Názory k článku
Microsoft nechce podporovat WebGL
-
Lael Ophir (neregistrovaný)
Já bych naopak čekal, že Orale admin bude z MS SQL Serveru nešťastný. Není potřeba se rýpat v konfiguračních souborech, nastavovat velikosti bufferů, administrace se neprovádí z konzole, a navíc to má celé GUI. Ten stroj jen tak sedí v serverovně a prostě funguje. No kdo s tím má dělat? :)
-
Izak (neregistrovaný)
SQL server neni jejich, je to Sybase, ktery si koupili, nejdrive jenom runtime, coz nebylo nic moc, potom to koupili sakumprask ;-)) ... a tim vznikl dalsi klon Oracle ;-)
Azure je blbost, treba jsem zjistil, ze hyper-V nefunguje, nebot na 64bit linuxu brutalne posouva cas ... a takovych veci je tam vi a to jsem do nej dal za zivot jen 3 virualy, dale tam nefunguje mys ani pri instalaci v grafice, dal nemam co dodat, se starym kernelem 2.4 ze starehi SUSE to pada a nepada susel, ale zatuhne virtualni stroj, pokud se vytizi, pomohlo kompilace nejnovejsiho 2.4 kernelu ... a ja myslel, ze je to prave na beh starych serveru, nebot nove bych chtel mit vykonne.
VisualStudio ... okopceny Borland, jejich C++ neumi matematiku a neprojde testem presnosti z Cernu, tedy pro me k nicemu.
Mimochodem office nedoadne o moc lip, ten uz ma problem se scitanim na 1 desetinne misto, je schopen udelat v urcitych ne prilis velkych intervalech chybu ... -
Pán je zřejmě znalec. Co třeba přihodit alespoň jednu konkrétní změnu specifikace, která zabrání zneužití WebGL?
Uvědomte si, že i na tak "starý" produkt, jako je PDF Reader, vydává fa Adobe jednu opravu za druhou aby ošetřila další a další bezpečnostní chyby. O Mrkvosoftích bezpečnostních dírách víme všichni, proto nám také antiviry žerou kupu času a výkonu našich PC (pokud tedy nejsme v Linuxu, že :-)).
To, že nějaká firma oznámí, že nebude podporovat něco, co obsahuje bezpečnostní rizika (a přitom to má sama naprogramovat!) je JASNÁ ZÁMINKA, JAK TO SHODIT ZE STOLU ZE ZCELA JINÝCH (VÝŠE UVEDENÝCH) DŮVODŮ.
-
Lael Ophir (neregistrovaný)
V tomhle sice nejsem znalec, ale doporučil bych vám projít si zdroje z téhle sekce článku o WebGL:
http://en.wikipedia.org/wiki/WebGL#Security -
Tak jsem si to přečetl a dozvěděl jsem se, co už jsem věděl: Existují bezpečnostní rizika při použití současné verze WebGL.
Totéž si říkám již mnoho let, kdykoliv stahuji do Widlí z jakési stránky (protože neexistuje balíčkovací systém) binární(!) soubor s názvem setup.exe apod., který si pak může s mým PC dělat naprosto cokoliv. Ale to je přece normální, že? Proč to asi Mrkvosoft nepřestane podporovat stejně jako WebGL?
Uvědomte si, prosím, jednu zásadní věc: Pokud chci mít na webu a nejen tam 3D grafiku, VŽDY to bude vzhledem ke komplexnosti této úlohy potenciální riziko a příležitost pro hackery. Znamená to snad, že se vzdáme akcelerované grafiky?
Ať si Mrkvosoft a jiní přijdou s jakýmkoliv řešením (např. pluginy, silvershity aj.), bude to O TOMTÉŽ RIZIKU! Takže mi nezbývá, než opět konstatovat, že jde jen o ZÁMINKU, jak opět {jako již mnohokrát) zničit výbornou technologii v zájmu svých zisků a prosazení vlastních, patentovaných a 10x děravějších řešení.
-
juraj (neregistrovaný)
Aj pre Windows existuje open-source software. Môžeš si sťahovať zdrojové kódy, skontrolovať si ich a potom skompilovať. Len tak mimochodom, viaceré prehliadače (minimálne Internet Explorer a Google Chrome) varujú pri sťahovaní súborov, ktoré môžu byť potenciálne nebezpečné. A nakoniec, aj pre Linux existujú programy dodávané len v binárnej forme. Tvoje argumenty sú na hlavu postavené, vidíš len to, čo chceš vidieť.
