Názory k článku
Objevená chyba v Internet Exploreru zůstane ve Windows XP navždy

Outlook 2007 a vyšší používá pro rastrování HTML engine MS Wordu. Důvodem je právě to, že použití enginu Trident z MSIE znamená téměř automatický přenos zranitelností z MSIE na Outlook.

Důvodem je právě to, že použití enginu Trident z MSIE znamená téměř automatický přenos zranitelností z MSIE na Outlook.

Zatímco teď se tam přenášejí díry z Wordu. :-)))))

Jojo, tomu se říká z bláta do louže :-D

Většina bugů Wordu se vás při importu HTML souboru vůbec netýká. Samozřejmě může být bug i v té code path, kterou při importu použijete. Jenže ono není moc SW, ve kterém by bug být nemohl.

BTW je tragikomické, že browsery zpracovávají pár set HTML tagů, ale přes léta vývoje jsou bez ohledu na výrobce pořád děravé jako řešeto. Ukazuje na to nedobrý stav celého SW průmyslu.

Kromě tagů je tam ještě JS. To už je plnohodnotný jazyk a při jeho interpretaci se dá spousta chyb nasekat.

No a ještě samozřejmě CSS, uživatelské skripty, rozšíření, zpětná kompatibilita, podpora X platforem, atd... Shrnout to jako "pár set tagů" je nemístné zjednodušení(navíc spousta z těch tagů taky není zrovna jednoduchých na implementaci).

OK, můžete přidat pár set tagů CSS. Ale pořád je to poměrně malý kus kódu, který je permanentně děravý. V roce 2013 mělo pět nejpoužívanějších browserů dohromady 727 zranitelností. Jenom Firefox si jich připsal 270, což znamená novou zranitelnost každého 1.4 dne. Takový stav věci se dá popsat jen slovem šílenost.
http://secunia.com/vulnerability-review/browser_security.html

Jenom takový lehkotonážní Chrome má 5,448,668 řádků. To vám přijde jako "malý kus kódu"? Nebuďte směšný.

Jedná se o browsery, takže se většina těch chyb týkala různých aspektů zpracování HTML.

Tak třeba z posledních 10 chyb ve Firefoxu (MSFA 2014-32 až 42) se HTML netýkala ani jedna. Byla tam díra v dekódování JPEGu, Web Audio a Video (to bych nepovažoval za součást HTML), jednou nějaké lokální permissions DLL v instalátoru a šestkrát skripty.

https://www.mozilla.org/security/announce/2014/mfsa2014-XX.html

Při zpracování tagu img musíte dekódovat JPEG - tedy je to zjevně částí zpracování HTML.
Web Audio a Video je součástí HTML5.
Skripty jsou neštěstí, ale dnešní web na nich stojí, takže je prostě musíte implementovat.

V tom případě už mi ale „zpracování pár set HTML tagů“ nepřijde tak jednoduché, jak to zní, protože to vede na kódování a dekódování mnoha složitých binárních formátů a implementaci VM poměrně mocného jazyka.

A přesto se firmy jako Google snaží procpat webové klienty úplně všude, a dále rozšířit funkcionalitu browserů. Výsledkem jsou webové aplikace, které jsou vždycky neobratné ve srovnání s lokálními aplikacemi, a jsou navíc většinou závislé na připojení k inetu. Samozřejmě to při současném stavu SW technologií povede k dalším bezpečnostním problémům. Wow, vítejte v krásném novém světě.

Já tě chápu. To že si uživatel spustí jakoukoliv aplikaci na libovolném systému pro tebe musí být strašná představa. Brrrrr.

Upřímně mě moc netrápí, jestli tu kterou aplikaci může používat 1% desktopových uživatelů Linuxu. Zato mi dost vadí, když je aplikace závislá na připojení k inetu, ovládá se nepohodlně, neumí lokální tisk, neumí drag and drop, neumí rozšířené formáty clipboardu, má omezenou nebo nulovou podporu klávesových zkratek, a browser má stovky bezpečnostních děr ročně.

Takových už bylo, co tvrdili, že něco nepůjde... Zvlášť v IT, kde co včera "nešlo", to se dneska bere jako samozřejmost. Dočkej času.

