Hlavní navigace

Vlákno názorů ke zprávičce Microsoft nechce podporovat WebGL od olin - A to prohlásil někdo, kdo přišel s ActiveX......

  • Aktualita je stará, nové názory již nelze přidávat.
  • 17. 6. 2011 20:43

    Zbabělý anonym (neregistrovaný) ---.48.broadband13.iol.cz

    Mají pravdu, ale zrovna od týhle firmy je to tak trochu nahrávka na smeč: Odkdy má Micro$oft bezpečnostní standardy?

  • 18. 6. 2011 11:13

    Jerry12 (neregistrovaný) ---.net.upcbroadband.cz

    Rekneme, ze od roku 2003 uz to neni takova tragedie a posledni leta na to nejsou vubec spatne. Doby defaultni konfigurace typu cednik jsou davno pryc.

  • 17. 6. 2011 20:49

    Dash (neregistrovaný) ---.cust.nbox.cz

    ActiveX je jen implementační framework. A mimochodem velmi dobrý - také díky němu chyby grafických jader nekončí modrou smrtí, ale jen drobným lagem nebo v horším případě pádem aplikace.

    Když se snažíš dělat chytráka, tak si o tom nejdřív něco přečti.

  • 17. 6. 2011 21:09

    Xerces (neregistrovaný) ---.blue4.cz

    Zato ty to máš nabiflovaný včetně reklamních letáků. :-) Na produkty MS (FlighSimulator budiž vyjímkou) se nejlépe hodí anglické sousloví 'piece of shit'.

  • 18. 6. 2011 0:17

    mixal11 (neregistrovaný) ---.adsl.slovanet.sk

    myslim, ze MS ma celkom dost skvelych produktov... SQL server, Office, Visual Studio, Azure...

  • 18. 6. 2011 9:19

    Jarda_P

    To jo, jsem cetl, jak si lidi, co delali na Oracle a pak treba sli delat jinam a sef jim koupil MS SQL, ten MS SQL server pochvalovali. Pry uplny orgasmus.

  • 19. 6. 2011 17:34

    Diskobolos (neregistrovaný) ---.220.broadband4.iol.cz

    Souhlas. Já ještě dodávám, že jsem byl v práci nucený přejít z oblíbeného PostgreSQL na Oracle a taky z toho mívám orgasmus (ze začátku častěji, teď už méně).

  • 21. 6. 2011 16:58

    Lael Ophir (neregistrovaný) ---.88.broadband5.iol.cz

    Já bych naopak čekal, že Orale admin bude z MS SQL Serveru nešťastný. Není potřeba se rýpat v konfiguračních souborech, nastavovat velikosti bufferů, administrace se neprovádí z konzole, a navíc to má celé GUI. Ten stroj jen tak sedí v serverovně a prostě funguje. No kdo s tím má dělat? :)

  • 20. 6. 2011 7:36

    Izak (neregistrovaný) 193.179.215.---

    SQL server neni jejich, je to Sybase, ktery si koupili, nejdrive jenom runtime, coz nebylo nic moc, potom to koupili sakumprask ;-)) ... a tim vznikl dalsi klon Oracle ;-)

    Azure je blbost, treba jsem zjistil, ze hyper-V nefunguje, nebot na 64bit linuxu brutalne posouva cas ... a takovych veci je tam vi a to jsem do nej dal za zivot jen 3 virualy, dale tam nefunguje mys ani pri instalaci v grafice, dal nemam co dodat, se starym kernelem 2.4 ze starehi SUSE to pada a nepada susel, ale zatuhne virtualni stroj, pokud se vytizi, pomohlo kompilace nejnovejsiho 2.4 kernelu ... a ja myslel, ze je to prave na beh starych serveru, nebot nove bych chtel mit vykonne.