Rozdiel medzi 3D grafikou na webe a 3D grafikou v programoch spustených z OS je ten, že keď raz klasický program nainštaluješ/spustíš, má milión spôsobov, ako ti siahnuť na citlivé dáta a narobiť zlobu. Preto nie je dôvod mu brániť pristupovať k ovládačom grafiky, lebo aj keby si mu to zakázal, prípadnému útoku sa neubrániš. Situácia na webe je presne opačná - väčšina prehliadačov je relatívne bezpečná a nejaké zero-day exploity sú veľmi zriedkavé. WebGL otvára dlhodobo jedinú bezpečnostnú dieru, ktorú je možno zneužiť a ktorá nebude fixnutá za pol dňa ako zraniteľnosti s WebGL nesúvisiace.
Len tak mimochodom, viacero bezpečnostných expertov sa vyjadrilo, že WebGL je vážne bezpečnostné riziko. Apple v iOS5 zabuduje podporu WebGL, použije ju v iAds, ale pre žiadne internetové stránky povolené nebude. Očividne Microsoft nie je jediný, kto sa do WebGL nechce púšťať.
V prospech ktorej vlastnej technológie má Microsoft záujem zničiť WebGL? Toto sú ničím nepodložené hypotézy. -
Opravdu nechápu, který můj argument je na hlavu postavený.
Na Linuxu si 99% programů stáhnu z DŮVĚRYHODNÝCH repozitářů a navíc 99% z nich NEMÁ BINÁRNÍ instalátor. Na Widlích si naopak 99% programů stáhnu z víceméně NEOVĚŘENÝCH zdrojů a 99% z nich MÁ BINÁRNÍ instalátor.
Tak nevím, kdo z nás dvou vidí jen to, co chce vidět.Pokud jde o 3D grafiku na webu, jediným důvodem, proč je nyní zranitelná, je její mladost a větší složitost. Až se nasbírají zkušenosti, bude stejně bezpečná jako 2D grafika nebo jakékoliv binární pluginy třetích stran. Musí se jen chtít a to je právě to, co Mrkvosoftu vytýkám. Co mu brání, aby na vývoji a zabezpečení WebGL spolupracoval?
Odpověď na poslední otázku nám dá čas (podle mne krátký), kdy Mrkvochvost odhalí karty. Zatím se objevují první neoficiální vlaštovky, jako např. Kit3D pro Silvershit apod.
Jestli Tě zajímá historie, přečti si něco o OpenGL a DirectX v jeho počátcích. Moudré přísloví říká: "Kdo zná historii, zná i budoucnost".
-
Lael Ophir (neregistrovaný)
Ve Windows se používají digitální podpisy SW, a seriózní SW je podepsaný (včetně Firefoxu, Javy, OpenOffice atd). Pokud hovoříte o "binárním" instalátoru, máte zřejmě na mysli něco typu setup.exe. To je ale typicky jen self-extracting ZIP, obsahující MSI balíček, volitelně s prerequisites (Windows Installer, .NET Framework, Java atp).
Je to asi zbytečné, ale zkusím to. WebGL vede k situaci podobné tomu, kdyby JPEG obrázek obsahoval spustitelný program prováděný v kernelovém režimu. Přitom to není problém implementace, ale problém konceptu celé specifikace. WebGL je potřeba buď od základu přepracovat, nebo zahodit. A protože jde o projekt Mozilla Foundation, je to jejich starost. MS těžko může tuhle specifikaci měnit, když ani není členem Khronos Group, která za vývoj WebGL nyní odpovídá.
