Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Tak toto je cista tragedia dnesneho sposobu vyvoju aplikacii a celkovo pristupu. Uz chore je dnesna moda vsetko rvat do web browseru. Vrchol tocho debilizmu je ChromeOS. Potreba virtualizovat browser, ktory primarne mal len zobrazovat nejake data (textove a obrazky) koli bezpecnosti nieje ziaden super posun ale skor ukazka tragedie kam to dospelo. Ved cele co ma browser spravit je preparsovat html, natlacit to do DOMu na zaklade stylov to vyrenderovat a pridat nejaku logiku v js. Naco mal niekto potrebu do js nasilu tlacit podporu zapisu suborov a dalsie "nebezpecne" api? Preco je tak zaprasene api okolo pluginov ? Preco nemoze fungovat poriadne web s pluginmi ktore budu digitalne podpisane a overene? Uz sa to sice zlepsuje ale aj tak. A ze sa najdu blby uzivatelia ktory proste si nainstaluju nebezpecny plugin alebo spustia podozrivy skript? Tomu sa vyhnut aj tak neda. Ale mat spusteny browser vo virtuale a este cez Hypervisor tak to je chore.
Je to uplne stejne jako davat programy do kontejneru pomoci Dockeru, coz je dnes hrozne cool a vsichni ( krome adminu ) to miluji. Ale kdyz to same udela MS s browserem, tak je to spatne???
Program typu Docker slúži hlavne na vytváranie a distribúciu prenosných aplikácií. Pokiaľ ale takejto aplikácie sa dostatočne neobmedzia práva, bezproblémovo dokáže napadnúť ďalšie aplikácie a to aj v inom kontajneri. Výhodou je hlavne úspora systémových prostriedkov.
Docker využívá kontejnery řízene pomocí cgroups a stejně jako jiné kontejnery je primárním účelem oddělení aplikace od zbytku systému -> tedy bezpečnost a možnost omezit systémové prostředky. Navíc k tomu přidává možný deployment, což je ale pro tuto diskuzi irelevantní.
Nevím jak si představujete že dockerem uspoříte systémové prostředky, ale je to vrstva v systému navíc a není technicky možné aby přidáním další vrstvy ( kontejner/virtualizace ) se vylepšila performance. V naprosto ideálním případě bude performance stejná, prakticky spíš o trošku horší.
lepší výkon bol asi myslený vo vzťahu docker - virtual. V tomto prípade bude výkon a hw požiadavky v prospech dockeru
JS (na webu) nemá přístup k místnímu souborovému systému.
Ale samotný prohlížeč soubory potřebuje, už na to parsování HTML. Potřebuje nějakou cache na soubory, potřebuje si někam uložit cookies, apod.
Navíc ta představa, že prohlížeč slouží ke zobrazování textu a sem tam nějakých obrázků, platila někdy před 20 lety.
Problem je, ze to vase "cele co ma browser spravit" vyzaduje v browseri nekolik milionu radku kodu. Pokud si myslite, ze lze takove mnozstvi kodu udelat bezpecne a bez bugu, pak jste naivka ktera o programovani nic netusi. Jelikoz je tahle moznost zcela mimo realitu, jedina dalsi moznost je nejakym zpusobem omezit tu tunu kodu (kontainer, virtualka, cokoliv).
BTW jestli si myslite, ze browser ktery neobsahuje "nebezpecne API" (ve smyslu zapis do souboru) je bezpecny, tak jste opet krute mimo.
Jsme v roce 2016. Virtualizace neni nejaky pomaly moloch, je to standardni vybaveni dnes uplne kazdeho i mobilniho procesoru (teda nemyslim hracky ARM, ikdyz kdo vi). Neni tedy duvod to nevyuzivat. Klidne kazdy tab muze mit vlastni virtualni stroj, komu to vadi? Rychlost bude stejna a bezpecnost uplne nekde jinde.
Vsechno dnes smeruje k nejakemu webu .... nejake unifikaci, co pobezi vsude. Na cem myslis, ze bude jednou vystaveno IoT? Myslis, ze na tom, ze vyrobce bude psat specialni aplikaci pro kazdou zarovku a 10 operacnich systemu zvlast jak je to dnes? Bude to nejake XML, bude to mit webove rozhrani a nejake unifikovane RESTove sluzby.
Dnes to staci udelat na webu a napsat tomu nejake API a aplikaci at si udela kazdy sam a na webu to rozjedes i na symbianu. V tom vidim budoucnost.
Samozrejme hovadiny jako unreal tournament v browseru jsou uz hodne velka perverze, ale jak vidno, jde to:o)
Ja mam treba specialni guest ucet, pod kterym poustim firefox, cili nema pravo zapisu nikam, kam mu nepovolim a pravo zapisu mam jenom do TEMP adresare, kdyz neco stahuju.
