Microsoft: WebGL jest zagrożeniem

Najwyraźniej M$ z defensywy przeszło w ofensywę: zamiast naprawiać błędy we własnych programach wytykają błędy w cudzych programach...

To dobrze że Microsoft zainteresował się tym tematem. Internet jest coraz mniej bezpiecznym miejscem, nikomu nie można ufać i wszędzie czyha niebezpieczeństwo :(

No to może nie rozwijajmy nic, bo przecież wszystko co nowe to może być niebezpieczne.

Ale nie. Zaraz MS "wspaniałomyślnie" zaproponuje "własne" "multiplatfomowe" rozwiązanie.

@scripter1
Czy Ty zrozumiałeś choć część artykułu? Czy pie***ysz dla samego pie***enia?

Nie wyobrażam sobie że wejście na stronę web może mi kompa zrestartować. WebGL to zuooo!

Dopiero teraz? Już miesiąc temu rządowa organizacja US-CERT ogłosiła że zaleca zablokowanie WebGL w każdej przeglądarce z uwagi na luki w zabezpieczeniach. To w zasadzie rozwiązało wszystkie wątpliwości.

http://www.us-cert.gov/current/archive/2011/05/13/archive.html#web_users_warned_...

"US-CERT is aware of reports indicating that WebGL contains multiple significant security issues. The impact of these issues includes arbitrary code execution, denial of service, and cross-domain attacks. WebGL is a new web standard that is enabled by default in Firefox 4 and Google Chrome and is included in Safari."

OMG Nie straszcie mnie tym fontem. :)

@Omikron
M$ próbuje wszystkiego by ratować swoje technologie i dominację ich standardów WebGL to zagrożenie wielopoziomowe :

1) Popularyzuje OpneGL bo Dx czegoś takiego niema.
2) Udowadnia że oprogramowanie redagujące sceny 3D nie musi być zależne w takim stopniu od środowiska jakby tego chciał M$.
3) Po ostatniej wpadce i poparciu HTML5 muszą pokazać developerom że jednak przyszłość to Silverlight.

A co do bezpieczeństwa wystarczy zdrowy rozsądek i mózg oraz trochę wiedzy, a M$ dla "naszego bezpieczeństwa" w EFI wrzucił DRM :P .

Pzdr.

@tomimaki

MIesiąc temu US-CERT zalecił zablokowanie WebGL. Co miał zrobić Microsoft? Olać rządowe wskazówki ponieważ ktoś chce miec animiowany napis 3D na stronie?

@xernos akurat WebGL na Windows ma być realizowany przez wrapper DX

@xernos
"1) Popularyzuje OpneGL bo Dx czegoś takiego niema."

Brzmi jak blebleble.
Czego to nie ma???

Dlaczego odniosłem nieodparte wrażenie, że MS obawia się WebGL? Czyżby presja ze strony akcjonariuszy?

@MSFT
M$ niema własnej implementacji biblioteki DX w której po napisaniu danego kodu można by w przeglądarce stron WWW zgodnej z współczesnymi standardami niezależnie od platformy wyświetlać sceny 3D.

Niestety, prawda. Dla Microsoftu i jego IE wszystko jest źródłem trudnych do naprawienia luk bezpieczeństwa.

@MSFT
A czy ty zrozumiałeś co napisałem czy ot tak sobie klepiesz w klawisze?

Ja też nie wyobrażam sobie że wejście na stronę web może mi kompa zrestartować ale akurat MS nie powinien wytykać cudzych błędów bo w jego oprogramowaniu jest ich najwięcej, niech najpierw naprawią swoje programy.

Mozilla zamiast jęczeć jak MS że WebGL jest złe po prostu wprowadziła zabezpieczenia.

A zresztą to chyba system powinien pilnować żeby hardware nie był nazbyt eksponowany...

@xernos

http://www.innoveware.com/ql3/QuakeLight.html :)

masz, do edukuj sie i przestan gadać glupoty na temat, na o ktorym masz zerowe pojecie

MS ma rację ¦ integrowanie takich niskopoziomowych rozwiązań jest niebezpieczne.

Tylko co z akceleracją w IE9? To już jest ok i przynosi przydatną funkcję oglądania tysiąca animowanych rybek?

no takie błędy jak ten który pozwala zrobić zrzut ekranu strony itd.. to pomyślcie sobie ile takich kwaitków można zrobić, że nie będzie o nich wiedział nikt przez jakiś czas... pełna inwigilacja w sieci już jest.. jestem przekonany!

