Slo-Tech - Danes je izšla nova verzija Firefoxa 52, ki izpolnjuje poldrugo leto staro napoved, da bodo ukinili podporo za stare vtičnike NPAPI (razen izključno za Flash). Mozilla ni prva, ki bi to storila. Google je v Chromu NPAPI nepreklicno pokopal septembra 2015 na vseh platformah, Opera pa je to storila maja lani. Microsoftov Edge sploh nikoli ni podpiral NPAPI, torej je izmed velikih ostal samo še stari Internet Explorer. Pričakovali bi torej, da bodo pisci spletišč in spletnih aplikacij pravočasno ukrepali in prešli na modernejše tehnologije, kot je HTML5. Pa seveda niso.
Telemach je svoje stranke obvestil, da aplikacija D3GO v novi verziji Firefoxa ne bo več delovala, ker potrebuje NPAPI. Zato so uporabnikom svetovali uporabo Internet Explorerja, Safarija ali izklop posodabljanja Firefoxa. To je seveda kriminalno slab nasvet, saj s tem uporabnikom svetujejo, naj po spletu brskajo s staro, nezavarovano in luknjičasto opremo, ker sami niso spisali za današnji čas primerne aplikacije.
Podobno je NPAPI presenetil tudi FURS, ki mu je v novi verziji Firefoxa 52 nehala delovati komponenta za elektronski podpis v Linuxu in na Macih. Tudi FURS v svojih navodilih uporabnikom svetuje, da izklopijo posodabljanje Firefoxa, namestijo verzijo ESR ali pa v Firefoxu 52 izrecno omogočijo vtičnike NPAPI, kar bo samo še v tej verziji mogoče.
Ne poznam NPAPI arhitekture, ali mi lahko kdo na hitro razlozi, zakaj naj bi bila slaba in v cem je njen nadomestek boljsi?
Vse novejše je vedno boljše. Nujno. Če pa boš kaj rekel proti pa te bomo imeli za starca, ki ne more shajati z novo tehnologijo in ki zavira razvoj. In čeprav je Firefox 52 šele par ur zunaj, je vse kar je manj nujno slabo in zastarelo. /s
Telesmeh je tako ali tako katastrofa od ponudnika! Že, ko vidim reklamo na tv, mi gre na bruhanje...noro visoke hitrosti do 220Mbit...resno? To je noro visoka hitrost? Naj raje oglašujejo koliko ponujajo uploada, ker to je edino kar jih dejansko "stane". Upload pa ponujajo v rangu drugih ponudnikov iz leta 2011.
Glavna težava pri Telemachu je ViewRight plugin podjetja Verimatrix (DRM komponenta). Firma se je že 3 leta nazaj zavezala k temu, da bo naredila korak stran od NPAPI-ja: https://bugzilla.mozilla.org/show_bug.c...
Glavno vprašanje je, ali so to res naredili. Če so, je mogoče Telemach počasen pri posodobitvah?
Ne poznam NPAPI arhitekture, ali mi lahko kdo na hitro razlozi, zakaj naj bi bila slaba in v cem je njen nadomestek boljsi?
Vse novejše je vedno boljše. Nujno. Če pa boš kaj rekel proti pa te bomo imeli za starca, ki ne more shajati z novo tehnologijo in ki zavira razvoj. In čeprav je Firefox 52 šele par ur zunaj, je vse kar je manj nujno slabo in zastarelo. /s
Narobe razumeta. Ne vem, a je z NPAPI tehnologijo dejansko kaj narobe, problematičen je nasvet lastnikov spletnih strani, naj se za odstopanje do delov strani, kjer se verjetno hranijo občutljivi (osebni) podatki, uporablja stare verzije Firefoxa. Le te pa so luknjaste in predstavljajo varnostno tveganje.
Ne moreš verjeti kake neumnosti jim gredo po glavi. Mar ti ljudje resno ne vedo, da posodobitve obstajajo z določenim razlogom?
Ne. Ko se dereš, da X telefon nima posodobitev, ti ljudje nazaj zabrusijo 'kaj pa ti sploh bodo posodobitve, itak samo vse pokvarijo'. In s tem mislijo popolnoma resno.
Ne vem, a je z NPAPI tehnologijo dejansko kaj narobe
NPAPI je 20 let stara tehnologija, kjer je glavni problem v tem, da plugini tečejo z enakimi pravicami, kot glavni proces brskalnika - pomeni, da lahko z izkoriščanjem ranljivosti v pluginu zaobideš vse varnostne funkcije, ki ščitijo ostale dele brskalnika (plugini niso v peskovniku, kot pri PPAPI, Java in Flash pa sta se izkazala za zelo luknjičasta).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
Ne moreš verjeti kake neumnosti jim gredo po glavi. Mar ti ljudje resno ne vedo, da posodobitve obstajajo z določenim razlogom?
Ne. Ko se dereš, da X telefon nima posodobitev, ti ljudje nazaj zabrusijo 'kaj pa ti sploh bodo posodobitve, itak samo vse pokvarijo'. In s tem mislijo popolnoma resno.
Žal je to marsikdaj popolnoma res, že konkretni primer je tak. Povsem razumljivo, da povprečnega uporabnika boli k za tehnične podrobnosti in to, kdo je zares zajebal, dejstvo je, da po posodobitvi firefoxa D3GO ne deluje več. Logično, da potem pizdi.
Ne poznam NPAPI arhitekture, ali mi lahko kdo na hitro razlozi, zakaj naj bi bila slaba in v cem je njen nadomestek boljsi?
