>>21479
POSIX 1003.2 standard regexp. https://www.freebsd.org/cgi/man.cgi?query=re_format&apropos=0&sektion=7&manpath=FreeBSD 6.4-RELEASE&arch=default&format=html
Сокращений нет, “\w” =(ЕМНИП) “[:alpha:]”, “+” = “{1,}”.
Де-факто стандартизации нет. Изучай груду юникс-подобных ОС и выводи подмножество функций, применимое к ним всем. Ну или забей, если скрипт одноразовый, и ботай маны для ОС, под которую делаешь. А лучше брось это дерьмо и возьми Perl — он делает всё тоже самое, что и sed + sh, но хотя бы одинаково во всех системах.

>>21479
Так, разобрался. Надо писать

sed "s/^foo=\w\+/foo=$bar/" tst.conf

sed "s/^foo=[a-z]\+/foo=$bar/" tst.conf

sed "s/^foo=.\+/foo=$bar/" tst.conf

Еще квотить нужно ( | ). Звездочку — не нужно.
"Это нельзя понять, это можно только запонить" ©

>>21480
Перл дергать в конфигах при загрузке системы — ни разу не комильфо. Так-то конечно, на нём такое любой дурак напишет.

>>21482
При загрузках системы вообще дёргать что-то, что не находится в /bin и /sbin, противопоказано. Keep it as simple as possible.

>>21482
>man sed
>-E, -r, --regexp-extended
>use extended regular expressions in the script (for portability use POSIX -E).
Вкратце, extended regexp отличаются как раз некоторыми правилами где (не) надо бэкслешить и расширенным функционалом. Правила для этого написаны хоть на той же википедии. Basic POSIX regexp не поддерживает +, ? и | в принципе, так что лично я бы винил штульмана за такую фигню. GNU is Not Unix, GNU is Not Usable. Когда-то давно они сломали более чем одну дефакто конвенцию, лол.
https://www.gnu.org/software/sed/manual/sed.html#BRE-syntax
>\+
>As *, but matches one or more. It is a GNU extension.
Это значит, что если ты используешь sed, который не поддерживает ERE, тебе не стоит использовать ERE функции в принципе. А если ты их используешь, то обязан предоставить -E ключ (если он поддерживается, лол, и значит то, что мы хотим, ибо хз, что там в легаси может быть чисто в теории), потому что BRE и ERE не совместимы, что очень печально, но такова жызнь.

У меня вопрос по поводу XSS в SVG.
Допустим, я буду загружать потенциально опасную картинку, как

<img src='<img src='data:image/svg+xml;base64,....'/>

Насколько это будет безопасно?
Если такая картинка будет просто на странице, как картинка — скрипты не выполняются.
Если юзер попробует ее открыть — зависит от браузера. Лиса и ее клоны показывают черный экран.

А вот хром — показывает картинку и выполняет скрипт. Вопрос только — в каком пространстве он его выполняет? Сможет ли этот скрипт дотянуться под видом открывшего его юзера до моего сайта и там нагадить?

P.S. Сейчас попробую переименовать картинку в png и загрузить сюда. Если загрузится — у автобуса, возможно, проблемы с безопасностью.

>>21486
>xss.png
Поздравляю. Теперь желающие могут попробовать ее открыть в разных браузерах. Если хоть в одном откроет и вылезет скрипт — у автобуса проблемы.

Ванильная кусаба такое не пропускает, между прочим.

>>21487
У меня нигде нет. Автобус в безопасности?

>>21488
А кто же его знает. Вообще, чтобы угроза реализовалась, надо, чтобы браузер

• самостоятельно определил, что это не png, а svg
• отобразил ее после этого в режиме страницы, т.е. с полными правами.

У меня показывает саму картинку только konqueror. Но он скриптов при этом не выполняет.
Вообще, судя по >>/d/2155, сам Соус это сколько-нибудь значимой угрозой не считает. Наверное, он прав.

