Magyar Opera

Biztonság vs. HTML5

Vagy pontosabban megfogalmazva lehetne ezen post címe Biztonság vs. őrült sebességű implementáció is. Ez jobban fedné a valóságot. Ugyanis már harmadszor történt olyan eset, ami elkerülhető lett volna, ha egyes böngészőfejlesztők nem játszadoznak Working Draft besorolású specifikációkkal.

Az első két esetről:

Az első a sokak számára már ismert WebSockets volt, amikor is kiderült, hogy biztonsági szempontból kérdéses a specifikáció. Ekkor már több böngészőfejlesztő, köztük az Opera is implementálta. A Chrome kivételével a többiben (Firefox és Opera) a fejlesztők gyárilag letiltották. Ezekben az about:configból, illetve opera:configból lehetett manuálisan engedélyezni igény szerint, így itt már nem képezett biztonsági rést.

A második a <device> elem volt, de ennek nem volt biztonsági jelentősége, egyszerűen csak plusz felesleges munka volt vele.

És végül elérkeztünk a harmadik, eddigi legnagyobb esethez, amit a Microsoft indított el és sokak által (lásd például az ITCafén a kommenteket) ellenérzéseket váltott ki melyek a már örökzöld "csúnya, gonosz Microsoft" típusú kommentek formájában fogalmazódtak meg.

A probléma viszont nagyon is valós és komoly, függetlenül mindenféle járulékos haszontól.

Konklúzió: Természetesen a WebGL szó szerint új dimenziókat nyit a böngészés terén, de azért mint minden újdonsággal körültekintőnek kell lennünk, mert nyilván nem szeretne senki egy második Adobe Flash-hez hasonló biztonsági rést a böngészőbe építve.

Éppen ezért kár lenne ekézni a böngészőfejlesztőket azért, hogy milyen sorrendben és milyen sebességgel implementálják az adott specifikációt, ugyanis az egy bolond százat csinál elvét követve esélyes, hogy eleve lyukas alapokra építjük a jövő webes alkalmazásait, aminek beláthatatlan következményei lehetnek, amiket a linkelt blogon elég jól kifejtettek. A kékhalál a legenyhébb formája.

Az Operának a piaci részesedésénél fogva nem sok lehetősége van megfontolt lépésekre kényszeríteni a piacot, de jó látni, hogy a Microsoft is észhez tért, még ha van némi hátsó szándékuk is. Így talán többen átértékelik a kérdést és nem az lesz a legnagyobb probléma, hogy melyik böngészőben hogyan úsznak a halak.

A bejegyzés trackback címe:

https://magyaropera.blog.hu/api/trackback/id/tr392993244

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Teddy Beer 2011.06.18. 18:42:42

Ha lesz webgl le lesz tiltva pronto. A picipuha meg hamarább is rávethette volna magát a webgl-re mert már régóta nyílt titok, hogy szemétdombra való az egész, ha már a saját hülyeségüket akarják mindenkinek a torkán lenyomni.

Fushi Mishi 2011.06.19. 18:34:44

A WebGL előtt jó lenne egyszerűbb dolgokat rendbetenni, mint pl. a menük ezeken az oldalakon:

www.literatureandlatte.com/index.php
www.es.hu/

penge™ · http://www.thevenusproject.com/ 2011.06.20. 00:39:57

@Fushi Mishi: Talán ha a betűtípust nem valami speciális módon definiálnák, hanem mondjuk CSS-vel, akkor nem lenne ilyen probléma.

LGB 2011.06.20. 11:56:16

Azert en fenntartom az ITCafe-en is irt velemenyemet: ilyen elven a TCP/IP sem megbizhato, hiszen lehetove teszt egy adott gep tulterheleset tavolrol (DoS/DDoS). Ettol persze teny, hogy a WebGL jelenthet olyan problemakat, amit az MS is ecsetel, viszont ugye egy rendszer biztonsagat egeszen a hasznalhatatlansagig lehet novelni, ergo be sem kapcsolt gep a legbiztonsagosabb, megsem ez a cel, tehat a lo tulso oldalara sem szabad atesni. Velemenyem szerint itt nem arrol van szo, hogy az MS ettol lenne "csunya/gonosz/stb". Az viszont teny, hogy ilyen funkcionalitasra egyre jobban igeny lesz, de az is lehet, hogy sok viz folyik le meg a Dunan, amig normalis, es mindenki altal elfogadhato megoldas szuletik. Valahol viszont el kell kezdeni ...

sanyix 2011.06.20. 16:19:26

kamu bullshit az egész, főleg egy olyan cégtől ami a fergetegesen biztonságos activex-et, ie6-ot tolta, és a szintén rendkívül "biztonságos" flasht is támogatja...

pl a webgl sebezhetőséget bemutató demó úgy konkrétan egy fail mert nem működik úgy ahogy írják...

penge™ · http://www.thevenusproject.com/ 2011.06.20. 17:31:23

@LGB: Valóban, viszont a DDoS-szal csak szervereket bénítasz meg, itt meg a kliensgépek is veszélyben vannak.