Ojejku, WebGL może robić DoSy, a canvas to nie ? :P
Szukanie dziury w całym.

Tak WebGl jest zagrożeniem, ale... dla monopolu Microsoftu.

Wielkie odkrycie że MS będzie robił wszystko żeby zablokować multiplatformowość.

@herr - jak MS ma rację, to wyjmij r-jotkę z kompa - będziesz bezpieczny, jak cholera ;) MS jest, po prostu, nie nauczony do dostosowywania swoich produktów do czyichś pomysłów. Zawsze oni narzucali standardy i każdy miał się z nimi liczyć, a jak się nie liczył, to nie istniał. Niech choć raz się postawią w roli "dostosowującego się" i zobaczą, jak to jest ;) i tak mają uproszczone zadanie, bo nie muszą stosować inżynierii odwrotnej... Wiem, że nie powinienem porównywać do samochodów, ale to jest jak byśmy byli na etapie wdrażania turbosprężarek, a tu GM mówi: Nie. Niebezpiecznie jest dodawać powietrze pod ciśnieniem wprost do silnika, bo to może grozić eksplozją bloku silnika - doprawdy, jakbym coś takiego słyszał ;)

Taa, a najbezpieczniejszy to jest pewnie Silverlight. Prawda jest taka, że nawet głupi JavaScript nie raz był powodem wywalania przeglądarek, i umożliwiał ładne włamanie do komputera, nie mówiąc już o tym, że najczęściej problem występował, z IE i Windowsem (kiedyś była nawet dziura, związana z kodem HTML, bez żadnych skryptów...).
Nie uważam, że MS jest jakiś zły, ale zajmuje się nie tym co trzeba. Zamiast narzekać, niech naprawia, lub proponuję poprawki, tym bardziej, że z tego co kojarzę, WebGL jest ciągle w fazie testowania ("draft"), i nie chodzi tu o wytykanie błędów, tylko ich łatanie...

@MSFT
"Nie wyobrażam sobie że wejście na stronę web może mi kompa zrestartować. WebGL to zuooo!"
O ile IE9 się poprawił, to w poprzednich wersjach, dużo stron potrafiło zresetować komputer,i nie potrzebowało WebGL :)

@herr
"Tylko co z akceleracją w IE9? To już jest ok i przynosi przydatną funkcję oglądania tysiąca animowanych rybek?"


HTML5 Canvas oraz WebGL to jak dwa odległe bieguny.

1. HTML5 Canvas jest standardem W3C, WebGL nie jest standardem i nigdy się nim nie stanie (W3C odrzuciło WebGL jako potencjalny standard WWW)

2. HTML5 Canvas udostępnia zamknięty zestaw funkcji graficznych które mogą zostać zaimplementowane na różne sposoby. Niektóre przeglądarki wykorzystują GPU inne tylko CPU. Twórcy stron nie mogą tworzyć nowych funkcji !

WebGL to całkowite przeciwieństwo. API jest całkowicie otwarte i można dodawać zupełnie nowe fukcje (programy dla shaderów). Tym samym strona może wykonać dowolny kod w trybie 'jądra' systemu operacyjnego.


Jak więc widzisz 'akceleracja sprzętowa standardowych funkcji HTML5 Canvas' oraz 'umożliwienie wykonania dowolnego kodu bezpośrednio przez sterownik GPU' to dwa bardzo odległe bieguny :)

Niech microsoft zajmie się swym ie9 ktore jest dziurawe jak sito i ser ;]

Nie mam nic przeciwko aby Microsoft wypuścił wieloplatformowe WebDirectX. Microsofcie czekam na waszą bezbłędną i bezpieczną implementację 3D w przeglądarce.

"stara się określić wpływ różnych technologii na bezpieczeństwo produktów Microsoftu i klientów firmy."

Hahahaha, od kiedy to M$ dba o bezpieczeństwo klientów?! Niech lepiej najpierw zabezpieczą windowsa, ponieważ to jedna wielka dziura.

Poproszę linka do shaderu generującego zrzut ekranu!!! W zamieszczonym linku jest tylko o Cross-Site Textures, a tym daleko do zrzutów ekranu.

Pytanie po co zwykłemu użytkownikowi efektowne animacje na stronach internetowych. To się może przydać na pewno reklamodawcom. Już niedługo nie będzie można normalnie poruszać się po internecie jeżeli karta komputera nie będzie obsługiwać sprzętowo cieniowania, a korzystanie z internetu na laptopie zasilanym z baterii stanie się prawie niemożliwe.