>>21486
><img src='<img src='
О, только сейчас внимание обратил. Разумеется, тэг должен повторяться один раз, а не два. Второй — опечатка.

>>21486
Если сохранить, переименовать в .svg и открыть фаерфоксом, то открывает, но никаких скриптов не выполняет (как я понел, там должен alert вылететь). Правда, это если не отключать носкрипт, лол. Если отключить, то выводит этот alert.
Что вообще за фигня и почему это легально? Картинка у нас теперь активный элемент?

>>21487>>21490
XSS не будет выполняться, потому что данные отдаются как image/png (ибо .png). PHP не будет выполняться, потому что у файла расширение не .php.

>>21493
>данные отдаются как image/png
А где-нибудь в спеках это четко прописано? Что типа, если svg пришел с левым mime type, то скрипты из него не выполнять?
Я сходу нашел только про запрет на скрипты, если он в тэге img/image.

И, кстати, исходный вопрос из >>21486 остаётся в силе. Если у меня на картинке svg в base64, юзер кликнет по ней "открыть картинку в новой вкладке", а браузер таки откроет — в каком контексте будут выполняться скрипты и какие угрозы от них могут исходить?

>>21494
Это не в спеках, это в том, какой хэдер отдаст сервер. Апач много не думает: видит .png - значит image/png.

Ну а в целом, если открыть неправильный svg, можно получить много весёлых вещей, да.

>>21496>>21494
Ну разве что можешь начать читатьспеки апача и его расширение по работе с MIME. И затем переключиться на другие сервера. Но в общем случае ожидай реакцию как здесь.

>>21496
>Апач много не думает: видит .png - значит image/png.

Это понятно (хотя, опять же, смотря какие модули там стоят).

Меня интересует другое — где-нибудь регламентировано, что должен/может/не имеет права делать браузер, если в заголовке указано, что это png (или еще какая абракадабра), а сам он распознал файл, как svg, и намерен его в таком виде отобразить?

>>21498
Я сам не знаю, но хочется задать еще один вопрос, в том числе тебе, если ты можешь ответить:
Где-то регламентировано, что в SVG можно встраивать скрипты, и как они будут работать? В смысле, скажем, если оно подгружается со стороннего сайта, как будет работать same origin policy? Как для стороннего сайта или как для same origin? Если сайт послабляет same origin policy, то есть какие-то механизмы отлова активного контента, то есть не SVG, а скриптов, в переданном SVG?
Мне в целом кажется, это более важный XSS-вопрос, если ответ на первый вопрос "как для same origin" или если ответ на второй вопрос "нет, стандартных механизмов нет". Это вопрос о разрешении SVG по белым спискам в принципе.

>>21499
Я пока из официальных документов по теме нашел только вот это: https://www.w3.org/wiki/SVG_Security

Еще есть Content Security Policy, но, вообще говоря, никто не гарантировал, что любой данный наперёд браузер будет его поддерживать. Скорее наоборот.
Вот небольшой обзор по использованию этого CSP (из него, собственно картинку и взял). Но полагаться на это, боюсь, нельзя.

>>21502
Спасибо.
>Я пока из официальных документов по теме нашел только вот это
Смотрим:
>Scripts must not be executed.
Лол.
Окей.
У меня правда не новейший фаерфокс. Ты проверял эту картинку как xss.svg (не .png) на последнем фаерфоксе? Просто по прямой ссылке? Это выглядит как баг, о котором следует сообщить прямо в мазилу.

>>21498
>где-нибудь регламентировано, что должен/может/не имеет права делать браузер
Есть RFC2045, RFC2046, но они не говорят, что браузер ОБЯЗАН следовать уточнённому типу. Хотя исторически это скорее так (https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types). Только в самих описаниях типов встречаются MUST.

SVG есть как в типе image, так и в типе application. Но что та, что та спецификация подразумевает исполняемый код. Решение не выполнять скрипты в первом случае полностью на совести разработчика.