Másrészt ebből látszik, hogy körültekintőnek kell lenni, a TCP/IP protokol már nagyon régi, mégis állja a sarat. Képzeld el mi lett volna, ha annak idején nem a hadsereg tervezi, hanem valami marketinges gyökér.

Más: Igény? Konkrétan mi? A 3D-s webáruházak, ahol "eltéved" a vevő ahelyett, hogy vásárolna, vagy csilivili akváriumok? Mire lehet még használni, ami értelmes? Ja FPS játékokra. Igen. Úgy gondolom ez azért nem túl nagy áldozat azért, hogy elnapoljuk a specifikációt biztonsági szempontokból. Elvégre itt már nem "csak" vírusról van szó, hanem kernelszintű ténykedésről egyenesen a böngészőn keresztül. Meglátogatsz egy oldalt, ami egy bit.ly mögött lévő pistike.atw.hu aztán jobb esetben kékhalál, rosszabb esetben (mondjuk gyengébb hűtésű laptopokon) elolvad a VGA.

Azért ez erősen túlmutat a "User kikapcsolt UAC-lal letölti a porn.exe-t, majd adminmódban futtatja" típusú kockázati tényezőnél.

LGB 2011.06.20. 18:32:22

@penge™: Nem teljesen, az ITcafe-es peldam tenyleg rossz volt, mert felreertheto volt. Amire celoztam volna az az volt, hogy a TCP/IP (de vegulis barmilyen protokol is lehetne, amivel egy halozaton kommunikalni lehet) is tamadasi feluletet nyujt, es kliens gepek is veszelyben lehetnek (megha ez nem is gyakori tamadasi modszer, hanem inkabb szerverek eseten hasznalatos): ha tudjak az IP cimedet, es tul sok csomaggal bombaznak, egy desktop gep is megfekudhet tole, vagy legalabbis zavarjak a normalis halozati tevekenysegedet, stb (zaroljelben megmlitem, hogy ez kulonosen vicces pl Commodore 64-en, mert ugye ott nincs tul sok eroforras, en meg jatszogatok olyasmivel is, hogy TCP/IP stack C64-re: ok, nyilvan erforrasban nem uaz a kategoria mint egy modern PC, de minden eroforras elfogyhat egyszer). De igazad van, nyilvan nem ugyanaz a kategoria azert, csupan filozofiai sikon emlitettem, hogy valahol minden kockazat, ha "nyitsz a halozat fele". Persze a porn.exe letoltese vagy ez a pelda, vagy barmi mas: azert vannak a kockazati tenyezok kozott kulonbsegek. Ami a 3D-s web igenyet illeti, szerintem te is tul szuklatokoruen nezed a dolgot. Gondoljunk csak arra, hogy anni mi volt a web, es mi ma. Akkor lehet, gondolni se gondoltak volna olyan felhasznalasra, amire ma hasznaljuk, video a weben? WTF? Amikor a web kvazi statikus valami volt, a user interakcio teljes oldal ujratoltest igenyt, AJAX ilyesmi persze nem is letezett, stb. Max form-okba gepelkettunk, aztan az mar milyen hatalmas feature volt, hogy van "vendekonyv" az mar a "dinamikus oldalak netovabbja volt". En ebbol indulnek ki: amire ma azt mondod, hogy miert kell ez barkinek, az nem tudhatod hogy nem lesz-e alapdolog X ev mulva. Ki gondolta volna akkor pl, hogy olyasmikre szukseg lesz, vagy egyaltalan letezni fog mint az AJAX szeru mukodes, vagy egyaltalan az "oldalban futo kod" (JavaScript pl), a CSS megjelenese (irjuk csak le szepen html-el, tablazatokkal, miegymas). Ezzel nem azt akarom mondani, hogy ma olyan hatalmas igeny lenne a "3D web" szeru feature-okre, de legalabbis az en tapasztalataim azt mutatjak, hogy amit egykor "technikai demo szintu baromsagnak" neztek (es celja kb "erodemonstralas" volt, mindenfele tul ertelmes cel nelkul), az kesobb fontos es csaknem nelkulozhetetlen dologga valt. Ezert is mondom, hogy nyilvan nem feltetlen a WebGL a tokeletes megoldas, nem is biztos, hogy manapsag van tul nagy letjogosultsaga, de nem tudhatjuk, hogy valamikor nem lesz-e mindennapos egy hasonlo (meg ha nem is pontosan a WebGL) technologia. Bocsanat a gepelesi hibakert, csak eppen rohantam :)

