A Java mellett a Silverlight-ra is érdemes lesz biztonsági szempontból odafigyelni

Titkosítás, biztonság, privát szféra

Angler támadási folyamatábra

A Cisco Security blogján Levi Gundert és csapata közvetve arra figyelmeztet, hogy immár nem csak az elavult Java és Flash verziókra, hanem az elavult Silverlight pluginekre is fokozottabb figyelmet kell fordítania a hálózati adminisztrátoroknak. A szakemberek szerint egyre növekszik azon drive-by malware támadások száma, amelyek a Silverlight sebezhetőségeit próbálják kihasználni. Ennek az oka az, hogy az Angler Exploit Kit tulajdonosai elkezdték felruházni csomagjukat Silverlight exploitokkal.

Részletek itt és itt.

Rendben, de retek mostot leszámítva még sehol nem találkoztam vele. Amiről tudok, a Netflix használja még de csak PC-re, náluk nem kizárólagos kliens a SL mert olyan platformokra is van Netflix amint nincs silverlight.

Ezért kérdeztem kik használnak még Silverlighot?
És nem kicsi eldugott egyedi megrendelésre készült rendszerekre céloztam.

Az intranetes felhasználás nagy része elég eldugott, pedig a Silverlight ott az igazán nagy királyság. Nem kell kis megrendelésnek lennie.

Pár hsz-szel lejjebb írtam, hogy dolgoztam egy olyan frontend felületen, ami egy csomó aggregált infót szed össze különböző forrásokból, és ezt napi szinten nyúzza vagy 150 ember a cégen belül. (Ez a cég egyébként az ország egyik piacvezető cége az iparágon belül.) Az alkalmazást bitang nagy szívás lett volna HTML5-ben megírni, mert túl komplex, illetve nem tudnám elképzelni, ahogy konkrétan ezt a feladatot normális UX-szel meg lehetne oldani webes felületen.

Innentől elég kevés lehetőség marad, vastag alkalmazás, Silverlight, Java applet, stb. Java appletet kösz nem, mert akkor csak emiatt fel kellett volna venni pár Java fejlesztőt. Vastag alkalmazást kösz nem, mert vékonyklienseken is kéne mennie a cuccnak, illetve kb. egy éven keresztül néhány naponta kapott mindig valami upgrade-et, amit elég nehéz lett volna menedzselni asztali alkalmazásokkal ~150 gépen. Úgyhogy maradt a Silverlight.

tl;dr nagyon sok helyen használnak Silverlight-ot, komoly feladatokra, max nem látszik, mert a céges tűzfal mögött van. A videostreaming p*csafüst ahhoz képest, amit a Silverlightból ki lehet hozni.

Értem, tehát semmi konkrétum. Mivel zárt, kívülről elérhetetlen rendszerekről van szó ez az ideális hivatkozási alap. Ellenőrizni ugyanis nem lehet, azt állíthatsz amit akarsz.
Roppant komoly cégről lehet szó, ha egy hivatalosan halottnak nyilvánított Slilverlightra fejleszt üzleti szoftvert. Tiszta szerencse lehet, hogy a megrendelő informatikai analfabéta.

lock

Értem mit akarsz kihozni ebből, de azzal nem tudok mit kezdeni, hogy a Silverlightot tömegesen használják intranetes cuccokra. Nyilván nem reprezentatív a mintavétel, de eddig nem volt olyan munkahelyem, ahol ne lett volna SL valahol az intraneten.

Amúgy milyen megrendelőről beszélsz? Pont azért SL-ban készült a cucc, mert egy belső fejlesztés volt, és .NET-es kompetencia sok van a cégnél, más meg kevés. Amikor kb. 3-4 éve elkezdték a cuccot, még nem igazán volt rá jobb alternatíva. Megkockáztatom, még most sincs nagyon. Írják meg Flashben? Jó vicc.

szerk: Egyébként itt tudsz nyilvános eseteket olvasni vállalaton belüli SL felhasználásról: http://www.microsoft.com/casestudies/Case_Study_Advanced_Search.aspx

*sóhaj*

És még mindig van, aki nem érti... Leszarom, hogy videostreaming kategóriában hány helyen van Silverlight. Ebben a szegmensben én az RTL Mostot _sem_ ismertem, és mást sem. Körülbelül 0 darab nyilvánosan elérhető weboldalt használok, amin van Silverlight. Simán elfogadom, hogy a web 0,2%-a használ csak SL-t.

De itt egy kis esettanulmány, hogy az egyszerűbb lelkek is megértsék. Van a cégnél:
- 4 darab .NET fejlesztő
- 0 darab Java fejlesztő
- 0 darab Flash/ActionScript fejlesztő
- 0 darab HTML5/Python/PHP/JavaScript/akármilyen fejlesztő
- csillió üzemeltető, elemző, stb., aki nem fejleszt semmiben
- Egy olyan architektúra, ahol 70-80%-ban microsoft cuccok vannak.