>>21499
https://www.w3.org/TR/SVG11/script.html

>>21502
Расскажи лучше, как ты ссылку заинлайнил.

>>21503
>>Scripts must not be executed.
Только для тэгов img/image и подгружаемых по ссылкам внутри самого svg ресурсов. Погоди, или ты это и спрашивал? Если так, то я сторомозил…

Заметим, что если эту же самую картинку, которую мы передали через img, юзер откроет в соседнем окне — все скрипты будут выполнены. Так что как защиту этот факт использовать нельзя.

>Ты проверял эту картинку как xss.svg (не .png) на последнем фаерфоксе?
Если просто ее открыть — то скрипт и должен выполниться.
Если же ты про тест https://svg.digi.ninja/svg — то имеющиеся у меня firefox, palemoon, chromium и konqueror его проходят.

>>21503
>Это выглядит как баг, о котором следует сообщить прямо в мазилу.
Но просто по прямой ссылке - это одно, а must not be executed - это про встраивание через img.

>>21506
>как ты ссылку заинлайнил.
Вот так

>>21507
>>21508
>Только для тэгов img/image и подгружаемых по ссылкам внутри самого svg ресурсов.
А, ну да, я уже перечитал это.
Что вообще за фигня. Отключить SVG в панде тоже нельзя уже с 2011.
Как бы всегда можно использовать носкрипт на недоверенных ресурсах, но если ты разрешаешь js, то SVG - потенциально опасный элемент, и я этого не знал. Окей.

>>21506
>There are security concerns as some MIME types represent executable content.
>Решение не выполнять скрипты в первом случае полностью на совести разработчика.
Ясно. Тогда ждем виндузятников, пусть смотрят, как ведёт себя картинка из >>21486 в разных IE (и что там у них еще).

>>21516
Последние IE перешли на блинк, нет?

>>21517
А предпоследние?

>>21498
> Меня интересует другое — где-нибудь регламентировано, что должен/может/не имеет права делать браузер, если в заголовке указано, что это png (или еще какая абракадабра), а сам он распознал файл, как svg, и намерен его в таком виде отобразить?
Раньше спецификация HTTP/1.1 прямо запрещала попытки угадывания типа в том случае, если в заголовке уже указан тип, но потом решили https://trac.ietf.org/trac/httpbis/ticket/155 в новом RFC7231 просто задокументировать существующее положение дел.

>>21518
Легаси в винде - скорее легаси, а не что-то еще. Пальцем в небо - подавляющее большинство пользователей IE на венде будет пользоваться последним IE либо Microsoft Edge (кстати, я лопухнулся, это Edge на блинке, а IE нет), потому что устанавливать альтернативные версии будет нетривиально.
Это не повод игнорировать странных вендоводов, конечно, но тут я как бы намекаю на подавляющую долю хрома и blink-based браузеров на рынке в принципе. Мы находимся в стадии, когда доля фаерфокс выглядит как 10% и продолжает падать, и это наиболее конкурентоспособный гуглу продукт.

>>21521
Хм. Да, наверное так.
Действительно, рассчитывать, что кто-то захочет причинить вред сайту таким странным способом — загрузив картинку в расчете на то, что кто-то откроет ее в совсем уж экзотическом браузере — довольно странно. Своими руками этот гипотетический диверсант мог бы причинить куда больше вреда.

Так что, видимо, осталось убедиться, что последний IE с ней не безобразит — и можно вопрос о потенциальном XSS на автобусе закрывать.

>>21522
Веселье в том, что дырка, теоретически, куда больше.

>>21522
Вообще, я попытался нагуглить статистику использования браузеров по отдельным версиям IE, но это оказалось довольно нетривиально, так что я ниасилил и решил забить. Полагаю, есть некий заметный процент (отличный от десятой доли процента) каких-то специфических версий IE в использовании, но опять же, IE сейчас далеко не хозяин ситуации.