Kazdopadne vyuziti virtualizace vitam a dost se divim, ze s tim neprisli uz driv. Presne pro prohlizece je tohle reseni ..... zadne trapne sandboxy, proste enterprise robustni reseni pomoci virtualizace.
Si pamatuji, jak jsi tu sandbox vychvaloval až do nebes.
Co jako?
UWP
Je to blbé je to pomalé OK budeme to ritualizovat, aby to bylo ještě blbější a pomalejší.
Nevíte kdy MS nebo někdo jiný přijde s vitalizací JAVA , to bude totiž vrchol , k dokonalosti by tomu snad chybělo jen, aby to EU nařídila jako povinné a vláda ČR pak přidal povinné každoroční revize takového stroje.
Nahodou EDGE spolu s IE jsou suverenne nejrychlejsi prohlizece. Jsou to jedine prohlizece, kde jdou zobrazit i takove zverstva jako tn.cz, aniz by si clovek pripadal, ze se mu zaandroidoval pocitac ....
"Nahodou EDGE spolu s IE jsou suverenne nejrychlejsi prohlizece"
Ano, suverejne najrýchlejšie padajú.
jojo, musim souhlasit, edge a ie sou jediny 2 prohlizece co me rozjedou aspon nejak video na youtube na N270 atomu, vsechno ostatni je rado kdyz se vubec otevre
Necudujem sa , ze to dali len do enterprise verzie, ked to ma taketo pziadavky a obmedzenia.
Třeba windows skončí u linuxizace:
Chcete psát ve wordu, zastrčte prosím do mechanikdy CD - Winubuntu
Chcete si prohlížet web, zastrčte prosím do mechanikdy CD - Winkubuntu
Chcete si hrát hry, zastrčte prosím do mechanikdy CD - Winlubuntu
Chcete...
;) konečně rozumný použití pro mechaniku (já jí v počítači už X let nemám, ale kvůli tomuhle bych možná pořídil)
Sice se priblizuji linuxu, ale doufam ze nekde na ceste dostanou konecne rozum. Windows zacina byt nepouzitelny pro praci a polovicaty aplikace od Microsoftu tomu nepomahaji. Alespon timhle krokem uz rychle zarizli Edge.
Každý jarda přece ví, že linux a mac je nejlepší a bezpečný, Windows nikdo navíc nepoužívá, to je skoro za zenitem, používá to jen pár podivných osob, proč to je mi neznámé. Tohle je jeden z posledních zoufalých kroků Microsoftu uvalit na sebe pozornost, že se zajímají o bezpečnost.
Microsoft zajima bezpecnost. Teda narodni bezpecnost, jisteho konkretniho naroda. Co se tyce bezpecnosti uzivatelu, jako MS tam samozrejme nechcete bezpecny system, to je naprosta blbost. Chcete primerene zabugovanej system, aby jeste bezel relativne v pohode, ale aby firmam ani nahodou nenapadlo ze muzou fungovat na OS bez updatu. Navic az je produkt EOL, spousta firem si zaplati extended support, a extended support generuje co, Kefaline ? no prece prachyyy.
určitě, dokud ho nebudou používat miliardy BFU tak bude, ale kdyby se octl v pozici Win tak by rychle vylezly na povrch mraky chyb....
Tak ony vychazeji porad. A vzhledem k tomu, ze linux nema zadny bounty program, tak si vetsina lidi nalezenou chybu schovava do suplicku:) A kdyz se pak neco najde (a neni toho zrovna malo, jak by se mohlo zdat), tak to stoji vazne za to:o) Navic u linuxu je ta povestna tma pod svicnem. Lidi tomu bezhlave veri, protoze vira, allah, islam ... rozumime? Argumentem je az prilis casto trapnost v podobe "sak se muze kazdy podivat do zdrojaku" .... ale nikdo to ve skutecnosti nedela. Realny pristup ke zdrojakum windows ma IMHO mnohokrat vic lidi nez k linuxu. A skutecne je ctou, uz jenom proto, ze za chyby dostavaji prachy. O tom, ze windows maji kriticke chyby se docitame v hoax-like clancich na hovinkach pravidelne kazdy mesic prvni stredu nebo ctvrtek:o) To, ze informujou o chybach, ktere uz tam proste nejsou, jelikoz kazdemu trochu normalnimu cloveku se davno automaticky system aktualizoval, to uz nepisou:o) Ale kolik jich je, aby postrasili lidi, to napisou vzdy. Ale kolik jich bylo zneuzito, to uz nepisou, protoze takovych chyb je mozna par do roka? A spis navic nekritickych.
