Názory k článku
Pwn2Own: Hned první den padl Internet Explorer, Firefox i Chrome

Opera 4ever!

opera je tak velmi out ze ju ani nezaradili do testov

A to je len dobre. Pocit isteho bezpecia je k nezaplateniu. :)

http://www.root.cz/clanky/nova-opera-vyroste-na-zakladech-projektu-chromium-a-webkit/

Ale dovtedy je bezpecna. Potom... Potom to uz bude opa sraciek ako Chromak, ci FF. Bohuzial.

Skvěle. Máme browsery které už jsou tak složité, že jsou non-stop děravé a v podstatě kdykoliv je prostřelí partička lidí na hackerské párty. A snažíme se těmi browsery cpát na desktopy pokud možno všechno, včetně emailu, práce s dokumenty, přístupu k informačním systémům, a dokonce hraní her. Katastrofickým příkladem je Google ChromeOS. Aplikace v browseru jsou sice pomalejší, jejich interface je hrozný a prakticky se nedá ovládat z klávesnice, v principu nemohou umět spoustu věcí, ale určitě to má i své výhody. Například děravé browsery i webové aplikace, závislost na připojení...
Místo aby někdo zatáhnul za záchrannou brzdu a zařval "dost, takhle už to dál nejde, pojďme to celé opravit", tak se čím dál víc věcí překlápí do HTML a browserům se přidává další a další funkcionalita, bez ohledu na neopravené a nově vznikající chyby. Díky tomu se dostáváme do stádia, kdy pár tabů browseru spotřebuje GB paměti na to, co lokální aplikace umějí rychleji a pohodlněji s o dva řády nižší spotřebou paměti; u CPU je to podobné.

rozumný, s nadhledem psaný a bezhlavě neútočící příspěvek od Laela Ophira? Aha, moment, neregistrovaný...

Ale mohl by to být pravý LO. Vďyť pomluvil jen nonMS prohlížeč. :)

To je o úhlu pohledu. Když si můj příspěvek přečte nějaký vývojář webových aplikací (nejlépe vyvíjející podle popisu v linku níže), nejspíš to bude hodnotit jako útočné. Když se strefíte do černého, budí to většinou nejprudší reakce.
http://www.zive.cz/clanky/rozhovor-nezkroceni-vyvojari-a-kovbojove/sc-3-a-162156

„nejlépe vyvíjející podle popisu v linku níže“

LOL

LOL :D, tohle mě dostalo. Máte dva body za vtipnost.

Akorát že IE používal k zobrazování už W98, takže nic nového pod sluncem.

Vy snad znáte software bez chyb? Aplikace rozsahu hello world nechme stranou... Prohlížeče(obzvlášť jeden nejmenovaný) se daly "prostřelit" odjakživa, ostatně jako jakýkoliv trochu komplexnější SW. Zbytek nebudu komentovat, tolik fňukání a zveličování jsem naposledy četl, když jsem se omylem proklikl do diskuze o politice na idnes.

„Vy snad znáte software bez chyb?“

Ne, ale v mailovém klientu nebo třeba textovém editoru je ten prostor pro útoky mnohem menší - vlastně stačí, když si programátor dá pozor, aby při parsování vstupního binárního formátu někde něco nepřeteklo. Totéž vlastně platí i pro prohlížeč ovládající HTML4 a CSS2.

Na druhou stranu dnešní prohlížeče spouští z každé webové stránky program v komplexním jazyce (JS), který má rozsáhlé možnosti interakce se zbytkem prohlížeče i systému. To prostě uhlídat nejde.

Proč asi většina útoků na prohlížeče využívá JS?

Co treba TeX od D. Knutha?

Hezky napsáno.

Bohužel než na tu brzdu to taky vidím spíš na další vrstvu sandboxování, na další vrstvu frameworků nad frameworky nad JavaScriptem atd. Webové aplikace původně byly jednoduché rozhraní pro jednoduché věci nebo tam, kde nešlo nainstalovat SW/protlačit něco jiného než HTTP. Čekám, kdy se dostaneme do stejného stavu, kdy budeme mít jakousi „metawebovou aplikaci“ běžící v prohlížeči v prohlížeči přesně z toho stejného důvodu.

Ale no taaaak ;)

http://www.zdnet.com/linux-triumphant-chrome-os-resists-cracking-attempts-7000012331/

A preco sa vsetko preklapa do HTML? Pretoze to funguje vsade, je to "multiplatformne", lacne na vyvoj, netreba aktualizovat klienta, dostupne z roznych miest, kvantum vyvojarov

BTW. vsetko co si vymenoval, platilo tak pred niekolkymi rokmi, dnes si ta uz dovolim nazvat klamarom. BTW. neboli jedneho casu Windows XP oznacovane ako nenazrane na zdroje? ;)

Jedinou výhodou webové aplikace je to, že se nemusí instalovat. Nicméně na cizím počítači nemůžete z bezpečnostních důvodů použít prakticky nic, protože nikdy nevíte, kolik keyloggerů tam dotyčnému uživateli někdo nasadil.