Te egy vékonyklienst ezen tények ismeretében miben kezdenél el írni? Nem kell válaszolni, csak gondolkodj el a dolgon. Az még jobb lenne, ha félretennéd a MSFT utálatát, és próbálnál objektív lenne, de ez már opcionális.

Sosem tudtam mit kezdeni a ".NET fejlesztőkkel". Több ismerősöm is végzett programozó szakokon különböző egyetemeken. De mindegyiküket megtanították C++, Java, Python, html/js, C# nyelveken programozni. Ezek mellett más nyelveken is, de az már egyetemfüggő. Olyan egyetemi szak ahol kizárólag .NET fejlesztőket képeznek nincs az országban.
Autodidakta programozókról van szó, akik megtanulták valahonnan a .NET-et és soha többé nem akarnak mással megismerkedni?

Ilyenkor mindig az az érzésem, hogy te már rég elrugaszkodtál a vita szakmai részétől, és csak a magad szórakoztatására írsz vissza hülyeségeket.

Tehát ismét egy példa. Józsi és Béla is programozó, együtt végeztek progmaton, öt éve. Mindenben egyformák, kivéve egy apróságot. Béla az öt évet .NET fejlesztéssel töltötte, tehát 1 nyelvben van 5 év tapasztalata. Józsi 5 nyelvet tanult meg, és mindegyikkel 1-1 évet foglalkozott.

Persze Józsi darabszámra több nyelvet ismer, de ha egy cég fejlesztései elsősorban .NET-ben mennek, akkor a recruiter Bélát fogja felvenni. Pont. Sok helyen divat az, hogy univerzális embereket akarnak felvenni, érdekes módon akkor mindenki el is kezd hőzöngeni, hogy dehát enny mindenhez nem lehet érteni. Most itt bele lett keverve egy Microsoft technológia, egyből nem para az, hogy legyen valaki profi tíz nyelven, mert lett más ellenség.

szerk: Na várjunk... Tulajdonképpen mi a szarért kell elmagyarázni egy úgynevezett informatikusoknak szóló fórumban, hogy a tapasztalat igenis számít? Ezt aki nem képes felfogni, az egy idióta. "Mit jelent az, hogy .NET fejlesztő?" Basszus, hova süllyedünk már...

szerk2: Meg hogy valaki nem érti a különbséget az egyetemről frissen kijövők, junior szintet alulról súroló gyakorlati tudása, meg a senior szint között...

Ez eléggé halovány válasz arra miért fejlesztenek a Microsoft által halottnak minősített Silverlightra. Látni ugyan nem lehet a hatalmas fejlesztések eredményeit, mert csak titkos internetes szemek elől elzárt helyen tenyésznek.
A miért?-re a válasz annyi, hogy 4 db .NET fejlesztő van, akik vérprofik de csak ebben, semmi másban. Aki pedig ezt nem érti az ne merje informatikusnak se nevezni magát! Kemény érvelés.

Az ne zavarjon, hogy már a Microsoft is a html5-öt forszírozza ilyen feladatokra kliens oldalon.

A 'senior' magyar pascal meg assembly programozókat pedig inkább hagyjuk. Egyre inkább az az érzésem, hogy fogalom nélkül hantázol.

> Látni ugyan nem lehet a hatalmas fejlesztések eredményeit, mert csak titkos internetes szemek elől elzárt helyen tenyésznek.

Most min rugózunk? Hogy az intranetes alkalmazásokhoz nem fér hozzá a nagyközönség? Azt hittem, ez nem okoz meglepetést. Ismét csak azt tudom felhozni példának, hogy ennyi erővel SharePointot sem használ senki, mert alig van nyilvános SharePoint telepítés.

> A miért?-re a válasz annyi, hogy 4 db .NET fejlesztő van, akik vérprofik de csak ebben, semmi másban.

Sajnos ha a cég belső fejlesztései kizárólag .NET-ben készülnek, akkor mégis milyen fejlesztőket kéne felvenni? Javásat?

> Aki pedig ezt nem érti az ne merje informatikusnak se nevezni magát! Kemény érvelés.

Hint: nem egyetérteni kell, csak érteni. HTH.

> Az ne zavarjon, hogy már a Microsoft is a html5-öt forszírozza ilyen feladatokra kliens oldalon.

Még szerencse, hogy 3-4 éve kezdődött a fejlesztés amikor a HTML5 még sehol nem volt.

> A 'senior' magyar pascal meg assembly programozókat pedig inkább hagyjuk.