    VisualStudio ... okopceny Borland, jejich C++ neumi matematiku a neprojde testem presnosti z Cernu, tedy pro me k nicemu.
    Mimochodem office nedoadne o moc lip, ten uz ma problem se scitanim na 1 desetinne misto, je schopen udelat v urcitych ne prilis velkych intervalech chybu ...

  • 18. 6. 2011 9:02

    Johny (neregistrovaný) ---.sattnet.cz

    Když se snažíš dělat chytráka, tak si o tom nejdřív něco přečti.

    Hint: Schopnosti ActiveX, ActiveX exploity

  • 18. 6. 2011 12:25

    juraj (neregistrovaný) 94.136.139.---

    Čiže... Microsoft bol v minulosti ten zlý, lebo implementoval deravé ActiveX. Teraz je Microsoft znova ten zlý, lebo neimplementuje deravé WebGL.
    Pred tvojou logikou sa klaniam.

  • 18. 6. 2011 22:44

    pravdokop

    Máš pravdu "Logiku", kdyby Mrkvosoft implementoval do IE WebGL, bylo by určitě děravé jak řešeto! :-))))

  • 19. 6. 2011 8:54

    juraj (neregistrovaný) 94.136.139.---

    Podľa súčasneho návrhu je každá jedna implementácia WebGL deravá ako rešeto a kým sa špecifikácia nezmení, inak to nebude.

  • 19. 6. 2011 21:41

    pravdokop

    Pán je zřejmě znalec. Co třeba přihodit alespoň jednu konkrétní změnu specifikace, která zabrání zneužití WebGL?

    Uvědomte si, že i na tak "starý" produkt, jako je PDF Reader, vydává fa Adobe jednu opravu za druhou aby ošetřila další a další bezpečnostní chyby. O Mrkvosoftích bezpečnostních dírách víme všichni, proto nám také antiviry žerou kupu času a výkonu našich PC (pokud tedy nejsme v Linuxu, že :-)).

    To, že nějaká firma oznámí, že nebude podporovat něco, co obsahuje bezpečnostní rizika (a přitom to má sama naprogramovat!) je JASNÁ ZÁMINKA, JAK TO SHODIT ZE STOLU ZE ZCELA JINÝCH (VÝŠE UVEDENÝCH) DŮVODŮ.

  • 19. 6. 2011 22:35

    Lael Ophir (neregistrovaný) ---.88.broadband5.iol.cz

    V tomhle sice nejsem znalec, ale doporučil bych vám projít si zdroje z téhle sekce článku o WebGL:
    http://en.wikipedia.org/wiki/WebGL#Security

  • 20. 6. 2011 4:27

    pravdokop

    Tak jsem si to přečetl a dozvěděl jsem se, co už jsem věděl: Existují bezpečnostní rizika při použití současné verze WebGL.

    Totéž si říkám již mnoho let, kdykoliv stahuji do Widlí z jakési stránky (protože neexistuje balíčkovací systém) binární(!) soubor s názvem setup.exe apod., který si pak může s mým PC dělat naprosto cokoliv. Ale to je přece normální, že? Proč to asi Mrkvosoft nepřestane podporovat stejně jako WebGL?

    Uvědomte si, prosím, jednu zásadní věc: Pokud chci mít na webu a nejen tam 3D grafiku, VŽDY to bude vzhledem ke komplexnosti této úlohy potenciální riziko a příležitost pro hackery. Znamená to snad, že se vzdáme akcelerované grafiky?

    Ať si Mrkvosoft a jiní přijdou s jakýmkoliv řešením (např. pluginy, silvershity aj.), bude to O TOMTÉŽ RIZIKU! Takže mi nezbývá, než opět konstatovat, že jde jen o ZÁMINKU, jak opět {jako již mnohokrát) zničit výbornou technologii v zájmu svých zisků a prosazení vlastních, patentovaných a 10x děravějších řešení.