Nenažranost na zdroje je jen jednou stránkou věci. Ale proč máme jako uživatelé dostávat výrazně horší interface, a ještě s větší spotřebou zdrojů? Fakt nemůže být Facebook prostě aplikace, a musí v browseru sežrat 2GB paměti (a pak spadnout) díky resource leaks? Fakt musí každá debilní flashová reklama žrát procenta až desítky procent výkonu dnešního CPU? Fakt je potřeba dělat webový Office typu Google Docs, který je funkcemi nesrovnatelný s desktopovým officem, ale "zato" je závislý na připojení, náročný na zdroje a ještě nechává data u Velkého Bratra? Podle mě je tohle prostě špatný směr.

Používal jsem v životě řadu aplikací, které se nemusely instalovat, a žádná z nich nebyla webová ;-)

Taky mi to leckdy přijde přespříliš. Onehdá jsem jel v Praze MHD busem co zrovna někde chvíli stál. Jsou v nich takové obrazovky co ukazují kam to jede, jaká bude příští zastávka a kolik je hodin. Notnou chvíli na tom bootovala nějaká Linux distribuce, pak ještě chvíli startovala XWindows, pak Firefox a nakonec ta vlastní stránka. Asi v nějakám javascriptu, neboť dlouhé nápisy tam scrolovaly a bylo to dost trhané.

Nebo cedule s odjezdy na nástupištích v Praze na hlavním nádraží. Občas nefungují a je na nich nějaká IE javascript chyba nebo desktop z Windows XP.

Ale největší úlet byl jistý software na konfiguraci USB tokenů pro VPN a pod. To byla na lokálním disku uložená HTML stránka co se otvírala v IE a stím zařízením komunikovala přes ActiveX komponentu. Že si tu komponentu mohla volat libovolná zlomyslná stránka z Internetu nějak autorům nedošlo. Nebezpečné operace v tom byly a jako bonus přetékající buffer. Kdo si tohle naporučil, nemohl být příčetný. Ale třeba to tam bylo schválně v rámci boje proti terorismu nebo tak něco.

Pak potkáte informační panel na jízdní řády s mírně oldschoolovým GUI co určitě není nějaká stránka v prohlížeči (s dotykovou obrazovkou) a odpověď na dotaz máte dřív než dáte dolů prst z tlačítka hledat. (Praha-Smíchovské nádraží dole v hale)

Existence ActiveX komponenty ješt nezbytně neznamená, že je ji možné použít i z webu.

Ale také to neznamená že jí použít nelze, viz virus "Policie CR" :-P

Ano, protože to nezáleží na tom jestli jde o ActiveX komponentu, ale jestli je povolená pro použití na inetu.

Z prohlížeče se prostě postupně stává virtuální stroj, který umožňuje snadnou distribuci aplikací na všechny myslitelné platformy, bez nutnosti instalace, s okamžitou aktualizací a dostupností odkudkoliv. Buď můžete akceptovat, že se IT neustále vyvíjí, naučit se nějaký pěkný framework(můžu doporučit například qooxdoo - se svým propracovaným objektovým modelem, unit testy, podporou lokalizace, automatickým generováním dokumentace a spoustou dalších profesionálních featur se vám jako oldschool vývojáři bude jistě zamlouvat) nebo sledovat, jak lidi odcházejí k obdobným produktům, jaké nabízíte vy, ale jsou dostupné online a po večerech nadávat na fórech.

Jak uživatel řeším u webových aplikací příšerný interface, závislost na spojení, mizerné možnosti aplikací a špatný výkon. Jako vývojáře mě spíš trápí velmi nepohodlné ohýbání stateless HTML do něčeho co se dá použít při vývoji aplikace, nemožnost z webové aplikace efektivně tisknout, ovládat zařízení (třeba skener), a vůbec dělat cokoliv složitějšího.

Metru se jen tak nějaký interface nevyrovná, to máš pravdu :-D

Staci si zakazat JS a budete mit maximalne bezpecny browser (pokud nepocitam mozne buffer overflow z ruznych knihoven typu libpng a podobne).

Vase predstava ze jakakoliv particka hackeru kdykoliv prolomi jakykoliv browser je chybna - pokud se na to citite, bezte do toho. Odmeny za exploit se pohybuji v radu desitek az stovek tisic dolaru. Aktualni Pwn2Own cena je tusim $64000. To je stale jeste dost malo, takze se mini ze napriklad exloity pro iOS (tj. na Safary) nebyly sverejneny, protoze maji mnohem vetsi cenu.

