Предыдущие номера:
ИЮНЬ 1997
СЕГОДНЯ
GUESTBOOK
ПРЕЖНИЕ ВЫПУСКИ
ВСЕ ДОМЕНЫ .RU
INDEX.HTML
| |
| |
Заметка сто шестая
PLUG-IN И КОМПАНИЯ
 Новость (если кто-то еще не в курсе). Microsoft Internet Explorer 4.0beta1 вышел-таки, наконец, официально, и доступен отгрузке со всех тех мест, где его обычно берут. То есть и с TUCOWS (о чем мы уже писали), и с DOWNLOAD.COM и с официальных мирроров производителя. Инсталляция весит около 12 мегабайт и стоит того. Первые сравнительные обзоры последней бета-версии Эксплорера уже появились в Anchordesk
По следам нашей вчерашней заметки об ActiveX пришли письма ровно от тех людей, которые обычно откликаются на любой наш нехвалебный отзыв о мелкомягких продуктах и идеях. Мистер Паркер, недоволен моей фразой:
ни на платформе безопасно-безногой Явы, ни на базе отчаянно рисковых ActiveX до сих пор в Интернете не возникло ничего такого - хотя бы просто в порядке демонстрации - что заставило бы меня ощутить пришествие новой эры в информационных технологиях.
По мнению мистера Паркера, достаточно просто подписаться на Microsoft Network, чтобы убедиться в обратном. От себя добавлю: чтобы увидеть воочию все богатство приложений на Яве, созданных за последнюю пару лет, стоит сходить на Gamelan или JARS. Только вот лично меня все эти бесчисленные примеры имплементации новых технологий лишний раз приводят все к тому же выводу, процитированному выше. Создано очень много всего такого - и разного, и прикольного, и занятного, только вот ничего такого, что заставило бы меня почувствовать, что лицо Паутины изменилось за счет этих технологий раз и навсегда. Впрочем, быть может, это я такой толстокожий, и информационная революция произошла, а я этого просто не заметил.
Другое письмо пришло от Геры Шпигеля, который свои возражения Берсту опубликовал прямо в дискуссионном форуме Anchordesk. С мнением Геры по поводу экологической ниши ActiveX я полностью согласен. Воспроизведу фрагменты из его письма в обратном переводе на русский:
ActiveX не порождает для Интернета никаких опасностей. Приложения ActiveX не могут делать ничего такого, что не было бы доступно любым другим программам, которые мы сгружаем с серверов FTP или Паутины.
Я считаю, что сравнение ActiveX и Явы лишь создает ненужную путаницу. Модули ActiveX скорее стоит сравнивать с насадками (plug-ins). Такие насадки могут бесконечно расширять возможности бродилки. В то время как приложения на Яве сродни графическим элементам, которые надо сгружать всякий раз при просмотре страницы, где они содержатся (возможность вызова явских приложений или картинок из cache не имеет здесь принципиального значения).
Появление Явы не привело к вымиранию plug-ins. Это связано с тем, что у них разные ниши. А вот у приложений ActiveX и plug-ins ниша одна. Самым наглядным доказательством правильности мелкомягкой идеи, лежащей в основе ActiveX, является тот факт, что корпорация Netscape ее переняла для своих plug-ins (в Коммуникаторе 4 обещан механизм автоматической инсталляции насадок).
Насадки (plug-ins) так же небезопасны и так же зависимы от операционной системы, для которой они создаются, как модули ActiveX. Решение Netscape [включить автоматическую инсталляцию в бродилку] показывает, что те свойства ActiveX, которые нам представляют в качестве недостатков или угроз этой технологии, являются на самом деле ее достоинством.
Мысль о том, что модули ActiveX (OCX) приходят на смену насадкам (DLL), означает одну очевидную вещь. А именно - что о пределе будущей распространенности модулей ActiveX можно судить по уже известной нам из опыта "демографии" насадок. Существует три или четыре наиболее распространенных вида plug-ins, которые поддерживаются большинством сегодняшних бродилок. В основном они используются для того, чтобы расширить возможности домашних страниц за счет подключения дополнительных форматов аудио- и видеофайлов (QuickTime, Shockwave, Crescendo). Если на каждой странице, куда мы будем заходить, нам станут предлагать для просмотра содержимого установить себе новый plug-in, то за очень редкими исключениями мы просто пожмем плечами и пойдем себе на другой сайт.