>>21523
?

>>21524
Детали тут: https://bitbucket.org/Therapont/fbe-410/pull-requests/31/imagemagick-and-ffmpeg-image-conversions/diff

У меня очередной невероятно глупый вопрос!

Есть маленькое предприятие, у него есть производство и несколько складов, в том числе, склад покупных деталей и склад готовой продукции. У этого предприятия есть некая информационная SQL-based кто бы мог подумать! система.

Так вот, первый вопрос: Как сделать журнал перемещения материальных ценностей между подразделениями? Пока мне в голову приходит сделать: 1) справочник подразделений, в журнале указывать пары («Подразделение», «Номер приходного/расходного документа») и извлекать их отдельными запросами — это, однако, требует статической (т.е. самодельной) диспетчеризации; 2) joined класс приходных/расходных документов и все подвиды описать в дочерних классах — это хорошо перекладывается на ООП без самодельных костылей, но увеличивает количество записей в базе в d раз, где d — глубина иерархии наследования.
Второй вопрос: Как наладить архивирование: а) пар поступление/реализация на складах; б) заказов на производстве; в) журнальных записей?

>>21565
А зарплатой ты с тредом тоже поделишься?

>>21567
Я и сама не откажусь от зарплаты за отвлечённое теоретизирование.

>>21565
Наследование родило больше проблем, чем решило.

Решение с продакшена.
Таблица "Журнал транзакций"
Откуда (FK), Куда (FK), Что (FK, Штуки), Сколько, Идиницы измерения (FK на Справочник единиц измерения), Как (FK, тип транзакции), Бумажка (FK, Документ транзакций)

Таблица "Справочник типов транзакций"
Таблица "Справочник единиц измерения"
Таблица "Документ транзакций"
Простые и плоские штуки.

Чем хорошо:
Новые единицы измерения легко добавляются без особых проблем.
Новые типы транзакции так же легко добавляются. Когда склад вспомнил, что у него есть такая операция, как списание, то мы просто добавили новую строку в справочник типов транзакций. Когда количество списаний стало 40 штук мы не повесились.

Какие проблемы у нас вызвал этот подход:
Непонятно, что делать с величинами, когда на складе лежит 10 коробок, передают на производство 500 метров, а обратно на склад возвращается 200 квадратных метров. Так как менеджер умеет говорить только "Да", то расходы на диспетчеризацию возросли и таблица склада стала костылём, где есть столбцы на каждый тип измерения и много-много конвертирования при каждой транзакции.

> Как наладить архивирование
Это уже вопрос бизнеса.
Там каждый квартал проводилась инвентаризация (списание по утере, восстановление из излишков, восстановление утрат, реструктуризация единиц) и всё, что было до даты инвентаризации отправляется в отдельную БД Архива (на каждый квартал своя таблица журнала). Раз в год делался дамп слишком старых архивных данных и они удалялись из таблиц Архива.

>>21574
>Наследование родило больше проблем, чем решило.
Пока из проблем вижу только те, что имеются в стратегиях JOINED и SINGLE_TABLE, и некоторый гемор с написанием откровенно одинаковых классов для каждого подразделения. С другой стороны вижу довольно простой журнал, в котором необходимый минимум инфы.

А вот перекладывание на журнал ведения приходно/расходной документации мне не нравится. Хотя бы тем, что коль скоро организация разрастётся, даты расхода и прихода перестанут совпадать, а у тебя время перемещения и его состояние нигде не отражены.

>Непонятно, что делать с величинами, когда на складе лежит 10 коробок, передают на производство 500 метров, а обратно на склад возвращается 200 квадратных метров.
А единицы измерения — это разве не свойство того, что перемещают? По идее возврат должны оформлять с приходного документа. Или как, взяли комплект, вернули некомплект?

