Ich hab schonmal gesagt, daß man Flash nie eine "direkte" Kommunikation mit einem Kerneltreiber erlauben sollte, aber DAS ist noch besser.

http://www.chip.de/news/WebGL-3D-Standard-gefaehrdet-Firefox-und-Chrome_49016518.html

Ich glaub die meisten die hier mitreden könnten, sind gleichzeitig... Also hier besteht jetzt wohl ein Interessenkonflikt oder? =)

:D

Ah fefe erklärt das endlich dem Fußvolk =)
http://blog.fefe.de/?ts=b32cb04e

Ob er da Recht hat, ist eine andere Frage. So weit ich das weiss, sind die Zugriffe des Grafikchips auf den Hauptspeicher noch viel zu beschränkt, um damit ernsthaft was anfangen zu können. In der Theorie isses sicherlich gefährlich, aber in der Praxis noch viel zu unhandlich.

Ernsthaft gefährlich wird es dann, wenn man - natürlich im Zuge "besserer" Technologien & Features dem Grafikchip mehr Zugriff auf den Hauptspeicher gibt und ihn generell häufiger als Co-Prozessor einsetzt. Dann müssen sich die GPU-Entwickler plötzlich mit Sicherheitsfragen rumschlagen.

http://www.golem.de/1106/84275.html
Microsoft wird WebGL nicht unterstützen. Der 3D-Standard fürs Web sei nicht sicher und werde sich als Quelle schwer zu schließender Sicherheitslücken entpuppen.

Dann wird es klar, warum Opera WebGL aus Version 11.50 rausgenommen hat. Ohne Microsoft hat der Standard keine Zukunft.

Aberseits davon, dass ich in WebGL nicht den geringsten Sinn sehe:

Als wenn für Microsoft mit ActiveX und Silverlight-Plugin jetzt die Sicherheit soooo wichtig ist...

Ich schätze mal ein großer Hauptgrund wird sein, dass es die Konkurrenztechnologie OpenGL fördert.

Fensterinhalte auslesen mit FF4 WebGL BUG:
http://www.heise.de/newsticker/meldung/Luecke-in-der-WebGL-Implementierung-von-Firefox-4-1262111.html

Die Zweifel im Heise Forum, ob jeder Kram im Browser laufen muss, halte ich für durchaus berechtigt. Bekanntermaßen ist es ja schon schwer ein OS dicht zu halten, bei einem Browser dürfte das noch toller werden.

Nun bringt ja die nächste Flash-Version großangelegten 3D-Support, und das nächste Silverlight ist offensichtlich auch GPU-beschleunigt.

Und da bestehen dann auf einmal keine Sicherheitsbedenken, oder was? Flash und Silverlight machen dann doch auch Shaderkram, oder nicht? :confused:

/edit: Übrigens würde ich fefes Aussage, Browser seien "viel zu komplex, viel zu groß, gruselige Codebasis, kein Mensch steigt da mehr durch" nicht ohne weiteres stehen lassen. Zumindest die Codebasis von Chromium scheint sehr gut zu sein: http://software.intel.com/en-us/articles/pvs-studio-vs-chromium/

Und da bestehen dann auf einmal keine Sicherheitsbedenken, oder was? Flash und Silverlight machen dann doch auch Shaderkram, oder nicht? :confused:

Doch. Vorallem gegenüber Silverlight. Das macht die Aussage von Microsoft so scheinheilig.
Ist halt ein Machtspielchen und der stärkere wird sein Produkt durchsetzen können. Eine Koexistenz auf lange Sicht schließe ich aus.

Fefe hat seinen zum staunen verleitenden Artikel jedenfalls damals unverzüglich nachgebessert.


"Update: Hier kommen gerade ein paar Mails von Leuten rein, die es besser/genauer wissen als ich. Die beiden Haupteinwände sind: a) man kann per WebGL nur GLSL hochladen, nicht binäre Shader, und b) die Grafikkarte kann nicht auf den kompletten Speicher im PC zugreifen, sondern nur auf die Bereiche, die der Treiber eingestellt hat. Soweit ich weiß ist das generell beides richtig. Allerdings sind ja die Treiber nicht Open Source (Ausnahmen bestätigen die Regel; Benutzer der Open Source GL-Treiber unter Linux können hier möglicherweise ruhiger schlafen). Und Kontextwechsel kosten. Und Grafikkartentreibern geht es um Performance, sogar mehr noch als um Korrektheit. Ich bleibe daher bei meiner Einschätzung. Zumindest bis jemand kommt und es mir noch anders erklärt :-)