Mégis ki beszélt itt pascalról meg assemblyről? Szerintem te beszélsz itt össze-vissza, nem én. A senior nem azt jelenti a fejlesztők között, hogy ki az öregebb. Nem igazán dolgoztál fejlesztők között, ugye? Nem baj, ha nem, én is kevesebb helyen dolgoztam még, mint ahány helyen nem. Csak ugye ha valahol nem dolgoztam, azzal kapcsolatban nem osztom az észt.

> Afelől biztosíthatlak, hogy ha cég pénzéről van szó körültekintő vagyok.
Hála az égnek! :)

> Röhöghetsz kínodban
Jó, ez meg má' óvoda, úgyhogy részemről befejeztem ezt a magasröptű vitát: belátom, hogy szerény véleményem az itteni szellemi óriások, mit óriások?, titánok! világnézetét már biztos nem fogja befolyásolni. :(

szerk: Csak egy utolsó kérdés, amolyan Columbo-féle: ha te nem értesz hozzá semennyire, akkor honnan tudod, hogy hantás vagyok?

Ott a srác, kellett nekik egy intranetes alkalmazás. Volt n darab .nethez értő emberük, volt egy technológiájuk, amivel megoldották a problémát, saját maguknak. Baromira nem érdekel senkit, hogy most mi lenne a jó megoldás, akkor az volt a jó, mert hamar elkészült, nem kellett új embert felvenni, gondolom kényelmesen tudták fejlesztgetni. Ha majd átírják, akkor meglesz a knowhow, hogy mit kell a rendszernek tudnia, és ott lesz az adatbázis. Aztán majd valaki okos kiszámolja, hogy megéri-e.

"- Egy olyan architektúra, ahol 70-80%-ban microsoft cuccok vannak."

Például ilyen céghez be se adom/nem az ilyenek lesznek a megrendelőim. És ezzel nem vagyok egyedül. Ellenben láttam már olyat, ahol a .NET fejlesztő volt a 0 darab és a másik 3 volt 1+. Olyan városban vagy amúgy, ahol csak .NET volt a helyi főiskolán? Mert az remek magyarázat erre és láttam már ilyet, hogy ott a munkáltatóknál is csak ehhez értenek.

> Például ilyen céghez be se adom/nem az ilyenek lesznek a megrendelőim.

Oké. Szakmailag nehezen megindokolható ugyan, de ezért nem szólok meg embereket, mert nálam is 50%-ban a szimpátia dönt munkahelyválasztásnál, minden más a maradék ötvenen osztozik.

> Olyan városban vagy amúgy, ahol csak .NET volt a helyi főiskolán?

Nem tudom, Budapest olyan város? :)

Akkor nem, valószínűleg az lehet hogy ehhez értettél először, így ilyen környezetről volt tapasztalatod, ehhez illik az önéletrajzod, stb. Van ismerősöm aki nagyon jó kóder lenne, de sajnos PHP-val be van íigy ragadva a munkaerőpiacon, mert csak abból van sok év tapasztalata, pedig annyira szívesen foglalkozna valami általa jobbnak tartott nyelvvel (még asp vagy jsp is érdekelné), csak nem meri nemphp-ra beadni azzal az önéletrajzzal.

Nálad ebből kiindulva azt gyanítom, hogy az első munkahelyeden véletlen Microsoft volt minden, aztán az ilyen céegkhez adtad be, ahol hasonlóan göondolkodtak, vagy ilyen cégek kerestek meg. Ebből volt tapasztalatod és a környezetednek is.

Még mindig nem teljesen pontos, de jó irányba haladsz. ;)

Na jó, szabad a gazda? Az én első munkahelyemen eredetileg semennyire nem voltam fejlesztő. Főleg az Oracle szaraival kellett riportokat gyártani. Aztán egyszer történt egy olyan, ugyanannál a cégnél, hogy be kellett segíteni egy .NET-es projektbe, és bár nem azzal dolgoztam úgy általában, azért az átlagnál jobb voltam belőle, mert egy csomót tanultam önszorgalomból. A vége az lett, hogy 2-3 nap után újraíródott a munkaköri leírásom, és mehettem .NET-ben fejleszteni, ami tök jó volt.

Fast forward néhány évet. Az a cég, ahonnan tegnap léptem ki, bár megint szinte kizárólag MS termékeket használt, de nem volt fejlesztés, egyáltalán. Gyakorlatilag off the shelf cuccok voltak, de az mind a Microsofttól. Azt hiszem, egyetlen egyedi alkalmazásunk volt (mondjuk jó nagy, felér tíz másikkal), azt egy vendor csinálja - bár .NET-ben, de én csak végfelhasználóként használtam.