Очевидно, что применимость модулей на Яве значительно шире. Потому что эти модули действительно могут быть свои у каждой отдельно взятой домашней страницы. И это никого из пользователей не останавливает. Мы заходим на сайт по указанному адресу, получаем оттуда текст, графику и все необходимые APPLETS. Догрузившись, явские модули начинают работать - то есть исполняются виртуальной машиной, изначально существующей в нашем компьютере.
Обогатить свой сайт явскими приложениями сегодня может любой дизайнер. Для этого не требуется никаких дополительных технических ухищрений, никаких модификаций системы. Просто включаем в гипертекст команду <APPLET>, указываем имя запускаемого модуля с адресом, откуда его следует брать (CODEBASE) - и он оттуда берется и работает себе. Поскольку мы знаем, что ни на нашем диске, ни в Интернете от нашего имени этот APPLET ничего страшного натворить не может, его автоматическая отгрузка и запуск не составляют никакой проблемы с точки зрения безопасности.
С модулями ActiveX дело обстоит иначе. Поскольку после их отгрузки и инсталляции они получают большую степень оперативной свободы и контроля над нашей системой, перед их установкой нам предлагается тщательно взвесить, в самом ли деле мы подобное готовы разрешить. Если производителем модуля является Microsoft или AoL, или какая-то другая фирма, которой мы по большому счету доверяем, то тут никаких проблем, вроде бы, возникнуть не должно. Если же модуль произвел неизвестный нам Вася Пупкин, то тут мы глубоко и надолго задумаемся...
До тех пор, пока описанный в письме Геры статус-кво сохраняется, никаких проблем с безопасностью возникать не должно. Plug-ins и модули ActiveX опасны, а потому весьма редки и малочисленны в Сети. Модули на Яве совершенно безопасны, а потому встречаются в Сети повсеместно; при этом в силу известных ограничений, наложенных требованиями безопасности, они довольно мало чего умеют делать полезного, а потому остаются в значительной степени просто игрушкой, забавой и вспомогательным инструментом третьестепенной важности.
Проблемы возникают в тот момент, когда грань стирается и пейзаж меняется. Когда с одной стороны Васе Пупкину предлагается приобрести себе за скромную плату сертификат Authenticode и раздавать свои модули направо и налево, а с другой стороны явские APPLETS получают все больше и больше полномочий от версии к версии, превращаясь из потешных кофейных бобов в полноценные динамитные шашки. Тут уже безопасность начинает становиться проблемой всех и каждого. И схемы trusted/untrusted тоже не очень работают, потому что хакер (если мы уж решили относиться к этой угрозе серьезно) может легко скрываться и за интернетовским адресом солидной компании, и за ее сертификатом authenticode. Не говоря уже о том, что хакер может заиметь и свой собственный authenticode, заплатив за него по украденной в AoL кредитной карточке...
Проблемой безопасности является не Ява или ActiveX в их сегодняшнем виде, а перспектива их развития по наметившимся сейчас направлениям. Если это развитие будет идти успешно, то нынешнее сосотояние дел с безопасностью ActiveX и Явы не будет уже содержать в себе никакой индикации того, как сложится ситуация в будущем.
Честно говоря, я склонен в этом споре занимать страусиную позу - и становлюсь при этом, как ни удивительно, рядом с Microsoft. Вместе с мелкомягкими я считаю, что бороться с угрозами следует в порядке поступления, а не умозрительно. Что теоретический хакер среди нашей мебели не типичен, и до сих пор никто не видел примеров действительно зловредного использования - несмотря на изобилие продемонстрированных возможностей. Когда появится оный злобный хакер, готовый и способный использовать бреши мелкомягкой безопасности в своих вредительских целях - тогда предметно поговорим о нем, его повадках, склонностях, о группе риска его излюбленных мишеней и обо всей связанной с его пришествием проблематикой.
А пока живем как жили - на честном слове и на одном крыле...
|
