Disons qu'il y a le fait que ça consomme pas mal de ressources, surtout si chaque application vient avec son interpreteur, qui va faire sa propre compilation en jit sans garder les ressources en commun. Le JIT, comme pas mal de chose c'est un choix entre gagner du CPU en perdant de la mémoire. Et donc ouais, les applis electrons vont bouffer une tonne de ram. Et parfois aussi une tonne de cpu quand même...
Ensuite, y a le fait qu'electron, de part sa nature, vient avec son jeu de failles spécifiques peu courante sur le desktop (genre xss, etc).
Enfin, comme chacun embarque son bout de chromium, c'est pas sur d'avoir un chromium à jour et on arrive avec d'autres soucis de sécurité lié à ça (même si la majorité sont sans doute pas applicable).
Et comme chaque app embarque son propre Electron, bah quand tu as un truc comme CVE-2018-1000006 , c'est pas top vu que faut que tout soit à jour.
Et le souci, c'est pas d'avoir des failles en soi. C'est du js, donc tu as pas de buffer overflow ce qui est pas mal. C'est plus que par la nature du framework et de la facon dont les gens utilisent ça, tu as des soucis. Et c'est aussi le fait que ce genre de souci sont bloqué par les browser (xss auditor, par exemple), par les serveurs webs (mod security), mais qu'il y a rien sur le desktop, ce qui est pas terrible.
Ensuite, y a sans doute aussi un peu de mauvaise foi, parce qu'aucune technologie n'est parfaite, mais si une techno est populaire, il va forcément avoir plus de gens qui râlent sur ça.
[^] # Re: Et avec Github...
Posté par Misc (site web personnel) . En réponse au journal Microsoft rachète Github. Évalué à 8.
Disons qu'il y a le fait que ça consomme pas mal de ressources, surtout si chaque application vient avec son interpreteur, qui va faire sa propre compilation en jit sans garder les ressources en commun. Le JIT, comme pas mal de chose c'est un choix entre gagner du CPU en perdant de la mémoire. Et donc ouais, les applis electrons vont bouffer une tonne de ram. Et parfois aussi une tonne de cpu quand même...
Ensuite, y a le fait qu'electron, de part sa nature, vient avec son jeu de failles spécifiques peu courante sur le desktop (genre xss, etc).
Voir par exemple: CVE-2018-10994 (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injection/ et https://thehackerblog.com/i-too-like-to-live-dangerously-accidentally-finding-rce-in-signal-desktop-via-html-injection-in-quoted-replies/index.html ).
Enfin, comme chacun embarque son bout de chromium, c'est pas sur d'avoir un chromium à jour et on arrive avec d'autres soucis de sécurité lié à ça (même si la majorité sont sans doute pas applicable).
Et comme chaque app embarque son propre Electron, bah quand tu as un truc comme CVE-2018-1000006 , c'est pas top vu que faut que tout soit à jour.
Et le souci, c'est pas d'avoir des failles en soi. C'est du js, donc tu as pas de buffer overflow ce qui est pas mal. C'est plus que par la nature du framework et de la facon dont les gens utilisent ça, tu as des soucis. Et c'est aussi le fait que ce genre de souci sont bloqué par les browser (xss auditor, par exemple), par les serveurs webs (mod security), mais qu'il y a rien sur le desktop, ce qui est pas terrible.
Ensuite, y a sans doute aussi un peu de mauvaise foi, parce qu'aucune technologie n'est parfaite, mais si une techno est populaire, il va forcément avoir plus de gens qui râlent sur ça.