>всё, что было до даты инвентаризации отправляется в отдельную БД Архива (на каждый квартал своя таблица журнала)
Т.е. по технической части — сделай копию базы, обзови её «Архив».

>>21584
>Пока из проблем вижу только те, что имеются в стратегиях
¯\_(ツ)_/¯
Собери митинг и пусть команда с умным видом постоит у доски и порисует всякое.
Может найдутся подводные камни.

> Хотя бы тем, что коль скоро организация разрастётся, даты расхода и прихода перестанут совпадать, а у тебя время перемещения и его состояние нигде не отражены.
Я забыл не только про даты, но и про исполнителей, контроллёров, ответственных, версионность, статусы и кучу другой ебанины. Но суть ты уловил.

> коль скоро организация разрастётся,
Бестолково закладываться на глобальный рост.
Как пример, те три месяца проектирования и шесть месяцев разработки сервиса, способного выдержать 300к в секунду лучше было бы потратить на фичи, тестирование и всё такое. А потом допиливать куски по требованиям бизнеса. А то можно оказаться с серваком, который держит 150к в секунду при пиковой нагрузке 2 в час.

У тебя, кстати, коробочное решение или внутренняя разработка?
Если внутренняя, то сходи на производства и склады с блокнотом и аналитиком и посмотри, как работают и что надо.
Если коробка, то пусть аналитики соберут инфу по самым крупным потенциальным покупателям.

> Или как, взяли комплект, вернули некомплект?
Разным производствам и разным залам удобней вести учёт расхода в своих единицах, потому, что они привыкли. Менеджер сказал, что не проблема, пусть ведут, как удобно, умный компудахтер всё посчитает.

> Т.е. по технической части — сделай копию базы, обзови её «Архив».
Несовсем. Да, Архив это отдельная БД, доступная только для чтения. На случай, когда надо заниматься расследованиями и искать перерасход самоклеющейся плёнки.
По сравнению с основной базой там нет многих штук.

>>21620
“What one fool can do, another can.” :-D Конструкторская деятельность по Анохину — итеративный процесс бесконечного сближения желаемого и действительного. За желаемым лучше ходить к заказчику, за действительным — шерстить StackOverflow с sql.ru и подглядывать за конкурентами. В процессе не одну доску измалюешь прежде чем родишь что-то, что можно начинать кодировать. Напрягать людей, которые просто вне контекста этих итераций, не очень-то и умно, если только на рандом не уповаешь.
>Бестолково закладываться на глобальный рост.
Ну, рост, он не только внешними причинами вызывается, но и внутренними. Сам бизнес может усложниться, потребуется отражать новые методы. Чтобы допиливать куски по требованиям надо сначала в архитектуру заложить модульность, а в модель — некоторую избыточность. Так что я пока в этом напралении двигаюсь, по перформансу смотрю только, чтобы откровенной лажи, вроде трёхста джойнов на полиморфный запрос, не было.
>У тебя, кстати, коробочное решение или внутренняя разработка?
Внутренняя. Небольшая организация, не особенно много документов, много специфики и сложных отношений с поставщиками и заказчиками, т.е. декларативно модель не описывается хотя, как конечный автомат — вполне себе, лол.
>По сравнению с основной базой там нет многих штук.
It depends... Надо, например, смотреть, что закупалось под аналогичные заказы, т.е. по архиву нужен поиск. Справочники можно не архивировать, да, при условии, что из них ничего не удаляют.

Вопрос администрации: бамп-лимиты для закрепленных нитей уже отменили, или всё же нужно создать новую?

>>21629
Я не администрация, но считаю, что стоит осуществлять ротацию тредов, чтобы не плодить толстенных левиафанов, подвешивающих браузеры на пару секунд. Это даже не пожелание: я считаю, что это хорошая практика.