Na hledani vhodneho exploitu dnes pracuji cele tymy lidi, ktere musite zaplatit. Je to stejne jako kryptografie, lamani sifer a podobne.

Nicmene, dalsi vec je ze bezpecnost je obecne v primem protikladu s uzivatelskou pohodlnosti. Je mozne udelat maximalne bezpecny system, ale divil byste se jak nepohodlne je jej pouzivat. Je to stejne jako kdybyste napriklad doma mel zamek u kazdych dveri a jeste by vas pri pruchodu nekdo prosacoval...od­skocit si od TV na zachod by trvalo dele nez kompletni blok reklam i na tech neprisernejsich komercnich stanicich :)

> Vase predstava ze jakakoliv particka hackeru kdykoliv prolomi jakykoliv browser je chybna - pokud se na to citite, bezte do toho.

To je velmi slušně řečeno. Já bych přímo řekl, že představa, že máme browsery které už jsou tak složité, že jsou non-stop děravé a v podstatě kdykoliv je prostřelí partička lidí na hackerské párty je naprostá blbost. Jak píšeš, ty exploity připravují týmy lidí řadu měsíců předem.

S těmi aplikacemi to funguje celkem bezpečně na iOS i Windows Store. Samozřejmě Google Play má svá specifika.
http://www.ibtimes.co.uk/articles/443898/20130308/one-ten-app-google-play-malicious.htm
http://www.tomsguide.com/us/Google-Play-Malware-Mobile-Drive-By-NFC-Risky-App,news-16794.html

GMail je, spolu s Outlook.com a Outlook Web Accessem, mezi špičkovými webovými aplikacemi. Něco takového napsat není úplně triviální, a navíc se to ani tak neblíží komfortu práce s desktopovou aplikací. Nemluvě o tom, že řadu věcí z webové aplikace v principu neuděláte: tisk, skenování, práce s lokální FS, interakce s desktopem...

Názory někoho, kdo dokáže zatvrzele obhajovat hranatou blbost, co vypadá jako speciální téma pro lidi s těžkou poruchou zraku, v tomhle ohledu neberu vážně. A vůbec co tak najednou? Z ústředí došly pokyny, že kromě linuxu ti odteď mají vadit i aplikace na webu? Ostatně nedivil bych se, s rostoucím trendem přesunu aplikací na web začíná být čím dál víc jedno, co uživatel používá za systém, což v důsledku může být pro předražený Windows nezanedbatelný problém. Všechny dětské nemoci, do kterých se teď strefuješ, během pár let zmizí a s přibývajícím počtem plnohodnotných náhrad desktopových aplikací padne další z důvodů, proč používat právě Windows. V té době už bude z Linuxu solidní herní platforma, takže o další podstatný důvod míň. Pokud k tomu všemu bude MS pokračovat v podřezávání si větve tvrdošíjným protlačováním tak otřesného interface jako je Metro, tak budoucnost Windows vidím dost bledě.

Zato já beru velmi vážně názory člověka, který obhajuje obšlehlý iOS postavený na kradené Javě. Po vzájemných projevech úcty :) můžeme pokračovat k věci.

Ty "dětské nemoci" se už léta nelepší, naopak horší. Navíc se výrazně horší i bezpečnost webových aplikací a ochrana soukromí (Google vám čte počtu, Facebook prodává informace o vašem osobním životě). Webové aplikace nabízejí zákazníkovi méně než klasické, s vyššími nároky, a s přidaným špehováním. V čím je to zájmu? Pracujete snad pro Velkého Bratra Google, že takovéhle nesmysly propagujete?
Z Linuxu se podle mého odhadu herní platforma nestane. Příliš malé množství uživatelů, roztříštěnost na spoustu dister, vysoké náklady na support... Tváříte se optimisticky, ale podobně se tvářili všichni i ohledně roku desktopového Linuxu, prodeje notebooků s Linuxem atd.

No jo, nemáte holt Outlook, a na Linuxu je to s podobnými aplikacemi dost slabé.

ChromeOS je katastrofickou ukázkou, jak lze nabízet aplikace které toho umí ve srovnání s těmi desktopovými naprosté minimum, jsou do značné míry závislé na připojení, a ještě dávají vaše data Velkému Bratrovi. Děkuji, nechci.

Instalace aplikace je věcí jednoho kliku ve Storu, odinstalace dvou kliků ve Start Menu (dlouhý dotek na ikoně aplikace, vybrat odinstalaci). Nepřijde mi to jako tak zásadní overhead.