@MSFT :)
Restart nastąpi na WinV i Win7 :) bo te systemu mają zabezpieczenie:
jeśli karta graficzna nie odpowiada przez X czasu, wtedy zresetuj, jeśli to Y raz, to resetuj całego kompa.

Troszkę naiwne ale wystarczało dla lokalnych programów.

"includes arbitrary code execution"
Nikt nie podał exploita ani nawet jakiego kolwiek scenariusza w którym to jest możliwe. Ani US-SERT ani Context. Ani nawet MS.

""DX" [...] Czego to nie ma???"
Nie ma sieciowego odpowiednika. Ale chodzą słuchy, że w Silverlightcie 5 ma się pojawić jakaś forma DX-a.

"marekR44 (niezalogowany)
@xernos
http://www.innoveware.com/ql3/QuakeLight.html :)

masz, do edukuj sie i przestan gadać glupoty na temat, na o ktorym masz zerowe pojecie "

A jesteś pewien, że ten przykład wykorzystuje akcelerację 3D na karcie graficznej? Przecież to samo, można wykonać i na procku (bo i obecne procki są o niebo szybsze od tamtych kart graficznych).

@chrome_9

1)Nagle to tylko W3C może wydawać standardy? PS W3C wydaje rekomendacje ;P

Standard - specyfikacja, udostępniona dla chętnych - WebGL - tak
przemysłowy Standard - wdrożony w większości aplikacji - WebGL - tak
de facto Standard - posiada dominującą pozycję na rynku - WebGL - tak (bo ani MS ani Adobe jeszcze ostatecznych wersji swoich odpowiedników nie wprowadzili).

2) Jak to się ma do bezpieczeństwa?

WEBGL NIE WYKONUJE KODU W TRYBIE KERNELA!
Shadery to kod źródłowy, dopiero binarka wędruje na GPU ale dalej nie jest wykonywana w TRYBIE KERNELA.

Na dobrą sprawę akceleracja Canvas w tamin samym stopniu jest wykonywana w trybie kernela co shadery WebGL :D

Poczytaj jakieś książki o nowoczesnym programowaniu gpu, mogą być o DX!

Za to zgadzam się, że api canvas można statycznie sprawdzić przed wywołaniem, shadery jako prawie język kompletny już tak łatwo sprawdzić się nie dają.

MS może:

1) Zmienić mechanizm restartów karty graf. na mechanizm zabijania procesów i uwalniania karty graficznej.
2) Współpracować z innymi nad uszczelnieniem dolnych partii systemu.
3) Dodać do IE9 czarną listę stron blokujących gpu.

I MS to zrobi jeśli tylko do SL5 trafią funkcje podobne do WebGL-a.

Ale po co ma teraz to robić jeśli może podkopać pozycję konkurencji?

Powody wysuwane przez MS są ważne, ale nie na tyle aby MS mogło:
a) wytłumaczyć swój całkowity brak zaangażowania w rozwój WebGL
b) wytłumaczyć swój całkowity brak w rozwiązanie tego problemu (który istniał od wieków, ale MS nie chciało go rozwiązać)

@foreste

"Niech microsoft zajmie się swym ie9 ktore jest dziurawe jak sito i ser ;]"

Pokaż mi te dziury fanboyu Chrome czy FF...

Ostatnio to Chrome i FF były łatane jak stare dziurawe skarpety.

WebGL jest potrzebne Google do uatrakcyjnienia swojego Cloud Marketu, do którego dostęp ograniczony będzie przeglądarką Chrome OS. Bez WebGL, co będą mieli do zaoferowania płatne gadżety korzystające z Javy i Flasha.

@HallunX
Mozilla zawsze łatała FF jak stare dziurawe skarpety i się z tym nie kryła. A że robi to wydajnie (szybko i bez pobłażania) to tym lepiej.

Kolejna zagrywka MS, aby ud*** konkurencję, nic więcej.

M$ chce wyeliminować z rynku WebGL i wprowadzić szeroko directx pewnie jak zwykle w informacjach podawanych przez tą korporacje wiele prawdy niema

MS ma trochę racji. Moim zdaniem WebGL faktycznie pozwala programiście na zbyt dużo.

WebGL: Microsoft jest zagrożeniem.

