake 信息( ALPN 主要描述请求端而非响应端信息)。

NPN 的草案: https://tools.ietf.org/id/draft-agl-tls-nextprotoneg-03.html 还没正式确认就被替代了。估计主要因为 SPDY 被 HTTP/2 替代了吧。
1 ... 34  35  36  37  38  39  40  41  42  43 ... 119  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3192 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 23ms · UTC 12:37 · PVG 20:37 · LAX 04:37 · JFK 07:37
Developed with CodeLauncher
♥ Do have faith in what you're doing.