No ved staci sa pozriet ako pazravie napriklad aj taky Android. Dnes uz neni vynimkou telefon s 1GB ram a za pol roka, rok budu bezne 2GB telefony. A pritom plynulost, start aplikacii alebo aj cisto sprava procesov je stale otrasna.
A inak celkovo toto znasilnovanie bezstvoveho HTTP na pouzivanie aplikacii je hrozne.

dnesny trend web aplikacii a webbrowserov a interaktivneho webu mi pride dost komplikovany

na jednu stranu tu vidno posun smerom k prenositelnosti, rozpisem si dokument pre konzultaciu na desktope cestou vlakom/autobusom som si spomenul ze este by bolo dobre pridat este jeden odsek, vytiahnem smartmobil a na nom dopisem cez web ten odsek, ked pridem ku klientovi mam to pripravene a mozem to odprezentovat aj na jeho HW (ak by som nieco zabudol alebo nieco nefungovalo)
to je smer kam sa to ubera si myslim

problem ale je ze niektory (urcovaci standardov, alebo velke ryby) beru funkcie pre tento sposob dost svojrazne a moc rychlo, a divnym sposobom, vsetky nove featury tlacit tlacit tlacit
ako ked spravili ten game engine do JS, pritom ten engin je rychli jak blesk aj na starej sunke, ale v JS je to nepouzitelne a odstreli to comp do nepouzitelnosti
a to len preto ze ten co to robil pocita s tym ze vsetci maju minimalne dvojjadro CPU a 4GB ram

pocitam ze casom sa pretlaci web browser na uroven operacneho systemu (neake kroky tym smerom uz su), ze budu aplikacie polo webove polo nativne, teda vyuziju dole leziaci HW na podla potreby a bez toho aby ho vytazili na plno ak netreba a na akomkolvek HW takze budu dost lahko prenositelne aj medzi roznymi architekturami
nieco na sposob virtualneho operacneho systemu, kde kazda aplikacia by bola vo vlastnom sandboxe z ktoreho nemoze vyliezt (sun mal neaky projekt java ako OS ci sa mylim ?)

ale aby nativna aplikacia ktora bezi bezproblemovo aj na slabom stroji (napr text editor), vo webprostredi zabil polovicu konektivity a spomalil pocitac na uroven 286tky s 4mb ram to je uplny nezmysel, a to je to co predvadza vacsina a este sa s tym chvali aky su geniovia ze to skonvertovali

uvidi sa co prinesie buducnost ale nevypada to moc pekne kedze uz do mobilov tlacia viac jadrove procesory a 1 GB zacina byt uz aj tam standardom , skor to vypada na flakaci vyvoj web aplikacii sak ten HW to vypocita

ako prezentaciu to beriem , ALE ten projekt bol predstaveny uz neaky ten rok dozadu a ziadnej optimalizacie som si po roku nevsimol , priam naopak pribudli mapy kde predstavuju este dalsie efekty odlesky a hlbku a velkost apod, takze optimalizacie sa asi konat nebudu (cas ukaze)

z mojho pohladu sa optimalizacia v dnesnej dobe uz nerobi (neni to financne vyhodne , neni na to cas atd) uzivatelovi moze prist ze sa to casom optimalizuje ale to preto ze je trhom nauceny menit pravidelne hw za novy

ako pisete dnes je uz standard minimalne 2 jadro (to uz myslim je tiez standard z pred 4 rokov dozadu) 4 GB ram (niekde uz pisu minimum 8GB) a to su zmeny v priebehu cca 5tich rokov, takze optimalizacia dnes neexistuje, smutne je ze uz ani na mobilnej platforme sa take nekona

AAA tituly netahaju dopredu (uz davno nie), vacsina je vytvorena pre konzoly lebo tam tecie najviac penazi, niektore tituly co su prepracovane po technickej , grafickej stranke su skor take demoverzie, resp ukazka ako budu vypadat AAA tituly na dalsej generacii konzol, pocitace/deskto­py/pc hry uz tak neak stoja na mieste maximalne neaky ten efekt naviac ale nic velke (potom uz len tie "technicke dema" ak mozem tak nazvat nedorobenu nemastnu neslanu hru ktora ma ale technicky a graficky navrh)

no so sandboxom, to je smola ale super bezpecny system nebude nikdy (dokial ho "vyraba" clovek)
jedine tak sandbox na sandboxe (bezpecnostny microkernel s podpismy a certifikaciou jednotlivych modulov na ktorom pobezi zabezpeceny sandoxovy prehliadac) a to tiez nebude super bezpecne, a este ako negativum to moze byt aj super pomale (pripadne este neaky security microkernel na ktorm bezi virtualizacia v ktorej bezi sandboxovy prehliadac ktory spusta este neaku dalsu vrstvu virtualizacie)

k bodu 1, banana bread (ak dobre pamatam) = sauerbraten (cube 2 engine) prerobeny do JS