Dost mě baví vaše přesvědčení, že důvodem nebezpečnosti WebGL je "mladost a větší složitost". Kdepak: je to velmi špatně napsaná specifikace, u které autoři nemysleli na bezpečnost. A srovnání s "2D" pluginy je naprosto nesmyslné. Pluginy mají "jen" veškerá oprávnění aktuálního uživatele; u WebGL se ale kód se provádí (i) na grafické kartě, úplně mimo restrikce OS, takže je to podobné spíš oprávnění driverů. Navíc pluginům musíte prostě věřit, že do nich autor nevložil nějaký škodlivý kód. Chtěl byste ale stejně důvěřovat každému WebGL elementu na každé webové stránce? To můžete rovnou naslepo stahovat jakékoliv spustitelné programy a pouštět je pod uživatelem root ;)
-
Je to asi zbytečné, ale znovu to zkusím:
Ve Widlích 99% uživatelů klikne na setup.exe, stažený odkudkoliv, a spustí tak potenciálně jakýkoliv neověřený binární kód, který se tam skrývá. To, že tam je "jen" ZIP a MSI balíček, si právě jen myslí (ikdyž spíše je jim to zcela fuk :-)).Pokud jde o WebGL, stále jen opakujete mantru (stejně ochotně jako Mrkvosoft a možná i jiní), že je to velice špatně napsaná specifikace a musí se od základu přepracovat. Na "podporu" svého tvrzení přihodíte JPEG obsahující spustitelný program. Tak tímhle argumentem mohu nařknout z nebezpečnosti jakýkoliv grafický program pracující s JPEGem :-D.
Mrkvosoft nemusí a ani nemůže (naštěstí) ve specifikaci WebGL nic měnit, může ale spolupracovat na odstranění bezpečnostních rizk spojených jak s WebGL, tak s 3D grafikou v prohlížeči v jakékoliv formě. A to on dělat nechce, raději plive a zveličuje problémy jiných. Jako vždy, když mu ujel vlak a někdo jiný by mu mohl ukrást potenciální zisky z patentované technologie a vůbec ohrozit jeho dominantní postavení žáby na prameni světového SW.
Pokud to chcete opravdu vědět, tak mnohem více věřím nativní zadrátované funkcionalitě v prohlížeči, než pluginu, který může opravdu vše, nehledě na to, že mi jej mohl útočník podstrčit. Byl bych blázen, kdyby tomu bylo jinak. Btw, oním "každým WebGL elementem" patrně myslíte tag <canvas>, běžně v HTML5 používaný i na 2D grafiku, jiný tam totiž v souvislosti s 3D není.
Na závěr řečnická otázka, týkající se bezpečnosti jak pluginů tak instalátorů typu setup.exe: Pod jakými právy pracuje 99% uživatelů Widlí a proč? :-)
-
Lael Ophir (neregistrovaný)
Jenže ony jsou podepsané i ty executables typu setup.exe. Nepodepsané stažené executables zobrazují před spuštěním bezpečnostní varování. Někdy si to zkuste.
Není důležité jestli *opakuji* že WebGL je špatně napsaná specifikace. Důležité je jestli je to *pravda*; a podle všeho to pravda je. Vidí to tak nejen MS a Apple, ale i bezpečnostní experti (US-CERT, Context Information Security, Dan Kaminsky).
U JPEGu je pointa v tom, že na rozdíl od WebGL *neobsahuje* spustitelný program. Viz report Context Information Security, který říká: "WebGL fundamentally allows Turing-complete programs originating from the Internet to reach kernel-mode graphics drivers and graphics hardware"
http://www.contextis.com/resources/blog/webgl/Jak by podle vás měl MS spolupracovat na opravení specifikace WebGL, když specifikaci spravuje Mozilla? MS má vlastní technologie pro 3D v browseru (XBAP, Silverlight 5), které netrpí na bezpečnostní problémy WebGL.
Přijde mi dost ostudné, že konspirujete o světové nadvládě MS, krádežích, plivání a zveličování problémů, místo abyste se soustředil na podstatu věci. Podstatou věci je fakt, že WebGL je špatně napsané a nebezpečné.
-
Bezpečnostní rizika WebGL nejsou vinou specifikace, ale implementací driverů a samotných OS. To, že Microsoft dobrovolně opustil ARB, ze které později vznikl Khronos Group bylo jejich vlastní rozhodnutí a to že IE nebude WebGL podporovat je jen další ukázkou jejich špatného přístupu k webovým technologiím.
-
Varování je podle Vás efektivní ochranou? Jistě myslíte onu otravnou "tabulku", kterou BFU odklepne, aniž by uvažoval, proč mu tam zrovna vyskočila :-))).
"Špatně napsaná specifikace" - to je právě ta mantra, kterou Vy a pár bezpečnostních expertů a velkých firem (stručně řečeno: TI, KTERÝM SE TO HODÍ) pořád opakujete.
WebGL není v podstatě nic jiného než do javascriptu zabalené API pro volání 3D-grafických procedur. Z hlediska bezpečnosti je úplně jedno, že vychází z OpenGL a ne z pozdější proprietární příšernosti zvané DirectX. U jakékoliv podobné funkcionality se někde uvnitř MUSÍ volat drivery a jiné binární kódy. A pokud jsou špatně napsané, může být problém.