  • 20. 6. 2011 11:47

    juraj (neregistrovaný) 94.136.139.---

    Aj pre Windows existuje open-source software. Môžeš si sťahovať zdrojové kódy, skontrolovať si ich a potom skompilovať. Len tak mimochodom, viaceré prehliadače (minimálne Internet Explorer a Google Chrome) varujú pri sťahovaní súborov, ktoré môžu byť potenciálne nebezpečné. A nakoniec, aj pre Linux existujú programy dodávané len v binárnej forme. Tvoje argumenty sú na hlavu postavené, vidíš len to, čo chceš vidieť.
    Rozdiel medzi 3D grafikou na webe a 3D grafikou v programoch spustených z OS je ten, že keď raz klasický program nainštaluješ/spus­tíš, má milión spôsobov, ako ti siahnuť na citlivé dáta a narobiť zlobu. Preto nie je dôvod mu brániť pristupovať k ovládačom grafiky, lebo aj keby si mu to zakázal, prípadnému útoku sa neubrániš. Situácia na webe je presne opačná - väčšina prehliadačov je relatívne bezpečná a nejaké zero-day exploity sú veľmi zriedkavé. WebGL otvára dlhodobo jedinú bezpečnostnú dieru, ktorú je možno zneužiť a ktorá nebude fixnutá za pol dňa ako zraniteľnosti s WebGL nesúvisiace.
    Len tak mimochodom, viacero bezpečnostných expertov sa vyjadrilo, že WebGL je vážne bezpečnostné riziko. Apple v iOS5 zabuduje podporu WebGL, použije ju v iAds, ale pre žiadne internetové stránky povolené nebude. Očividne Microsoft nie je jediný, kto sa do WebGL nechce púšťať.
    V prospech ktorej vlastnej technológie má Microsoft záujem zničiť WebGL? Toto sú ničím nepodložené hypotézy.

  • 21. 6. 2011 21:13

    pravdokop

    Opravdu nechápu, který můj argument je na hlavu postavený.
    Na Linuxu si 99% programů stáhnu z DŮVĚRYHODNÝCH repozitářů a navíc 99% z nich NEMÁ BINÁRNÍ instalátor. Na Widlích si naopak 99% programů stáhnu z víceméně NEOVĚŘENÝCH zdrojů a 99% z nich MÁ BINÁRNÍ instalátor.
    Tak nevím, kdo z nás dvou vidí jen to, co chce vidět.

    Pokud jde o 3D grafiku na webu, jediným důvodem, proč je nyní zranitelná, je její mladost a větší složitost. Až se nasbírají zkušenosti, bude stejně bezpečná jako 2D grafika nebo jakékoliv binární pluginy třetích stran. Musí se jen chtít a to je právě to, co Mrkvosoftu vytýkám. Co mu brání, aby na vývoji a zabezpečení WebGL spolupracoval?

    Odpověď na poslední otázku nám dá čas (podle mne krátký), kdy Mrkvochvost odhalí karty. Zatím se objevují první neoficiální vlaštovky, jako např. Kit3D pro Silvershit apod.

    Jestli Tě zajímá historie, přečti si něco o OpenGL a DirectX v jeho počátcích. Moudré přísloví říká: "Kdo zná historii, zná i budoucnost".

  • 22. 6. 2011 8:27

    Lael Ophir (neregistrovaný) ---.88.broadband5.iol.cz

    Ve Windows se používají digitální podpisy SW, a seriózní SW je podepsaný (včetně Firefoxu, Javy, OpenOffice atd). Pokud hovoříte o "binárním" instalátoru, máte zřejmě na mysli něco typu setup.exe. To je ale typicky jen self-extracting ZIP, obsahující MSI balíček, volitelně s prerequisites (Windows Installer, .NET Framework, Java atp).