Jinak 1% má Linux možná na desktopu a moderní webové aplikace se primárně vyvíjejí tak, aby byly použitelné na jakémkoliv zařízení/rozlišení, takže mobily nebo tablety nejsou žádná překážka. Pak je taky poměrně zábavná představa, že zranitelnosti se týkají jenom prohlížečů, kdežto operační systém je naprosto neprolomitelný a prostý chyb :-)

OS nejsou prosté chyb. Browsery jsou ale vrstva nad OS, a zanášejí další chyby. A není jich málo. Například Windows 7 měly od roku 2010 celkem 317 CVE reportů, kdežto Firefox jich měl 570.
http://www.cvedetails.com/product/17153/Microsoft-Windows-7.html?vendor_id=26
http://www.cvedetails.com/product/3264/Mozilla-Firefox.html?vendor_id=452

Moderní webové aplikace většinou nabízejí pro mobily (a často i tablety) odlišný layout a upravenou funkcionalitu. Nelze tedy mluvit o jednom vývoji pro desktop, tablety a telefony. Navíc se k řadě webových aplikací píšou nativní klienti - například ti pro GMail, Facebook, Youtube, Twitter.

Webová aplikace je nesmysl, pokud nakonec máte nativní aplikaci pro mobily a/nebo tablety. A úplně největší nesmysl je tahat na web věci, na které se používají lokální aplikace, kterým ty webové nesahají ani po kotníky. To se týká office aplikací, editace fotografií, videa apod. - tedy přesně to, o co snaží Google se svým ChromeOS.

Stejně tak se jako "vrstva nad OS" dá chápat nativní aplikace, která má svých chyb taky požehnaně. To je zbytečná diskuze. Jinak píše se jediné UI, které se akorát pomocí gridů, media queries atd zobrazí odlišně, přesto má pořád stejnou strukturu, takže nic se nepíše dvakrát, jak se snažíš tvrdit. Nativní klienti v podstatě vůbec nejsou potřeba, většinou je to jenom aplikace s jedním webview, bullshit. Ke zbytku už jsem se vyjádřil předtím - žij dál ve svojem světě, ve kterém nic nejde, já zatím budu s ostatními pracovat na tom, aby to šlo. Google jde v tomhle směru správnou cestou. Měj se fajn a už neřeš nesmysly, na to je život moc krátký.

GMail má v Androidu nativního klienta, a je to klasická mailovací aplikace. Facebook má také nativního klienta, opět to není web view, a FB pro to uvádí důvody:
https://www.facebook.com/notes/facebook-engineering/under-the-hood-rebuilding-facebook-for-android/10151189598933920
Podobně má Android nativní Youtube aplikaci, která není web view.

Google jde špatnou cestou, protože zavádí zbytečnou, děravou a funkčně omezenou mezivrstvu nad OS. Stačí se kouknout na webové aplikace na ChromeOS, které jsou funkčně na úrovni patnáct a více let starých desktopových aplikací. Díky snaze o přesunu všeho na web žijeme v době, kdy pár tabů Facebooku nebo Youtube bez další interakce klidně sežere GB paměti během pár hodin. A to se ještě Google snaží uživatele naučit, že mají svoje data dát Velkému Bratrovi do cloudu. Jeden super nápad za druhým.

Souhlasím že další diskuse nemá smysl. Díváme se na problematiku výrazně odlišně. I vám přeji fajn den.

Měl byste aktualizovat svojí trollovací databázi, už to není, co to bývalo. Práce v offline, drag&drop, správa clipboardu, klávesové zkratky, to všechno web-aplikace umí. Všechny ostatní brzdí opět pouze Microsoft se svým skvělým prohlížečem. Jediné, v čem nelžete je, že prohlížeče mají chyby(ostatně jako jakákoliv jiná aplikace).

Webové aplikace jsou zpravidla více či méně závislé na cloudu, takže je těžko používat offline. Podpora drag&drop je naprostou výjimkou, a v každém případě přináší proti lokálním aplikacím řadu omezení. Správa clipboardu se nekoná, protože Clipboard API je od roku 2006 v draftu, ve většině browserů má částečnou nebo nulovou podporu, a aplikace ho v praxi nepoužívají. Klávesové zkratky se dají implementovat přes event onkeydown, ale ještě jsem neviděl webovou aplikaci, kterou by šlo efektivně používat z klávesnice.