penge™ · http://www.thevenusproject.com/ 2011.06.20. 18:38:05

@LGB: Én is rosszul fogalmaztam. Úgy értettem a "nem szükséges"-t, hogy közel sem annyira szükséges, mint például az x86->x64 váltás vagy az IPv4->IPv6 váltás.

Értsd: Jóval több időnk van normális technológiákat kidolgozni, nem egy több sebből vérző félkész valamit kell foltozgatnunk.

LGB 2011.06.20. 20:18:48

@penge™: Ok. Ja hat igen, annyira tenyleg nincs itt meg a dolog ... Amugy is nehez velem vitatkozni/beszelgetni, mert eleg szep ketosseg van bennem: egyreszt "szar minden" ami nem fer bele a C64 memoriajaba (foleg ha a "Hello world!" az ... az mondjuk azert mutat valamit, hogy milyen pazarlasok vannak), masreszt neha viszont olyan "parasztavakitasok" lelkesitenek mint a 3D web :) Valoban, nem olyan surgos, en csak azert allok ki mellette, mert engem erdekel, es imho az igenis jo dolog, ha minden browser tamogatna azt a - jelenleg - kvazi standard megoldast, amit ma a WebGL jelent, viszont abban egyet ertek, hogy nem kene defaulte engedni, mert akar veszelyes is lehet. Viszont a minnel szelesebb koru implementalasa azert erdekes, mert a tyuk es tojas cimu problema: soha nem indul be a dolog, nem javitanak problemakat, nem talalnak ki jobbat stb, ha nem akarjak implementalni (pont azert mert nem kiforrott - es itt zarul be a kor). Az MS kapcsan meg annyit, hogy kisse valoban gyerekes csak az MS-t hivni gonosznak, hiszen minden for-profit ceg celja a penzszerzes elsosorban, nem hiszem, hogy lenne abszolute "gonosz" meg "josagos". Amit az IT Cafe-en is mondani akartam: nekem azert gyanus a dolog, mert van egy olyan erzesem, hogy MS is szeretne a "3D web" korben nyomulni, csak sajat megoldast akar. Ez viszont nem tetszik, annyiban sem, hogy nekem az jott le toluk: szerintuk az otlet eleve halott stb, de valahogy van az a sanda gyanum, hogy nemsokara bejelent valami sajat megoldast, szoval kicsit ketszinu a dolog. Ettol persze nem lesz "gonosz", legalabbis nem gonoszabb, mint barmely mas ceg. Attol persze ironikusan ha irok errol, akkor lejohet az ugy, hogy szerintem MS a megtestesult gonosz. Szolhatott volna azonban az adott cikk ott pl az Apple-rol, stb. Szoval nem az MS volt a lenyeg, imho. Nade, hogy veget erjen ez a comment is: szoval sorry, ha felreertheto voltam.

Krissz5435 2011.06.20. 21:23:34

Amióta mutattátok ezeket az opera:configos módosításokat már nem is várom a hw gyorsítást és elvagyok mint a bolondbefőtt :D

Mihics Zoltán (Med1on) 2011.06.20. 23:10:03

@Krissz5435: Rengeteg beállítás van még, amivel bőven el lehet lenni az Opera 13-ig is. :D

Krissz5435 2011.06.21. 08:27:42

@Med1on: Ja csak mik ezek? mert amit penge mutatott az előző posztban azok inkább olyanok hogy töröld a cache-t meg töredezettségmentesíts gyakran, stb. Én pl olyanra lennék még kíváncsi amit az opera:configban lehet állítani és azért tényleg látszik a sebességen.

Mihics Zoltán (Med1on) 2011.06.21. 13:32:46

@Krissz5435: Nincs általános "csodabeállítás". Itt található egy pontos leírás: www.opera.com/support/usingopera/operaini/ ,amit változtatásra érdemesnek gondolsz azt állítsd át. :D

Krissz5435 2011.06.21. 13:35:47

@Med1on: Nah ilyenre gondoltam, kössz.