>>21630
Хорошей практикой считается не навешивать на страницу дурацких скриптов и CSS3-стилей, которым в обязательном порядке нужен аппаратный рендеринг. А то потом проблемы тормозов начинают решаться в духе Гашека и того еврея из анекдота, который ищет там, где светло. А если говорить про скорость открытия страничек, то 0.5-2 секунды в зависимости от провайдера, фазы Луны и погоды в Зимбабве идёт только коннект и с этим вы ничего не сделаете.
Дурацких скриптов здесь нет, тяжелых стилей по умолчанию тоже нет.

Со стороны узабилити неплохо было бы иметь пагинацию, поскольку на мобилах скролл не через жопу сделан только в “Baidu Browser”. Однако большинство мобильных пользователей использует сторонний фронтенд костыль, который, очевидно, пагинацию и скролл может сделать самостоятельно.
Так что это тоже не проблема.

Остаётся только бэкенд и хостинг. Насколько тяжело будет генерировать страницу в которой больше, чем пять сотен постов? Насколько тяжело будет отдавать такую страницу?

>подвешивающих браузеры на пару секунд
Как там в 2005-м?

>>21632
У меня заметна разница между открытием всего треда, и "последних пятидесяти сообщений". Коннект тут ни при чем, браузер делает то же самое для страниц из file://
Ну, может не на пару секунд, но для тысячи сообщений эта разница будет еще больше. Мне не особо важны детали (хотя я бы съежил максимум постов в треде до сотни), важен принцип - недопущение тяжелых страниц.
Еще в принципе возможен вариант когда кто-то будет грузить страницу в мегабайт-два через, скажем, полумегабайтный коннект. Этого тоже неплохо бы избегать.

>>21633
А какие-нибудь объективные причины, оправдывающие существование принципа будут? Со стороны даже самодельного фронтенда, который этот форум рисует в браузере, я причин не нахожу. Может вы перепутали форум с чятиком?

>>21634
Непонятно сравнение с форумом, потому что на форумах обычно всегда есть пагинация по количеству постов гораздо меньшему, чем 500.

>>21635
Борда — это, внезапно, древовидный форум. Форумы были распространены в эпоху диалапа, поэтому пагинация на них была жизненно необходима. Необходима не от того, что браузер давился тяжелыми документами, а потому, что страницы генерировались динамически, ибо имели для отображения динамический контент, и давился ими сервер, иными словами, GET-запрос имел значительную стоимость. Собственно проблема актуальна и по сей день. Статика в свою очередь отдаётся бесплатно, стоимость её генерации включена в POST-запрос, городить пагинацию особой нужды не стало. Были, однако, диалап, помегабайтная тарификация, тормозные машины и кривые браузеры. Сейчас и этого нет. Смысл тогда заниматься оптимизацией несуществующих проблем? Ну и форум — не чятик, — мгновенно грузиться топик и не должен.

>>21635
>Сейчас и этого нет.
Вообще говоря, есть.
>Ну и форум — не чятик, — мгновенно грузиться топик и не должен.
Может, и не должен, но чем быстрее, тем лучше.

Я не вижу смысла в этом разговоре, если ты не создатель этих тредов.

>>21629
Какой-то дурацкий вопрос в контексте треда № 4.

>>21636
>Статика
Модерка через динамику делается.

Cделали новую нить >>/dev/21641
Закрепите её вместо этой, пожалуйста.

>>21637
>Вообще говоря, есть
На уровне HTML4 и CSS2 таки нет. Странички отображаются одинаково, костылей и хаков под каждый браузер нет.
>Может, и не должен, но чем быстрее, тем лучше.
«Что русскому хорошо, то немцу — смерть.» Кому лучше и для чего?
>Я не вижу смысла в этом разговоре, если ты не создатель этих тредов.
Его и не было изначально. Вы, однако, продолжаете со мной спорить, значит вкладываете в разговор какой-то свой локальный смысл; иначе занялись бы более осмысленными делами вместо того, чтобы обсуждать, как распорядиться тем, что нам обоим не принадлежит.