Egyébként megértem azokat, akik mondjuk váltani szeretnének, és néha tényleg a váltás (PHP-ről én is inkább átülnék máshova - volt szerencsém egy kis PHP-hoz is), de abban nem annyira hiszek, hogy mindenhez egyformán kell érteni. Nyilván jó az, ha az ember sok mindenhez ért egy kicsit, de én valószínűleg már megmaradok a .NET-vonalon (hacsak nem lesz különösebb okom váltani), még ha néha kell Oracle-özni, néha PHP-zni, stb. Csak hát ugye ha fogsz még három hozzám hasonlót, akkor a team Silverlightban gyorsabb/jobb munkát fog végezni, mint Java appletben.

Mondd meg az ismerősödnek, hogy ha szabadidejében egy kicsit rákészül valamelyik választott technológiára, akkor a senior PHP fejlesztő állásában tovább dolgozva elkezdhet keresni junior fejlesztő pozíciókat, küldeni jelentkezéseket.

Biztosan lesz olyan cég, akik felveszik.

Ismerek olyan céget Magyarországon, ami felvesz szívesen frissen végzett egyetemistákat és tanfolyamot tartanak nekik a szükségesnek gondolt dolgokból és aztán mehetnek projektekre. Ez miért ne működne olyannal, mint az ismerősöd?

Csak persze azt el kell fogadnia, hogy senior pozíció helyett junior lesz, valószínű a fizetés is kevesebb (esetleg pár évig), stb.

Ha meg nagyon nem válik be, még mindig visszamehet php-t hegeszteni.

> Csak persze azt el kell fogadnia, hogy senior pozíció helyett junior lesz

Ott a pont. Sokan azt gondolják, hogy Senior X-ből át lehet ülni Senior Y-ba. Nem lehet. Legtöbbször cégen belül sem. Egyébként mivel a junior pozikhoz jellemzően nem kell (sok) tárgyi tudás, simán lehet váltani, bármikor.

Érveket, légyszi! Valóban, ha van 4 .NET fejlesztő, akik JavaScriptet kell, hogy írjanak, abból bukta lesz, ezért .NET fejlesztőknek lettek felvéve, és ezért C#-ban fejlesztenek.

Azt magyarázzátok már el nekem, hogy tulajdonképpen miért kéne kidobni egy _négy_éve_működő_ alkalmazást, és újraírni a nulláról JS-ben? Simán lehet, hogy igazatok van, hiszen a magas lóról, ahol ültök, biztosan messzebbre el lehet látni, de támasszátok már alá érvekkel, ha nem nagy kérés! Kösz.

A cég kb. 600 fős, az AD csoportban, akik használhatják az SL appot, van vagy 100-150 ember, az alkalmazás pedig elég kritikus ahhoz, hogy az IT menedzserek látómezejében mindig ott legyen. De eddig senkinek, ismétlem senkinek, nem jutott eszébe, hogy HTML5/JS-ben ez jobb lenne. Nyilván, a hupuk ezt is jobban vágják.

Megválaszolom a kérdést: olyan szempontból már döglött, hogy új fícsör v. új release (Silverlight 6.0) már soha nem lesz belőle, de attól még a piacon van kismillió telepített kliens, és jópár alkalmazás ami silverlight-alapú. Ezeket szekuriti-peccselni kell amíg a support fázis tart (ezen az oldalon az MS összes termékére meg lehet nézni a dátumot: http://goo.gl/Yq2u8 ), jelen eseben ez 2021-ig tart.

Én azt nem értem, hogy kezdett el akárki is foglalkozni silverlight fejlesztéssel? Mire gondoltak? Ott a flash, ami megtalálható minden gépen, a java is eléggé ismert, erre valaki gondol egyet, és kiválasztja azt a lehetőséget, amit tuti nem találni meg egy ügyfél gépén sem?

Egyik előző munkahelyemen kellett faragnom egy SL alapú adatbáziskezelő/riporting frontend felületet. Marha jó volt, és nagyon szépen illeszkedett a .NET-es környezetbe.

Ha Java-ban lehetett volna csak megcsinálni, akkor az hatalmas pluszköltségekkel járt volna. Eleve lehetett volna azzal kezdeni, hogy felveszünk 4-5 Java fejlesztőt.

Silverlight on the other hand grew very popular for corporate intranet applications, spawning off basically a mini-industry in the IT world. [...] Silverlight developers are not creating websites in the conventional sense. They are most often building line of business applications that just happen to be deployed via a web server. These LOB applications can be fairly complex and they chose Silverlight because it offered a lot of tooling to make the complexity manageable

( blueghost | 2014. 05. 22., cs – 13:55 )

"Nagyon sok a veszedelem amire már oda kéne figyelni."