Proč mají lidi potřebu neustále mudrovat nad něčím, o čem vlastně nic neví? Ctrl+S, funkční klávesy, modifikátor+pís­meno, to všechno se samozřejmě bez problémů odchytávat dá. Obrázek si taky z clipboardu vložíte. Klidně vám můžu někam hodit demo, když to uvidíte na vlastní oči, tak tomu možná i uvěříte. Existuje spousta UI frameworků i komplexních IDE, za všechny napříkad Sencha Architect. Ale obávám se, že sypu hrách na zeď a teď vám zase "nebude recht" něco dalšího(o čem se opět jenom domníváte).

http://codepen.io/anon/pen/gsFwK - dál nemám náladu někomu něco dokazovat, v neděli mám zajímavější věci na práci.

Ok, byl jsem líný startovat windows, jediný prohlížeč, ve kterém je problém, je IE, a to pouze v tom ohledu, že u zkratek s altem zároveň zobrazí systémové menu. Alt jsem ostatně nikdy ve zkratkách nepoužíval. Takže pokud chcete usnadnit život chudákům používajícím IE, používejte kombinace s čímkoliv jiným, než s s altem. Tohle funguje naprosto všude, pokud chcete pořád tvrdit, že ne, tak dodejte důkaz(v tom případě jsem ochotný vám to klidně nahrát na video, protože mě začínáte unavovat): http://codepen.io/anon/pen/lxvBA

U prvního příkladu F1 zobrazuje help, a kombinace s Altem zase menu.

Bez Altu se při pohybu v menu těžko obejdete. Navíc opakuji, že jsem neviděl jedinou webovou aplikaci, která by se dala ovládat z klávesnice s pohodlím srovnatelným s desktopovou aplikací.

Ano, u prvního příkladu, který jsem zapomněl zkontrolovat v IE - jediném prohlížeči, který s tím má problémy(přek­vapivě...). Nedivím se, že máte k webu averzi, když ho prohlížíte v IE :-D Ale používejte, co vám jenom vyhovuje, to už je váš boj, nehodlám vám do toho mluvit.

Nemám averzi k webu, web je naopak super. Mám averzi k nahrazování desktopových aplikací těmi webovými.

Preferuji aplikace které lze ovládat i z klávesnice, umí přistupovat k lokálním datům, umí tisknout, umí otevřít soubor který přetáhnu do okna, umí vložit tabulku nebo obrázek z clipboardu, nejsou závislé na připojení k netu, a hlavně mě nenutí ukládat data u Velkého Bratra. Samozřejmě i vy používejte, co vám vyhovuje. Pokud preferujete webové aplikace, je to váš boj, a rozhodně není jednoduchý :)

Treba me ve FF29 funguje jenom to CTRL+S, F1 nefunguje... ;) takze se pridavam k nazoru, ze ne vsechno funguje...

Maxthon už před několika lety přešel na WebKit, takže jako detekce to nebude moc průkazné. :)

Engine Trident (mshtml.dll) je součástí Windows, a používá ho řada aplikací, včetně prohlížeče Helpu. Samozřejmě je možné odstranit vyjma ikony MSIE i všechno okolo, včetně enginu Trident. Některé aplikace ale pak nebudou fungovat korektně, stejně jako na Windows edice N.

To se pletes ... libovolna aplikace ktera si trebas jen checkuje aktualizace na webu ... zavola jadro IE. Spousta aplikaci ti ve svym okne otevre web ... pomoci toho IE dllka. Kdyz ho smaznes, hromada veci nebude fungovat bud vubec, nebo naprosto nepredvidatelne.

Samo, je to svinstvo, to nepochybne, ale je to tak.

To není svinstvo, ale naopak velmi užitečná věc. Aplikace občas potřebují rastrovat HTML. Asi by nebylo úplně praktické, kdyby si to psal každý autor aplikace znovu. Proto poskytují Windows aplikacím Trident, a například Qt stejně poskytuje QtWebKit, založený na WebKitu.

Nikoli, je to svinstvo, protoze kdyz si nainstaluju ff/chromajzla/... tak ma system pouzivat mnou preferovany prohlizec a to vzdy a vsude.

Jenže Firefox ani Chrome nevystavují veřejné API, akorát se registrují pro prohlížení HTML souborů. Navíc má každý HTML engine odlišné API. A nevím jak je to dnes, ale například Gecko bylo dlouhé léta single threadové, což prakticky vylučovalo ho použít v aplikacích jako náhradu Tridentu.

Jenže to je chyba konkrétní implementace, ne té technologie jako takové. V Linuxu a BSD to funguje velmi dobře