Application Guard mi prijde jako takova technologie "do supliku", pochybuju, ze ji nekdo nekdy pouzil. Takze dava smysl, ze ji pouzije microsoft aspon u edge a cekal bych, ze ji propaguje i do jinych verzi. AG je standardni soucasti enterprise edici uz dlouho. Navic je to zdokumentovana vec, takze neni problem, aby ji vyuzili i jine prohlizece, nicmene pouze enterprise, coz je hodne limitujici, takze to nikdo delat nebude.
U hyper-v je vskutku otravne, ze kdyz je povoleno, tak nemuzou jet jini hypervisori. Ono totiz malo kdo vi, ale uz samotne windows jsou tim padem jen virtualni stroj v hypervisoru. Diky tomu, ze tam bezi hypervisor primo na HW a ne az v systemu jako treba u vmwaru, tak je vykon shodny s HW, coz je samozrejme pozitivum, nicmene taky bych ocenil moznost volby zda jej zavadet pred startem systemu nebo jako klasicky proces systemu. V mnoha ohledech je hyper-v oproti vmwaru podstatne lepsi, uz jenom treba diky tomu, ze je zdarma, ze ma vhdx (ktere jde pripojit a chovat se k nemu jako k fyzickemu disku) a podobne, ale je potreba mit aspon W8, aby fungovaly integrace, nema nativne USB bridge, coz se hodi, kdyz ma clovek nejake zarizeni, treba debilni tiskarnu, ktera si nese s ovladacema dve tuny svinstva a kdyz potrebujete zmenit nastaveni tiskarny, tak je vmware idealni.
Mam to resene dualbootem v bcd bez/s hyper-v. Vsechny vmdk jsem prevedl na vhdx a pro vmware bych kdyztak pripojil vhdx jako "fyzicky" disk. Nicmene jsem za cirka 2 mesice, co to takhle mam, vlastne nemel potrebu poustet vmware ani jednou, protoze takovou tiskarnu nastesti nemam:o) Jediny scenar bych videl, kdyby vypadl internet a potreboval jsem pres USB WIFI a aircrack napichnout neci wifinu. Ale stalo se to zatim jen jednou, ale nasadil jsem pul metrovou antenu, takze jsem se chytil k nejakemu otevrenemu hotspotu:o)
Jenže hyper-v dělá i bullshity, jakože třeba zamyká takt CPU na nějaké úrovni, fakt dík.
Taky je naprosto k poblití ta ovládací mmc konzole k tomu, vypadá to jak z roku 95 a použitelnost je horší než strašná, zlatý vsphere klient či vmware workstation, to jsou použitelné nástroje.
hyper-v na stanicích působí, že si v ms řekli, hej asi bychom tam mohli dát nějakou virtualizaci, tým v indii to nějak zprasí a hoši v maďarsku vohnou mmc konzoli, pro rusaki doprí.
Navíc to často zlobí hlavně s linuxovými virtuály, alespoň co jsem to naposledy testoval pod W8.1, tak mě to moc nenadchlo. Nehledě i na dost kreativní český překlad.
Dávám solidní skóre 5/7 bodů za snahu.
> Kreativni cesky preklad
... je docela rozsirena vec i ve woknech. Mam pocit ze cele to davaji delat nake externi firme, a ti lidi co to prekladaji vi prt o IT...
@ zamykani cpu na taktech : to delal tusim i Xen nebo KVM, nekdy pred petisty lety. Snad je MS jednou dozene :)
Ja to zacal pouzivat ve W10 a naprosto v pohode. O jakem zamykani mluvis? Da se to nejak zjistit? Prijde mi to jako uplna blbost. A GUI je klasicka konzola.
Nezamyka. Ve win 8.1/winserver2012 sice v systemu je videt nominalni takt cpu, ale to je jen chyba ze to spatne vycita, pod tim cpu normalne frekvenci meni jak ma. Ve Windows 10/winserver 2016 je to zobrazovano jiz spravne.
To ale muselo dat praci najit nejakou zaminku proc windows vybavit hypervisorem aby uz nebylo mozne pustit je na virtualnim stroji ... predpokladam, ze do peti let vybavi Intel procesory dalsi vrstvou virtualizace k tem dvoum co tam uz jsou jenom proto, aby slo pustit dvoje windows na jednom pocitaci.
Existuje jenom jeden jediny duvod proc by virtualizace mohla byt bezpecnejsi nez sandbox zalozeny na tom, ze aplikaci nepovolite pristup ke standardnimu API OS ale misto toho k nejakemu omezenemu: kdyz je ten sandbox naprogramovany blbe. Uz od doby procesoru 80386 aplikace jednoduse nemuze operacnimu systemu uskodit jinak nez volanim jeho API.
No, a kdyz je blbe naprogramovany hypervisor? No tak to taky nefunguje no ...
Jak to potom bude s virtualizaci celeho OS ? Tipuju, ze aplikace spoustene ve virtualnim prostredi bude mozne spustit jen "na ostro" nebo vubec.
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.