Sicherlich sollte man das Thema differenzierter betrachten.

http://blog.fefe.de/?ts=b32cb04e

Ein Blog Eintrag zum Thema von Martin Gräßlin

http://blog.martin-graesslin.com/blog/


Und hier noch ein Blog Eintrag von Jeff Muizelaar zur Veröffentlichung von Microsoft

http://muizelaar.blogspot.com/2011/06/webgl-considered-harmful.html und

das Khronos Wiki https://www.khronos.org/webgl/wiki/Main_Page/cms/security

Aberseits davon, dass ich in WebGL nicht den geringsten Sinn sehe:

Als wenn für Microsoft mit ActiveX und Silverlight-Plugin jetzt die Sicherheit soooo wichtig ist...Andererseits, sie sprechen aus einer wirklich ausgezeichneten Erfahrung :D

Konkurenzformat wird WebGL zu Microsoft, weil Microsoft hat ja... was? WebDX? :| Silverlight ist eine Art Flash, aber kein WebGL. Man kann auf dem Ding daher genauso gut rumreiten, aber wenn man aufzeigt, daß die mit Silvlerlight schon wieder nur Mist bauen, dann heisßt das nicht, sie können über WebGL garnicht urteilen.

Doch. Vorallem gegenüber Silverlight. Das macht die Aussage von Microsoft so scheinheilig.

Ach, Silverlight ist doch eh mausetot. Einzig verbleibt noch ein Nischendasein als WP7-Entwicklungsplattform. Aber will wirklich irgendwer in Zeiten von HTML5 und damit einhergehenden Webstandards noch ein Flash-Konkurrenzformat?

Ach, Silverlight ist doch eh mausetot. Einzig verbleibt noch ein Nischendasein als WP7-Entwicklungsplattform. Aber will wirklich irgendwer in Zeiten von HTML5 und damit einhergehenden Webstandards noch ein Flash-Konkurrenzformat?

Ich sags mal so: wer will wirklich mit HTML5 + Javascript ernsthafte Web-Anwendungen programmieren? Aus Entwicklersicht hinkt das doch meilenweit hinter Silverlight hinterher. Das .NET-Framework ist imho wirklich gelungen und die Entwicklungswerkzeuge dafür sind ausgereift und vor allem vorhanden. Von der Idee, das in den Browser zu holen mag man ja halten, was man will, aber dass es mächtiger als HTML5 ist, lässt sich schwer bestreiten.

Sicher ist HTML5 in der Theorie sehr schön, weil es ohne Plugin auskommt und nicht von einer einzigen Firma getragen wird, aber um Silverlight, AIR, JavaFX und co. zu ersetzen, muss es noch jede Menge nachholen.

Im Übrigen würde ich Silverlight auch nicht als Flash-Konkurrent abstempeln. Das passende Gegenstück wäre wohl eher AIR.

Weil das Web betriebssystemunabhängig funktionieren sollte und Silverlight da ziemlich abstinkt, weil im Prinzip Windows-only? (Silverlight 2 gibts per Moonlight, aktuell ist aber Silverlight 5). Das ist ja so, als ob Websites wie früher nur für den IE erstellt werden würden und wenns auf den anderen Browsern auch klappt, wars ein glücklicher Zufall.

Bin ich hier eigentlich der einzige der sich erstmal und vor allem fragt WOZU wir uns den ganzen Mist, der weit über HTML5 hinaus reicht, überhaupt reinziehen sollten?

Bin ich hier eigentlich der einzige der sich erstmal und vor allem fragt WOZU wir uns den ganzen Mist, der weit über HTML5 hinaus reicht, überhaupt reinziehen sollten?

Du bist dir schon bewusst das eines der Ziele der HTML5 Arbeitsgruppe ist jede Applikation die native realisiert werden kann auch als Web-Applikation umsetzbar zu machen?

Die Verwendung von 3D im Web ist nicht mehr aufzuhalten. Es stellt sich nur noch die Frage welche Technology dabei welchen Anteil haben wird.

Natürlich ist mir das bewusst. DESWEGEN eben habe ich diese Frage gestellt.