Právě jsem se kouknul na Vámi zmíněný Silverlight 5 (tak šídlo už je z pytle ven!) a myslím, že tento odkaz hovoří za vše (LOL):
http://connect.microsoft.com/VisualStudio/feedback/details/676134/dos-vulnerability-in-silverlight-5s-3d-similar-to-webgl-dos-vulnerabilityOpravdu jsem nečekal, jak rychle se má slova vyplní. Nezlobte se, ale nedá mi to, abych neparafrázoval Vaši poslední větu:
"Podstatou věci je fakt, že Mrkvosoft chce protlačit svůj 3D-plugin, který je špatně napsaný a nebezpečný" :-))). -
hx (neregistrovaný)
Doporucuji si prvne neco precist o tom, jak funguje OpenGL a soucasne graficke karty.
Cely problem je v tom, ze OpenGL (ani jine 3D api povetsinou) nikdy nebylo navrzeno tak, aby umoznovalo nejaky bezpecnostni sandboxing programu, naopak vse je tvoreno s durazem na vykon.
A ted tu mame uzasnou vec zvanou WebGL, co toto pomerne dost unsecure rozhrani a unsecure GFX drivery zpristupni pres JavaScript pulce sveta - o to tu jde... Uvedomte si, ze se tady predava spustitelny kod, ze je to API velmi tesne vazane na primy pristup do pameti. Vsechno je resitelne samozrejme, ale chce to systemove reseni, ne fixovat jednotlive flawy.
A co se tyka tech vasich "soudu" DirectX, celkem bych se vsadil, ze jste v zivote neprogramoval zadny vetsi projekt ani v OpenGL, ani v Direct* rodine (ono DirectX nejsou jenom Direct3D, vite?). Mozna byste pak mluvil jinak...Directy sice maji slozite API a pri programovani v nich na to nadavam, na druhou stranu s funkcionalitou, co poskytuji jako integrovany balik, se nemuze v OSS svete nic merit...
-
Zkuste si soudy o tom, kdo co kdy programoval, nechat k pivu do hospody a netahejte je do diskuze misto faktu.
Já mám za sebou několik velkých projektů v OpenGL a dale jsem se v posledni dobe dost intenzivne zabyval WebGL. Kdysi jsem si jen tak pro srovnani neco maleho zkusil v DirectX a dekuji, jiz nikdy vice. To, ze DirectX neni jen DirectX bohuzel vi kazdy, kdo se kdy musel prohrabavat mnoha verzemi ruznych Direct??, ktere kdy Mrkvosoft vyplodil.
A pokud tvrdite, ze OpenGL nebylo navrzeno na bezpecnost ale na vykon a u DirectX je tomu naopak, pak de facto priznavate, ze OpenGL ma vetsi vykon :-))).Uvedomte si, ze nedavny pripad ukazuje, ze STEJNOU CHYBU, JAKA BYLA ODHALENA U WEBGL, MA I "UZASNE BEZPECNY" SILVERLIGHT.
Takze se v praxi ukazuje totez, co tvrdi vsichni, kdo nejsou zavisli na Mrkvosoftich technologiich: Velke reklamni kidy o tom, jak je bezpecny, vykonny, komfortni ... a skutek opet utek. Zato plivat na mnohem lepsi technologie, vypoustet hoaxy o patentech, ktere porusuji apod., to jde Mrkvosoftu mnohem lépe nez programovani.Kazdy, kdo sleduje deni kolem sebe, vidi, ze Mrkvosoft kolem sebe kope, protoze je bit jak zito. Google a Apple jej pekne valcuji. Kdyby nevybiral desatky z kazdych Widli, nehrabal dolary na smesnych patentech a nekoruptoval rozhodujici lidi, tak je z nej davno marginalni zapomenuta firmicka.
-
Lael Ophir (neregistrovaný)
Ještě k poslednímu odstavci: asi byste chtěl slyšet, že 99% uživatelů "Widlí" pracuje s oprávněním administrátora. Bohužel je to nesmysl. Ve (slušných) firmách mají oprávnění administrátora opravdu jen administrátoři. V domácím prostředí se uživatelům moc nechtělo komplikovat si život rozdělováním kompetencí mezi účty, takže od Visty výše pracují všichni (i admini) s oprávněním běžného uživatele.
