Кому выгоден JavaScript, и почему уничтожили Sun

Сделаем небольшой экскурс в историю. На дворе 2000 год, и относительно новый язык программирования Java набирает популярность. Одной из инноваций в развитие этого языка являются микро-программы, которые окрестили апплетами. Их могут выполнять браузеры, скачивая их целиком в откомпилированном виде с веб-сайтов. Они предоставляют графический интерфейс пользователя, способны выполнять почти все задачи языка и ограничены только привилегиями, которые браузеры блокируют: запись в случайные файлы, чтение и запись в память, не размещённую для них, доступ к буферу обмена и некоторые другие. Скупой и урезанный интерфейс пользователей браузеров внезапно расширился всей мощью языка Java. И вдруг этот поезд на полном ходу врезается в опору моста, и апплетами перестают пользоваться. Что случилось?

А случилось вот что: полными и единоличными владельцами апплета являются те, кто раздают их со своих сайтов. Это нельзя допустить, потому что у Интернет должен быть один хозяин, в крайнем случае два, ну или на худой конец три. И эти один, двое или трое организовывают кампанию по дискредитации апплетов (да и языка тоже, по возможности), чтобы соблюсти свои монополистические интересы и избавиться от конкуренции. Но пользователь хочет богатого и удобного пользовательского интерфейса и широких возможностей, предоставляемых апплетами. Это желание надо чем-то удовлетворить, кинуть пользователям какую-то кость, чем-то отвлечь их. Чем же? И вот на сцене появляется уродливое чудовище, которое смердит, спотыкается, но удовлетворяет целям и задачам монополистов в Интернет, а именно помогает им всё знать и всё контролировать: JavaScript.

Чем они принципиально отличаются, спросите вы? Всем! Микро-программы на Java мог создавать каждый под свою задачу. У Java были развитые библиотеки, в том числе пользовательского интерфейса и многие другие. Производительность была на высоте. Раз создав микро-программу, её владелец ни от кого не зависел, ни в ком постороннем не нуждался, обладал контролем над её работой, и никто не мог в неё вмешаться. С JavaScript всё наоборот: у него возможностей кот наплакал, производительность хуже некуда, библиотек нет, разработка дорогая, трудная и долгая, и заниматься ею лень, да некогда. Эти проблемы надо как-то решать, и решение находится: откуда ни возьмись, появляются библиотеки, которые эти же самые монополисты от щедрот своих сами разработали и выложили в общий доступ. С чего бы, как я уже неоднократно писал, в условиях всеобщей строжайшей экономии и жадности?

Объяснение просто: эти библиотеки удобно раздавать с облаков, принадлежащих самим монополистам. Пользователи библиотек, которыми являются владельцы сайтов в Интернет, только ссылаются на уже выложенные библиотеки, но сами их не раздают. Сайт лежит по одному адресу, а библиотеки скачиваются с другого. И вот мы подошли к главному противоречию ситуации: микро-программы на Java дискредитировали, обвинив их скопом в опасности путём осуществления несанкционированных пользователем действий, хотя они попадали на компьютеры пользователя с одного известного сайта. В то же время программы на JavaScript попадают к нам иногда с десятков совершенно непредсказуемых и постоянно меняющихся адресов, но никому нет до этого никакого дела. Как так вышло, что то, о чём устроили истерику в начале 2000х годов, внезапно стало нормой, лет 10 спустя? Так работает монополия на информацию в Интернет: пользователи видят и слышат только то, что им позволяет монополист.

Куда делись микро-программы? А о них все забыли, потому что их создатель, компания Sun Microsystems, приказала всем долго жить. Они инвестировали время, силы и интеллектуальную энергию в инновации, которые на корню зарубили большие (ударение на любом слоге) игроки. Как только сказать слово в защиту Java и микро-программ больше было некому, на сцену выполз JavaScript, и разоблачить его уродливую личину тоже стало некому. И вот сегодня, заходя на почти любой сайт в Интернет, будь то торговая площадка, соцсеть, библиотека, поисковый движок или что угодно, мы почти незаметно для себя скачиваем иногда десятки самых разных библиотек на JavaScript с почти такого же количества абсолютно неизвестных нам и непредсказуемо меняюихся со временем адресов. Нормой стало то, в чём обвиняли микро-программы на Java.