Ob die Verwendung von diesem oder jenem aufzuhalten ist oder nicht, das bestimmt weiterhin der Benutzer. Alles andere gehört zur Kategorie "den Schwachgeistigen das Blaue vom Himmel solange einreden bis sie es glauben".

Die Beweggründe die dich dazu verleiten solche Thesen als unabwendbare Fakten darzustellen sind hier schon einige Male erwähnt worden... Und für MS übrigens der wichtigere der Gründe (imho weit vor Sicherheit) warum sie kein WebGL haben wollen...
Ein These die ich eher als Faktum ansehe lautet: Niemand will mein bestes außer mir selbst.

Dein Interesse welches damit leider im Einklang mit dem allgemeinen und gesteuerten Bestreben der Branche einstimmt, dem Benutzer über solche und andere Hintertüren die Kontrolle - durch simples späteres Fehlen von Alternativen - über seinen Client immer mehr zu entziehen und es in einen interaktiven Fernseher zu verwandeln, kann ich daher nur genauso scharf kritisieren wie VERURTEILEN.

Bis dann mal.

Du bist dir schon bewusst das eines der Ziele der HTML5 Arbeitsgruppe ist jede Applikation die native realisiert werden kann auch als Web-Applikation umsetzbar zu machen?

Die Verwendung von 3D im Web ist nicht mehr aufzuhalten. Es stellt sich nur noch die Frage welche Technology dabei welchen Anteil haben wird.
Die ganz simple Frage ist doch die: Warum soll WebGL inhärent unsicher sein, und D3D-basierte Technologien wie Silverlight nicht?
Hat das mit der API zu tun? Via Silverlight kann man doch theoretisch auch Schadsoftware (via Shader) ausführen, oder nicht? Versteh ich da jetzt grade was falsch?

Dein Interesse welches damit leider im Einklang mit dem allgemeinen und gesteuerten Bestreben der Branche einstimmt, dem Benutzer über solche und andere Hintertüren die Kontrolle - durch simples späteres Fehlen von Alternativen - über seinen Client immer mehr zu entziehen und es in einen intraktiven Fernseher zu verwandeln, kann ich daher nur genauso scharf kritisieren wie auch gleich VERURTEILEN.
Redest du über das gleiche Thema (nämlich WebGL und HTML5)? Wenn ja, dann bring mal bitte ein paar argumentative Zwischenschritte, so dass es ein anderer Mensch auch nachvollziehen kann.

Die ganz simple Frage ist doch die: Warum soll WebGL inhärent unsicher sein, und D3D-basierte Technologien wie Silverlight nicht?
Hat das mit der API zu tun? Via Silverlight kann man doch theoretisch auch Schadsoftware (via Shader) ausführen, oder nicht? Versteh ich da jetzt grade was falsch?

WebGL baut unter Windows in der Regel ja auch auf D3D auf. Und es spielt keine Rolle ob es nun Molehill (Flash 3D), XNA (Silverlight), Unity 3D oder eben WebGL ist. Jede dieser Lösungen ist von der Spezifikation her sicher. Das Risiko liegt in der Implementierung.

Microsoft braucht halt eine Entschuldigung warum sie es nicht in IE9 eingebaut haben.

@Trap
Im Nachhinein ist das nicht so einfach... Ich denke du hast in der Zwischenzeit hier im Forum bisschen was verpasst. D.h. aber auch, daß du es ggbf. nachholen mußt. D.h. nicht, daß es jemand für dich tun soll.

@Benedikt
Anscheinend bzw. angeblich will MS auch Silverlight nicht mehr pushen. D.h. es ist in dem Fall keine Frage von konkurrierenden APIs.


Jede dieser Lösungen ist von der Spezifikation her sicher. Das Risiko liegt in der Implementierung.Von der Spezifikation her ist auch IE6 vom Anfang an sicher gewesen. Wie auch TCP/IP und viele viele andere Sachen... Solche Feststellungen machen nicht viel Sinn.

Bis die Tage.

@Benedikt
Anscheinend bzw. angeblich will MS auch Silverlight nicht mehr pushen. D.h. es ist in dem Fall keine Frage von konkurrierenden APIs.

