A hozzászólásaid egy részében olyan dolog ellen érvelsz, amit senki nem állított. Mindenki tudja, hogy a webgl új kockázatokat hoz. A chrome-os csak azt állítja, hogy az MS véleményével szemben nem a Silverlight a válasz mindenre.
A PoC-hoz annyit, hogy a DoS támadások kiszűrése nem egyszerű, ellenben a kivédésükkel. Azért, mert ami az egyik 8 éves videókártyának DoS művelet, azt egy mai láblógatva megcsinálja 100ms alatt. Ez a javascriptel is így van, a mai napig lehet olyan DoS-t írni, ami 10mp-re megfagyasztja a brózerablakot (chrome) vagy az egész brózert (firefox) - csak aztán a brózer megálljt parancsol és megkérdezi, hogy akarod-e folytatni a futtatását. Szóval ugyanezzel a lendülettel a JS eltávolítása is indokolt. Nálam a PoCodtól 10mp-re beakad a desktop, aztán minden folytatódik, semmi se fagy ki vagy áll le (Fedora 15, Chromium, GeForce 9500 GT, blob driver, kompozit WM).
Igazából a Silverlight melletti kardoskodást nem értem:
> 1. A Silverlight nem az OpenGL interfacét használja (ezt egy másik - korábbi - kijelentésében ő is elismeri, így ezt az állítását eleve önmaga cáfolja: DirectX for Silverlight). A DirectX-et a Microsoft fejleszti, az OpenGL interfacet viszont közvetlenül a video driver fejlesztői "biztosítják", amely közel sincs biztonsági szempontból annyira auditálva és körbejárva, mint a DirectX.
Szóval DirectX egy wrapper a driver körül, épp úgy ahogy pl a Gallium3D is, vagy a Chrome webgl processze. Van arra bármi bizonyíték, hogy a DirectX olyan szűrést végez ami meg tud akadályozni valós driver támadásokat? Szerintem a DirectX sem arra készült, semmi garancia arra, hogy extra biztonságot ad, nem pedig csak a látszatát. Az, hogy dobáljuk a layereket egymásra, még nem feltétlenül biztonság.
> 2. Ellenben a WebGL esetében, amely az egészet nélkülözve a video driver OpenGL interfacenek adja át közvetlenül a hívásokat
Ez esetleg a Chrome böngészőre igaz, a webgl nem ad át semmit semminek. A Chrome nyilván nem tud mindent validálni, ahogy a Silverlight sem.
> 3. A Silverlight egy extra plugin, amely külön épül be - vagy nem épül be - a böngészőbe. A WebGL-t azonban alap funkciónak szánja a Google és a Mozilla és a jelenlegi verzióikban már alapértelmezetten bekapcsolva is található, veszélybe sodorva ezzel a felhasználóikat.
Hm, épp az előbb írtad valakinek, hogy a webgl-t a firefox nightly build-ekben kézzel kell bekapcsolni. Ez amúgy sem jó érv, nyilván a 99%-os penetrációra hajt a Silverlight is. Ez épp olyan, mint amikor azt állítja valaki, hogy a Linux biztonságos, mert senki nem használja, ezért nincs rá vírus sem. Gondolom te sem tartozol abba a táborba.
A DirectX épp úgy a gyártók drivereitől függ, mint az OpenGL. Ha a driver bugos, itt is, ott is a gyártónak kell javítania. Ha a gyártó nem javítja, akkor a workaround lehetséges itt is, ott is.
Úgy írsz néha a DirectX-ről, mintha az nem lenne kiszolgáltva hardware drivereknek, a webgl-ről pedig úgy, mintha nem lenne lehetséges minden utasítás szűrése. Az, hogy jelenleg nem szűr eléggé a Chrome, a Chrome hibája, nem a webgl-é. Más kérdés, hogy jelenleg tudtommal nincsenek tipikus webgl támadások, így egyelőre nincs tapasztalat arról, hogy mit is kell kiszűrni, de nem lehet mondani, hogy nem próbálkoznak.
Egyetértek veled abban, hogy a webgl para, csak abban nem, hogy a flash/silverlight jobban tudja csinálni, sőt. Emlékszem még, amikor napokig vagy hetekig kellett kritikus flash sebezhetőséggel kellett szántani a webet, mert épp úgy értek rá Adobenál.