Всему есть исключения. В какой-то момент компания Microsoft осознала потребность в богатых пользовательских интерфейсах и производительных программах для веб-страниц и предложила свой вариант микро-программ: Silverlight. Начался поистине золотой век развития Интернет: программы на Silverlight были практически неотличимы от таковых, работающих на самой операционной системе. Внезапно пользоваться магазинами, каталогами, картографическими и научными сайтами стало приятно и удобно. Но по какой-то причине и Silverlight тоже вымер. Я как-то пропустил этот момент и не уловил в его адрес никакой критики, ничего подобного тому, о чём трубили на каждому углу в отношении микро-программ на Java. Видимо, Microsoft тоже понял, что раздавать свою библиотеку на JavaScript гораздо выгоднее, а там и их поисковик взлетел на некоторую высоту.

Как монополисты получают выгоду от JavaScript? Элементарно! Библиотеки должны где-то храниться, чтобы быстро скачиваться на устройство пользователя. Хранилища как правило предоставляет сам монополист. В момент скачивания он узнаёт, кто за ними пришёл, откуда, и по какому поводу — с какого сайта, потому что в этот момент ему передаётся исходный адрес сайта, как «рекомендация», то есть поле в запросе, обозначающее источник. То есть вы заходите на сайт А, он использует библиотеку с сайта Б, и, несмотря на то, что вы пользователь по адресу В, сайт А получает запрос, о происхождении которого Б известны и А, и В. Это монополист Б сопоставляет эти данные и ведёт им строгий учёт. Так он узнаёт, что В заходил ещё и на сайты Г, Д, Е и ещё много других. Ценность этой информации трудно переоценить. Для Б она бесценна, потому что он может продать её всем, кто хочет знать, что делают пользователи.

Даже если ресурсы не пользуются программами и библиотеками на JavaScript, монополисты всё равно пытаются урвать своё, предлагая владельцам ресурсов библиотеки визуальных стилей, эффект от которых ничем не отличается.

Как получилось, что никто не заметил подмены понятий и не высказался против? Причин несколько. Во-первых, кто платит, то и заказывает музыку. После безвременной кончины Sun Microsystems Интернет оказался поделён между парой-тройкой монополистов, с чего я собственно начал. Они получили возможность затыкать рты, кому не надо, и давать слово, кому надо. Пользователей сбили в стада на нескольких соцсетях, и их высказывания подвергли жёсткой цензуре. JavaScript сыграл в этом немалую роль. Итог: о безопасности на устройствах пользователя благополучно забыто, обеспечить её практически невозможно, и всех это устроило. О ещё одной причине я писал в другой статье: о падающем уровне интеллекта. Пользователь уже не тот, каким был на пороге тысячелетий. Ему ничего не объясняют, ничему его не учат, а лишь тянут из него деньги, как пылесосом.

Как узнать о том, что я освещаю в этой статье? Да элементарно! Достаточно открыть закладку в браузере, нажать волшебную клавишу F12, и откроется панель, которую можно вывести в отдельное окно: средства разработчика. У него есть закладка Сеть, которая показывает каждый запрос, который браузер сделает, стоит ввести какой-либо адрес и перейти по нему.

Сделайте это, ведь результат скорее всего вас удивит: в списке появится далеко не только сама страница, но и целая куча других запросов к совершенно незнакомым адресам. На некоторых ресурсах их будут десятки, и даже когда страница вроде бы не загружается, в закладке Сеть будет происходить непрекращающаяся активность: одни программы будут загружать другие или те же самые по кругу, скачивать какие-то файлы, отправлять какие-то данные. Жуть берёт, когда неподготовленный пользователь видит это, а мы так живём. По сравнению со всей этой вознёй страшные и ужасные микро-программы на Java покажутся милыми шалунами. О том, что вы зашли на некий ресурс, почему-то должно быть известно ещё десятку-другому совершенно посторонних.