    Je to asi zbytečné, ale zkusím to. WebGL vede k situaci podobné tomu, kdyby JPEG obrázek obsahoval spustitelný program prováděný v kernelovém režimu. Přitom to není problém implementace, ale problém konceptu celé specifikace. WebGL je potřeba buď od základu přepracovat, nebo zahodit. A protože jde o projekt Mozilla Foundation, je to jejich starost. MS těžko může tuhle specifikaci měnit, když ani není členem Khronos Group, která za vývoj WebGL nyní odpovídá.

    Dost mě baví vaše přesvědčení, že důvodem nebezpečnosti WebGL je "mladost a větší složitost". Kdepak: je to velmi špatně napsaná specifikace, u které autoři nemysleli na bezpečnost. A srovnání s "2D" pluginy je naprosto nesmyslné. Pluginy mají "jen" veškerá oprávnění aktuálního uživatele; u WebGL se ale kód se provádí (i) na grafické kartě, úplně mimo restrikce OS, takže je to podobné spíš oprávnění driverů. Navíc pluginům musíte prostě věřit, že do nich autor nevložil nějaký škodlivý kód. Chtěl byste ale stejně důvěřovat každému WebGL elementu na každé webové stránce? To můžete rovnou naslepo stahovat jakékoliv spustitelné programy a pouštět je pod uživatelem root ;)

  • 24. 6. 2011 2:31

    pravdokop

    Je to asi zbytečné, ale znovu to zkusím:
    Ve Widlích 99% uživatelů klikne na setup.exe, stažený odkudkoliv, a spustí tak potenciálně jakýkoliv neověřený binární kód, který se tam skrývá. To, že tam je "jen" ZIP a MSI balíček, si právě jen myslí (ikdyž spíše je jim to zcela fuk :-)).

    Pokud jde o WebGL, stále jen opakujete mantru (stejně ochotně jako Mrkvosoft a možná i jiní), že je to velice špatně napsaná specifikace a musí se od základu přepracovat. Na "podporu" svého tvrzení přihodíte JPEG obsahující spustitelný program. Tak tímhle argumentem mohu nařknout z nebezpečnosti jakýkoliv grafický program pracující s JPEGem :-D.

    Mrkvosoft nemusí a ani nemůže (naštěstí) ve specifikaci WebGL nic měnit, může ale spolupracovat na odstranění bezpečnostních rizk spojených jak s WebGL, tak s 3D grafikou v prohlížeči v jakékoliv formě. A to on dělat nechce, raději plive a zveličuje problémy jiných. Jako vždy, když mu ujel vlak a někdo jiný by mu mohl ukrást potenciální zisky z patentované technologie a vůbec ohrozit jeho dominantní postavení žáby na prameni světového SW.

    Pokud to chcete opravdu vědět, tak mnohem více věřím nativní zadrátované funkcionalitě v prohlížeči, než pluginu, který může opravdu vše, nehledě na to, že mi jej mohl útočník podstrčit. Byl bych blázen, kdyby tomu bylo jinak. Btw, oním "každým WebGL elementem" patrně myslíte tag <canvas>, běžně v HTML5 používaný i na 2D grafiku, jiný tam totiž v souvislosti s 3D není.

    Na závěr řečnická otázka, týkající se bezpečnosti jak pluginů tak instalátorů typu setup.exe: Pod jakými právy pracuje 99% uživatelů Widlí a proč? :-)

  • 25. 6. 2011 16:11

    Lael Ophir (neregistrovaný) ---.88.broadband5.iol.cz

    Jenže ony jsou podepsané i ty executables typu setup.exe. Nepodepsané stažené executables zobrazují před spuštěním bezpečnostní varování. Někdy si to zkuste.

    Není důležité jestli *opakuji* že WebGL je špatně napsaná specifikace. Důležité je jestli je to *pravda*; a podle všeho to pravda je. Vidí to tak nejen MS a Apple, ale i bezpečnostní experti (US-CERT, Context Information Security, Dan Kaminsky).