Někteří lidé si také naivně myslí, že neběžet pod adminem je nějaké řešení bezpečnostních problémů. Omyl. Botnet může rozesílat spam a pracovat na DDos útoku klidně pod účtem běžného uživatele. Malware pracující v kontextu běžného uživatele může zveřejnit, smazat nebo pozměnit vaše data, a klidně z vašeho počítače udělat proxy pro útočníka čekajícího za firewallem. -
Určitě nikdo z nás nechce hnidopišit na nějakém tom procentu. FAKTEM je, že narozdíl např. od Linuxáků je procentní podíl Widláků používajících nejvyšší oprávnění pro běžnou práci MNOHONÁSOBNĚ VYŠŠÍ. A důvod je dán historicky ve zmršené víceuživatelské podpoře ve Widlích.
Neběžet pod adminem považuje za velice prospěšné pro bezpečnost naprostá většina lidí, včetně bezpečnostních expertů Mrkvosoftu. To, že to není všespásné, je jim také jasné. Kdyby se mi chtělo, přihodl bych kupu odkazů, ale přijde mi to k takové samozřejmosti zbytečné. -
von Riebbentrop (neregistrovaný)
grázlové vymlouvačný to jsou! http://img137.imageshack.us/img137/5153/funnyld.jpg
-
juraj (neregistrovaný)
> "V Internet Exploreru tedy WebGL ani v budoucnu nenajdeme."
Toto nie je tak celkom pravda, Microsoft len tvrdí, že WebGL nebude podporovať, pokiaľ je jeho návrh v takej podobe, ako teraz. Ale nie je vylúčené, že ak stúpne kvalita špecifikácie po bezpečnostnej stránke, WebGL raz v IE nenájdeme. -
__dark__ (neregistrovaný)
Je to jen otázka času, kdy ho trh donutí ty technologie implementovat. Z historie je známé, že MS dělá hodně pro to, aby se prosadila právě jejich technologie. Mezi prohlížeči je ale obrovská konkurence, a MS bude muset reagovat na stále klesající podíl IE. Vzpomínám si, jak jeden vývojáť IE u verze 7 psal, že canvas nebudou nikdy podporovat, stačili 2 major verze, a je tam;-)
-
juraj (neregistrovaný)
> "MS dělá hodně pro to, aby se prosadila právě jejich technologie."
Preto sa čím ďalej, tým viac snaží tlačiť do popredia HTML5 pred Silverlightom? Preto s príchodom IE9 začal oficiálne hovoriť o Javascripte miesto o JScripte? Existuje nejaká Microsofťácka technológia ako alternatíva k WebGL, ktorú by sa Microsoft mal snažiť pretlačiť v tomto konkrétnom prípade?
> "MS bude muset reagovat na stále klesající podíl IE"
To áno, ale rozhodne nie implementáciou WebGL. Pre Microsoft sú jeho bezpečnostné požiadavky pre používané technológie to prvoradé, aj keby mala Internet Explorer predbehnúť aj Opera.
A druhá vec, WebGL nie je nič, čo má na webe široké využitie, je to technológia "w00t, pozeraj čo môžem robiť so svojím prehliadačom". Preto by prípadná podpora WebGL nepotiahla IE dopredu. -
marťa (neregistrovaný)
Zaprvé akcelerovaná grafika povolená javascriptu je docela dobrá věc, proč né? Zadruhé pro prohlížeče taková podpora přece existuje ať už v podobě Silverlightu (pro některé věci používá gpu)... Moc silverlight neznám a samozřejmě znát nechci (jen vím, že tam podpora akcelerované grafiky byla). Jestli ji tam Ms zrušili kvůli "bezpečnosti" tak si aspoň neprotiřečí v opačném případě to vypadá, že mají v plánu prosazovat nějaké své vlastní API. Proti Ms nic nemám... mohl bych napsat, že na "grafiku" jsou to hvězdy... nakonec shadery byly poprvé představeny s Direct3D8 (jinak většinou microsoft příjde z nečím "pro ně novým" o dva-tři roky pozděj nebo o 10 let třeba silverlight... v porovnání s flash). Každopádně záleží na nich jak webgl api implementují a jestli by ho měli implementovat s bezpečnostními chybami tak ať to raději teda nedělají nic proti :)
ČLÁNKY DO MAILU