В начале 2000х для того, чтобы скачался ресурс и используемые ими микро-программы, нужны были от силы два разрешающих правила брандмауэра. Безопасность пользовательского устройства и инфраструктуры было несложно обеспечить. В наши дни эти правила практически невозможно сформулировать, потому что адреса, с которых ресурсы тянут свой JavaScript, совершенно случайны: что облаку взбредёт, оттуда оно и выдаст файл: может с Кипра, а может из Индонезии. Попробуйте закрыть своё устройство брандмауэром, и даже если вам хватит терпения и сноровки создать десятки, а то и сотни правил, всё равно автор готов биться об заклад, что большинство сайтов перестанут работать или будут работать время от времени. Возмущаться этим бесполезно: при наличии 8 миллиардов населения Земли ваши соображения глобального монополиста не интересуют, и он вас проигнорирует.

Мне возразят: появились «умные» брандмауэры, снабжённые искусственным интеллектом, которые используют облачные технологии, чтобы отсекать злонамеренную деятельность. Вы сами-то этому верите? Это точно не подсунули вам те же монополисты, чтобы срубить бабла, а заодно заморочить вам голову, никакой помощи на самом деле не предоставляя? Блажен, кто верует. На самом деле вам скорее всего подбросят троянского коня, который обнюхает всё ваше устройство, найдёт на нём все самые интересные файлы и данные, передаст их в ЦОД изготовителя, и дальше, как я упоминал выше, их агрегируют и продадут.

Пренебрежение безопасностью пользователей всех уровней поистине вопиющее. Недавно произошли события, от которых у экспертов по безопасности волосы должны были бы  по-хорошему встать дыбом, но похоже, никто не обратил внимания. Организация под названием Internet Security Research Group (ISRG), более известная под названием Let’s Encrypt, изменила условия выдачи сертификатов шифрования данных. В прошлом она выдавала сертификаты на 90 дней, а теперь будет всего на 30. Одновременно она ввела обязательное требование ко всем своим подписчикам... открыть свои сайты для доступа отовсюду в мире. Задумайтесь!

Владелец ресурса может вообще не интересоваться территориями, кроме своего региона, в силу особенностей своей деятельности, а так же может быть намеренно защищён от доступа из других регионов блокирующими правилами брандмауэров, чтобы избежать попыток взлома и несанкционированного доступа. Одним росчерком пера ISRG перечеркнула все их усилия и заставляет их или отказаться от своих услуг, или открыть себя хакерским атакам кого угодно и откуда угодно со всей планеты. С каменным лицом они заявляют, что делается это... с целью усиления безопасности, потому что якобы они должны убедиться во владении и управлении доменным именем. Это бессмыслица, но кому это выгодно? Да, увы, организованной преступности. ISRG явно создана ими и повела себя, как обычный торговец наркотиками из тёмной подворотни: заманила подписчиков обещаниями удобного предоставления услуги, а когда пользователи встроили её в свою инфраструктуру, подменила её на совершенно иную. Если раньше каждые 3 месяца ещё можно было обновить сертификаты вручную, то теперь делать это каждый месяц будет очень неудобно. Странное совпадение, не так ли?

В то же самое время организации вроде Microsoft пренебрегают безопасностью своих пользователей, так организуя функционирование услуг вроде OneDrive, Office365, Teams и других, что для их стабильной работы требуются десятки или даже сотни разрешающих правил на множество доменных имён, адресов и портов, включая незащищённый порт 80 (HTTP), по которому в наши дни вообще ничего не следует передавать. И это в век, когда взлом и утечка стали притчей во языцех. И все молчат. Почему? Да потому что мало кто вообще разбирается в вопросе. А потом мы читаем в газетах и слышим по радио и телевидению, что злоумышленники украли очередной терабайт личных данных.

И это я ещё даже не пытался, в силу отсутствия интереса, следить за поползновениями других популярных продуктов. Там тоже найдётся чернуха.

Куда ни глянь, в Интернет многое не то, за что его выдают; многое не так, как кажется; мало что остаётся стабильным и соответствует обещаниям; много кто врёт, мошенничает, выдаёт желаемое за действительность, ворует и предаёт. С Интернет следует быть крайне осторожным, никому не верить на слово, никому не доверять без веских оснований, и никому не предоставлять больше данных, доступа и возможностей, чем абсолютно необходимо. А ещё следует помнить, что сделанного в Интернет не остановить, не возвратить и не исправить: каждый щелчок мышкой, каждое касание экрана и каждое нажатие на клавишу может привести к печальным последствиям, и этого ждут и жаждут целые армии злоумышленников, тогда как друзей в Интернет практически ни у кого нет.