    U JPEGu je pointa v tom, že na rozdíl od WebGL *neobsahuje* spustitelný program. Viz report Context Information Security, který říká: "WebGL fundamentally allows Turing-complete programs originating from the Internet to reach kernel-mode graphics drivers and graphics hardware"
    http://www.contextis.com/resources/blog/webgl/

    Jak by podle vás měl MS spolupracovat na opravení specifikace WebGL, když specifikaci spravuje Mozilla? MS má vlastní technologie pro 3D v browseru (XBAP, Silverlight 5), které netrpí na bezpečnostní problémy WebGL.

    Přijde mi dost ostudné, že konspirujete o světové nadvládě MS, krádežích, plivání a zveličování problémů, místo abyste se soustředil na podstatu věci. Podstatou věci je fakt, že WebGL je špatně napsané a nebezpečné.

  • 28. 6. 2011 5:38

    bez přezdívky

    Bezpečnostní rizika WebGL nejsou vinou specifikace, ale implementací driverů a samotných OS. To, že Microsoft dobrovolně opustil ARB, ze které později vznikl Khronos Group bylo jejich vlastní rozhodnutí a to že IE nebude WebGL podporovat je jen další ukázkou jejich špatného přístupu k webovým technologiím.

  • 29. 6. 2011 3:23

    pravdokop

    Varování je podle Vás efektivní ochranou? Jistě myslíte onu otravnou "tabulku", kterou BFU odklepne, aniž by uvažoval, proč mu tam zrovna vyskočila :-))).

    "Špatně napsaná specifikace" - to je právě ta mantra, kterou Vy a pár bezpečnostních expertů a velkých firem (stručně řečeno: TI, KTERÝM SE TO HODÍ) pořád opakujete.

    WebGL není v podstatě nic jiného než do javascriptu zabalené API pro volání 3D-grafických procedur. Z hlediska bezpečnosti je úplně jedno, že vychází z OpenGL a ne z pozdější proprietární příšernosti zvané DirectX. U jakékoliv podobné funkcionality se někde uvnitř MUSÍ volat drivery a jiné binární kódy. A pokud jsou špatně napsané, může být problém.

    Právě jsem se kouknul na Vámi zmíněný Silverlight 5 (tak šídlo už je z pytle ven!) a myslím, že tento odkaz hovoří za vše (LOL):
    http://connect.microsoft.com/VisualStudio/feedback/details/676134/dos-vulnerability-in-silverlight-5s-3d-similar-to-webgl-dos-vulnerability

    Opravdu jsem nečekal, jak rychle se má slova vyplní. Nezlobte se, ale nedá mi to, abych neparafrázoval Vaši poslední větu:
    "Podstatou věci je fakt, že Mrkvosoft chce protlačit svůj 3D-plugin, který je špatně napsaný a nebezpečný" :-))).

  • 25. 7. 2011 21:48

    hx (neregistrovaný) ---.starnet.cz

    Doporucuji si prvne neco precist o tom, jak funguje OpenGL a soucasne graficke karty.

    Cely problem je v tom, ze OpenGL (ani jine 3D api povetsinou) nikdy nebylo navrzeno tak, aby umoznovalo nejaky bezpecnostni sandboxing programu, naopak vse je tvoreno s durazem na vykon.

    A ted tu mame uzasnou vec zvanou WebGL, co toto pomerne dost unsecure rozhrani a unsecure GFX drivery zpristupni pres JavaScript pulce sveta - o to tu jde... Uvedomte si, ze se tady predava spustitelny kod, ze je to API velmi tesne vazane na primy pristup do pameti. Vsechno je resitelne samozrejme, ale chce to systemove reseni, ne fixovat jednotlive flawy.

    A co se tyka tech vasich "soudu" DirectX, celkem bych se vsadil, ze jste v zivote neprogramoval zadny vetsi projekt ani v OpenGL, ani v Direct* rodine (ono DirectX nejsou jenom Direct3D, vite?). Mozna byste pak mluvil jinak...Directy sice maji slozite API a pri programovani v nich na to nadavam, na druhou stranu s funkcionalitou, co poskytuji jako integrovany balik, se nemuze v OSS svete nic merit...