Prawda jest taka, że M$ najwidoczniej NIENAWIDZI wieloplatformowości, a jeśli już to wg. nich ma ona opierać się tylko i wyłącznie o różne wersje Windowsa. Zależy mu, aby każde oprogramowanie (czy gra) było tylko i wyłącznie na "jeden słuszny system" ewentualnie na MacOS X - ale pod warunkiem, że taka aplikacja(nawet ta sama wersja o identycznym wyglądzie i funkcjonalności) będzie stworzona od początku i koniecznie oparte o systemowe API.
Wszystko, żeby tylko gdzie nie dało się jej z łatwością przeportować na jakikolwiek niekomercyjny OS - bo przecież to byłaby straszna tragedia!!! :-o

@bart86
"M$ chce wyeliminować z rynku WebGL i wprowadzić szeroko directx"

"szeroko" - ale tylko dla Windows, ewentualnie też na MacOS X.

"Na dobrą sprawę akceleracja Canvas w tamin samym stopniu jest wykonywana w trybie kernela co shadery WebGL :D "

ale widzisz chyba różnicę pomiędzy udostępnieniem API w postaci np: rysuj prostokąt, a w postaci: załaduj dowolny shader wykonywający dowolne obliczenia 1000x szybciej niż JS ?

"WEBGL NIE WYKONUJE KODU W TRYBIE KERNELA!
Shadery to kod źródłowy, dopiero binarka wędruje na GPU ale dalej nie jest wykonywana w TRYBIE KERNELA. "

-- w pewnym sensie chrome_9 ma rację - kompilowanie/optymalizacja (a nawet niekiedy podmiana shaderów) dzieje się w sterowniku producenta karty.

@G.Gn7Ex
Silverlight ma bardzo dobry plugin na maka, ale nie wiem jak MS chce dodać obsługę XNA3D do Mackowego pluginu.

PS to nie DX3D ma konkurować z WebGL-em ale XNA3D i to troszkę okrojona, bo i SM tylko 2.0.

@G.Gn7Ex
o to mi chodziło a na pewno DX nie zostanie udostępniony dla androida, meego czy innych systemów niż te M$ na smartphony i tablety

Jak to było? "widzisz cierń w oku brata swego lecz nie widzisz belki w oku swoim"..

Gdyby MS tak dbał o bezpieczeństwo to już dawno zrezygnowałby z IE i napisałby przeglądarkę od nowa. Oczywistym jest, że WebGL jest zagrożeniem dla Microsoftu, ale zagrożeniem ekonomicznym. jeśli WebGL będzie coraz bardziej popularny to MS nie zdoła ludziom wcisnąć swojego, jak zwykle ograniczonego patentami, standardu w stylu jakiegoś "DXWeb".

@przemo_li
""DX" [...] Czego to nie ma???"
"Nie ma sieciowego odpowiednika. Ale chodzą słuchy, że w Silverlightcie 5 ma się pojawić jakaś forma DX-a."

A co ma pies do wiatraka? przecież Silverlight czy XNA to całe runtime-y i biblioteki które muszą (SL) być do przeglądarki załadowane jako pluginy, podczas gdy WebGL to tylko specyfikacja, której implementacją ma się zająć producent przeglądarki. To tak jakby porównywać HTML do Gecko

wiec co wspólnego ma mieć DirectX,Silverlight czy XNA z WebGL-em ?

Odnoszę takie wrażenie, że MS będzie wspierał takie standardy jakie wspiera obecnie IE, próbując to narzucić innym, ale całe szczęście to już nie te czasy, jeśli chodzi o rynek przeglądarek.

idąc tokiem rozumowania M$ nie powinno się w ogóle używać windowsa bo jest on dziurawy i pisanie łat spada na barki producentów sterowników oraz oprogramowania :P

MSFT - "Nie wyobrażam sobie że wejście na stronę web może mi kompa zrestartować. WebGL to zuooo!"

Jak to możliwe na Twoim super bezpiecznym Wnidowsie?? :D:D

Jaki system takie bezpieczeństwo. ;)

"Microsoft works!" ;)

Context w swoim 2 podejściu do WebGL przeprowadzał testy na różnych systemach, jak zachowują się podczas ataku DoS.

Win7 i Lin wytrzymały bez szwanku, a nawet WinXP z AMD wytrzymał. Stąd wniosek, że można, ale MS teraz narzeka, a jak wydadzą SL5 to pewnie będą się chwalili, że rozwiązali te problemy w "natywny" sposób i inni tak nie mogą.