[pyar] Convertir HTML a PNG/JPG

[Claudio Freire]

2013/9/7 Alejandro J. Cura <alecu en protocultura.net>:
> 2013/9/6 Claudio Freire <klaussfreire en gmail.com>:
>> webkit2png no lo puedo instalar en mi server (o, más precisamente,
>> sería una patada en las tarlipes hacerlo porque tendría que compilar
>> todo, QT y XVFB incluídos)
>>
>> Cambiar mi server de distribución (a una que soporte webkit2png) no es
>> tampoco tan interesante como idea.
>
> Bugs de seguridad en webkit!
>
> Cualquiera de las opciones que te propusieron que incluyen "compilar
> algo" me parecen malas, porque al renderizar las páginas que (supongo)
> vas a crawlear vas a estar dejando que cualquiera corra código js en
> tu server. Y webkit es una superficie de ataque muy amplia para
> alguien que quiera romperte algo, entonces vas a tener que estar
> actualizando vos todas esas dependencias.


No, suponés mal. Las genero yo.

Pero tengo un requerimiento de transparencia muy fuerte: el PNG que
genero tiene que representar fielmente su equivalente en HTML, por eso
no puedo simplemente generar el PNG sin pasar por HTML (además, hay
pedacitos de HTML que son customizables por mis usuarios, en quienes
confío para no introducir fruta de JS - porque además sólo pueden
introducir styles, no JS, valido todo el input).

En fin, no es un crawler, necesito el PNG porque el protocolo (OpenRTB
2.1 al que le interese) me lo demanda.


2013/9/8 Marcelo Fernandez <marcelo.fidel.fernandez en gmail.com>:
>> En mi opinión, si vas a usar esto en producción, es mucho mejor dejar
>> que de mantener actualizadas estas cosas se encargue una distribución,
>> que es en lo que se especializan :-)
>
> Y... es complicado, Ubuntu 13.04 por ejemplo incluye PhantomJS
> (desactualizado, 1.6 y ya va por 1.9) en los repos (Universe, que no
> tienen security updates por lo general), y tampoco depende de
> libwebkit-*, asumo que usa la versión (seguramente patcheada) provista
> por PhantomJS. Con lo cual viendo esta situación yo me tiraría a usar
> la versión upstream.
>
> Creo que la solución *posta* a los potenciales problemas de seguridad
> podrían pasar por correrlo dentro de un perfil bien estricto de
> AppArmor/Selinux o bien correrlo en una VM con el disco raíz montado
> en modo read only, o usar algo por el estilo, ver zones de Solaris o
> jails de BSD.

Sobre dejar que la distro lo mantenga, estaría de acuerdo con eso, si
la distro que está instalada en el server tuviera los paquetes. Pero
no los tiene.

Lo del perfil de selinux me gusta. Tengo que ponerle bastante pulmón,
pero creo que se puede. Buena idea.