  • 26. 7. 2011 12:44

    pravdokop

    Zkuste si soudy o tom, kdo co kdy programoval, nechat k pivu do hospody a netahejte je do diskuze misto faktu.

    Já mám za sebou několik velkých projektů v OpenGL a dale jsem se v posledni dobe dost intenzivne zabyval WebGL. Kdysi jsem si jen tak pro srovnani neco maleho zkusil v DirectX a dekuji, jiz nikdy vice. To, ze DirectX neni jen DirectX bohuzel vi kazdy, kdo se kdy musel prohrabavat mnoha verzemi ruznych Direct??, ktere kdy Mrkvosoft vyplodil.
    A pokud tvrdite, ze OpenGL nebylo navrzeno na bezpecnost ale na vykon a u DirectX je tomu naopak, pak de facto priznavate, ze OpenGL ma vetsi vykon :-))).

    Uvedomte si, ze nedavny pripad ukazuje, ze STEJNOU CHYBU, JAKA BYLA ODHALENA U WEBGL, MA I "UZASNE BEZPECNY" SILVERLIGHT.
    Takze se v praxi ukazuje totez, co tvrdi vsichni, kdo nejsou zavisli na Mrkvosoftich technologiich: Velke reklamni kidy o tom, jak je bezpecny, vykonny, komfortni ... a skutek opet utek. Zato plivat na mnohem lepsi technologie, vypoustet hoaxy o patentech, ktere porusuji apod., to jde Mrkvosoftu mnohem lépe nez programovani.

    Kazdy, kdo sleduje deni kolem sebe, vidi, ze Mrkvosoft kolem sebe kope, protoze je bit jak zito. Google a Apple jej pekne valcuji. Kdyby nevybiral desatky z kazdych Widli, nehrabal dolary na smesnych patentech a nekoruptoval rozhodujici lidi, tak je z nej davno marginalni zapomenuta firmicka.

  • 25. 6. 2011 17:27

    Lael Ophir (neregistrovaný) ---.88.broadband5.iol.cz

    Ještě k poslednímu odstavci: asi byste chtěl slyšet, že 99% uživatelů "Widlí" pracuje s oprávněním administrátora. Bohužel je to nesmysl. Ve (slušných) firmách mají oprávnění administrátora opravdu jen administrátoři. V domácím prostředí se uživatelům moc nechtělo komplikovat si život rozdělováním kompetencí mezi účty, takže od Visty výše pracují všichni (i admini) s oprávněním běžného uživatele.
    Někteří lidé si také naivně myslí, že neběžet pod adminem je nějaké řešení bezpečnostních problémů. Omyl. Botnet může rozesílat spam a pracovat na DDos útoku klidně pod účtem běžného uživatele. Malware pracující v kontextu běžného uživatele může zveřejnit, smazat nebo pozměnit vaše data, a klidně z vašeho počítače udělat proxy pro útočníka čekajícího za firewallem.

  • 29. 6. 2011 2:38

    pravdokop

    Určitě nikdo z nás nechce hnidopišit na nějakém tom procentu. FAKTEM je, že narozdíl např. od Linuxáků je procentní podíl Widláků používajících nejvyšší oprávnění pro běžnou práci MNOHONÁSOBNĚ VYŠŠÍ. A důvod je dán historicky ve zmršené víceuživatelské podpoře ve Widlích.
    Neběžet pod adminem považuje za velice prospěšné pro bezpečnost naprostá většina lidí, včetně bezpečnostních expertů Mrkvosoftu. To, že to není všespásné, je jim také jasné. Kdyby se mi chtělo, přihodl bych kupu odkazů, ale přijde mi to k takové samozřejmosti zbytečné.