Das denke ich nicht. Silverlight wird mit Sicherheit noch eine ganze Weile von Microsoft getragen. Die News-Meldungen zu den Thema scheinen immer zu polarisieren: entweder HTML5 oder Silverlight.
Dabei ist Silverlight doch gar nicht als HTML-Ersatz gedacht:


The purpose of Silverlight has never been to replace HTML, but rather to do the things that HTML (and other technologies) can’t, and to do so in a way that’s easy for developers to use. […] Make no mistake; we’ll continue to invest in Silverlight and enable developers to build great apps and experiences with it in the future.

http://team.silverlight.net/announcement/pdc-and-silverlight/

Was das eigentliche Thema angeht: ich denke Microsoft wird letztlich dasselbe Problem mit Silverlight haben. Das es ihr eigenes Produkt ist, gibt ihnen etwas Spielraum bei der Umsetzung, aber irgendwo wird der Grafikkartentreiber wohl auch hier als mögliche Schwachstelle auftreten. Ich zitiere mal aus der Silverlight Beta 5 Dokumentation:


For security and compatibility reasons, some drivers will be blocked by default in the browser. All Windows XP Display Driver Model (XPDM) drivers on Windows XP, Windows Vista, and Windows 7 will be blocked by default. If a driver is blocked, permissions can be granted by the user through the Microsoft Silverlight Configuration settings. Permission is granted automatically in elevated trust scenarios. Windows Display Driver Model (WDDM) drivers do not require user consent at run-time.

http://msdn.microsoft.com/en-us/library/gg197424(XNAGameStudio.35).aspx

Wenn XPDM auch aus Sicherheitsgründen geblockt werden, dann besteht eine Möglichkeit da durchzubrechen. Für sowas broken (im Nachhinein) by design. D.h. für mich, es ist auch bei WDDM möglich, nur muß man da nach Fehlern suchen.

Nach Fehlern in Grakatreibern suchen... Bei AMD/ATI und NV... Nach Fehlern suchen... Jetzt lacht doch mal mit :freak: :biggrin:

Na selbstverständlich gibt es die Möglichkeit. Die existiert immer, wenn man Daten aus unsicherer Quelle verarbeiten will bzw. eine neue Schnittstelle hinzufügt. Die reine Spezifikation ist vermutlich sicher, daher würde ich es nicht unbedingt „broken by design“ nennen. Die praktische Umsetzung ist natürlich eine andere Sache.

Das Problem ist imho, dass die Verantwortung für die Sicherheit nicht mehr beim Browserhersteller alleine liegt, sondern dass man plötzlich auch die Grafikkartentreiber mit im Boot hat, bei denen Sicherheit bisher nicht unbedingt ein Hauptziel ist. Zertifizierte Treiber sind hier vielleicht ein Plus, aber sicher keine Wunderlösung. Die Angriffsfläche vergrößert sich einfach um ein gutes Stück. Davon abgesehen aktualisiert man die Grafikkartentreiber ja auch nicht ständig.

Inwiefern die Shader selbst ein Problem darstellen kann ich nicht so recht abschätzen. Unproblematisch ist das vermutlich nicht, weder bei WebGL, noch bei Silverlight und Flash. Im Endeffekt verhält sich der Shader ein bisschen, wie ein Programm in einer Sandbox, bloß das die Grafikkarte die Sandbox ist. Die Frage ist, was er von dort aus anstellen kann.

http://www.golem.de/1106/84352.html
Microsoft kommt in Sachen 3D im Web nicht an WebGL vorbei, sagt Avi Bar-Zeev, der als Principal Architect bei Microsoft arbeitet.

Ganz gleich ob Microsoft WebGL unterstützen werde oder nicht, werde sich WebGL zum De-facto-Standard für 3D-Grafik im Web entwickeln. Sollte der Internet Explorer aber auf WebGL-Unterstützung verzichten, sei der Browser nicht wettbewerbsfähig und werde voraussichtlich Marktanteile verlieren.

Mutige Prognose

"CT" - vom 29.06.


WebGL für den Internet Explorer: 3D-Grafik durch die Hintertür (http://www.heise.de/newsticker/meldung/WebGL-fuer-den-Internet-Explorer-3D-Grafik-durch-die-Hintertuer-1269727.html)

Hier gibt es das Beta Plug-in ... (http://iewebgl.com/index.html)

bin mal testen ...

So, - mal installiert - tut sich aber nix. Weiterhin mit dem IE 9.0 kein WebGl. Naja, vielleicht habe ich auch was übersehen.