Ez a vita parttalan. Állandóan webgl-t emlegetsz, holott csak a windows implementációját kritizálod, amihez a webgl szabványnak nem sok köze. Pl az, hogy az OpenGL-t teljes mértékben a video driverek implementálják, csak Windowsra igaz, nem minden webgl megjelenítésre alkalmas platformon van így. Mellesleg ott lesz a Chrome, ami -mint mondod- tudja majd a DirectX backendet, szóval én nem is értem, hogy miről vitatkozol tulajdonképpen. Azt látom, hogy minden kiragadott mondatra van egy cáfolatod, csak épp a témára nincs. (Talán turul se értene félre, ha jól használnád a fogalmakat és azt írnád, amire gondolsz.)
> Te itt valamit nagyon félreolvastál, mert az MS sehol se írta, hogy a Silverlight a válasz mindenre.
Nem támogatja, sőt, kritizálja a webgl-t a biztonsági hiányosságai miatt, ellenben a Silverlight5-ben teljes mellbedobással a 3D mellett van. Tehát az szerintük biztonságos .. vagy hazudnak, hiteltelenek.
> Egyrészről hatalmas csúsztatás összemosni egy JS végtelen ciklus miatt belassuló böngészőt, egy teljes desktop merevre fagyást okozó video driver buggal
Erre már most van megoldás a webgl-be. A PoC-od egyszerűen nem működik. Az nem DoS, hogy 10mp-re megakad a gépem HA megnézem az oldalad. Én értem, hogy ezzel akarod szemléltetni, hogy mi mindent be lehet adni a GPU-nak amitől fejreáll (egyet is értek vele!), de azt akarom látni, hogy:
- a DirectX ezt minden esetben out-of-box megakadályozza
- webgl-ben képtelenség rá megoldást találni
Ha ezek nem teljesülnek, akkor nincs miről vitatkozni, mert abban egyetértünk, hogy a webgl extra kockázat, ami eddig nem volt. De mutass jobbat, követendőt - a Silverlightos érveid egyelőre nem tudom elfogadni.
> Tekintve, hogy a DirectX több komponensét is használják már sok éve (Direct2D, DirectInput, DirectSound, DirectX Video Acceleration, stb.) a webes kiegészítők (mint pl. az Adobe Flash, vagy az Adobe Shockwave) és még sose használtak ki rajta keresztül video driver hibát, ezért mindegy, hogy szerinted a DirectX sem arra készült... Amit fel kellene fogni, hogy a DirectX egy külön absztrakciós réteg [...] (- igen, jelenleg, WINDOWS-on.)
Az Adobe Flash nem MS platformon pedig OpenGL-t használ épp azóta, amióta Windowson DirectX-et. - most jön megint az, hogy de Windowst sokan használnak..?
A Chrome inkább azért nézegeti a DirectX-et, hogy minél több, régebbi hardverrel is kompatibilis legyen, ahogy te is írtad. A többit talán csak te képzeled bele.
- Tehát mégegyszer: a Silverlight ellenben nem a video driver OpenGL interfacével beszélget direktben.
- Persze, csak egy rakás hiba van, amely DirectX-en keresztül nem triggerelhető, OpenGL interfacen keresztül meg igen.
- A DirectX ad egy stabil, független layert amit használnak, ami adott esetben jópár video driver problémát eltakar.
- Mindenki DirectX-en keresztül tesztel, benchmarkol Windows platformon manapság már.
Továbbra is megválaszolatlan a kérdésem, hogy hol a bizonyíték arra, hogy a DirectX valós támadást képes kiszűrni? Az, hogy sok game van rá, semmit nem jelent. A Linux kernel is rengeteg szoftvert futtat a világban, aztán mégis kibuknak benne több éves hibák is amikor valaki jól ránéz.
Pl Linuxon a Gallium3D egy csomó duplikált kódot kivesz a driverekből, akárcsak a DirectX. Hogy windowson ez nem így van, ahhoz csak a böngészőknek van némi köze, de semmiképp nem a szabvány alkotóinak.
>>Ez épp olyan, mint amikor azt állítja valaki, hogy a Linux biztonságos, mert senki nem használja, ezért nincs rá vírus sem.
>Ugyan itt se látom az összefüggést, de amit leírtál így van. 1% desktop Linuxra nem éri meg botnetet építeni.
Attól nem lesz biztonságos, követendő példa, csak kevésbé kockázatos használni.
>Egyébként ezt is írtam turul16-nak. Előbb fel kellett volna tárni a WebGL miatt megjelenő új veszélyforrásokat, meg kellett volna érteni a feltártakat és a specifikációban rögzíteni az elkerülésükhöz szükséges alapokat. Nem pedig utólag fejet vakarni és implementálgatni ilyen-olyan szűrőket, hogy azok majd talán megoldják a problémát. Agyrém.
Feltárták. Azért jött létre pl a GL_ARB_robustness, azért van a Chromiumban watchdog, ami leállítja a PoCod 10mp után. Szerintem megtették azt ami elvárható, eddig nem is láttunk értékelhető exploitot, csak a szájtépést. Persze biztos vagyok abban, hogy egyszer lesz, de az, hogy eddig még nincs, holott 2 major browser by default sebezhető lenne vele vele, az akár azt is jelentheti, hogy felkészültek..
>>de nem lehet mondani, hogy nem próbálkoznak.
>Jah, eső után köpönyeg.
Nézted, hogy mikori spec.? Jóval régebbi, minthogy az első aggályok publikusan megjelentek..
Az, hogy by default be van kapcsolva, tényleg necces. Legalább egy kérdést feldobhatna, hogy a weblap ilyen olyan hozzáférést kér a géphez, ami kockázattal jár. Ez a kérdés azonban teljesen független a webgl-től, sőt, nem is igazán műszaki kérdés, nem is onnan kell megközelíteni.