NPAPI v bistvu naloži dll/so knjižnico (plugin) v proces brskalnika in ji preprosto pove "riši stvari semle in tule so tvoji podatki". Ta plugin nima nobenih omejitev izvajanja ali dostopa. Dela lahko praktično karkoli na tvojem operacijskem sistemu. Dobra stran tega je da pač lahko imaš zelo močne vtičnike - npr. Flash ima dostop do strojnega pospeševanja videa, mikrofona, grafike, Java ima prav tako dostop do vsega (tudi tvojih ključev za enkripcijo, ki jih uporabljajo eDavki, itd.). Ta API za vtičnike je v bistvu že kar star - navsezadnje je ime Netscape Plugin API in je bil dodan v Netscape 2.0 se mi zdi :)
Ima pa ta pristop precej problemov, dva največja sta: - Vtičniki so kompatibilni samo z enim operacijskim sistemom in jih je treba na novo napisati za vsakega (kar je nekoliko v nasprotju s splošno kulturo spletnega razvoja). - Še pomembneje - vtičniki nimajo nobene varnosti, niti preprostega sandboxa. Posledično so luknjasti kot švicarski sir. In to zelo - Flash in Java sta imela na stotine varnostnih luknej, ki so omogočale komurkoli na internetu dostop do vašega računalnika samo z zagonom vtičnika na sistemu. Če samo pobrskaš med novicami tule boš videl goro novic o Java in Flash luknjah :)
Zaradi tazadnje točke so vsi brskaliniki ta API nehali podpirati. Tako nekega načina kako daš v brskalnik poljuben vtičnik več ni - večina stvari za katere so se uporabljali vtičniki je postala del standarda HTML (HTML5 Canvas, Video, EME, WebGL, WebRTC) preko APIjev ki tokrat celo zagotavljajo ustrezno varnost. Za ostale uporabe pa alternative pač ni.
V primeru teh dveh strani se pa gre za ločena problema: - Telemach ni posodobil svoje platforme. Z nekega razloga so uvedli DRM (Telekom/Siol recimo DRMja nima ker pač razumejo da je debilno preprečevati ljudem da snemajo POP TV :P ) in jim je zdaj vtičnik zastarel. Rešitev je odstranitev DRMja ali pa uporabla EME verzije plugina. - eDavki pa uporabljajo Java vtičnik da podpiše dokument. V HTML standardu podpore za kaj takega ni, tako da niti nimajo druge alternative kot pa sčasoma preseliti podpisovanje na njihove strežnike.
Ne moreš verjeti kake neumnosti jim gredo po glavi. Mar ti ljudje resno ne vedo, da posodobitve obstajajo z določenim razlogom?
Ne. Ko se dereš, da X telefon nima posodobitev, ti ljudje nazaj zabrusijo 'kaj pa ti sploh bodo posodobitve, itak samo vse pokvarijo'. In s tem mislijo popolnoma resno.
And they have a point. Malo je ponudnikov SW in HW, ki skrbijo ne le za varnost (takih je še kar precej), temveč tudi za ustrezno kakovostno testiranje varnostnih popravkov in posodobitev (takih je sicer vse več, a še vedno malo). Kot uporabnik žal šele v praksi spoznaš, kako kateri ponudnik obravnava informacijsko varnost. Pa ne, da zagovarjam uporabnike WinXP in IE 6.0, ampak takojšnje nameščanje vsakega novega updatea je pa že res na meji ruske rulete.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Telemach ni posodobil svoje platforme. Z nekega razloga so uvedli DRM (Telekom/Siol recimo DRMja nima ker pač razumejo da je debilno preprečevati ljudem da snemajo POP TV :P ) in jim je zdaj vtičnik zastarel. Rešitev je odstranitev DRMja ali pa uporabla EME verzije plugina.
Če malo pobrskaš po netu, še posebej po forumih ex-Yu držav, lahko ugotoviš, da so ljudje v preteklosti množično objavljali linke do nezaščitenih D3GO streamov. Očitno je SBB-ju (lastnik Telemacha) in/ali lastnikom avtorskih pravic enkrat postalo dovolj in so uvedli DRM. Zanimivo je, da niso poskusili uporabiti česa preprostejšega kot naprimer piškotke ali pa žetone, kar s pridom uporablja tv2go (in verjetno tudi telekom), pa še lažje bi bilo pretvorit v HTML5.
Če malo pobrskaš po netu, še posebej po forumih ex-Yu držav, lahko ugotoviš, da so ljudje v preteklosti množično objavljali linke do nezaščitenih D3GO streamov. Očitno je SBB-ju (lastnik Telemacha) in/ali lastnikom avtorskih pravic enkrat postalo dovolj in so uvedli DRM. Zanimivo je, da niso poskusili uporabiti česa preprostejšega kot naprimer piškotke ali pa žetone, kar s pridom uporablja tv2go (in verjetno tudi telekom), pa še lažje bi bilo pretvorit v HTML5.
Saj to je del, ki nima smisla - za preprečevanje dostopa pač uporabljaš avtentikacijo (oauth, piškotke, whatever) in nimaš problema s vtičniki. Tile DRMji so samo uporabni za to da ne bi ti z mreže poskušal snemati kanala (za kar si že moral dobiti stream nekak k sebi).
"Google je v Chromu NPAPI nepreklicno pokopal septembra 2015"
Google je nadomestil NPAPI s PPAPI in z njim omogočil plugine npr. Flash Player. Pri Mozilli so imeli možnost ali sprogramirati podporo za PPAPI ali pa se v celoti odpovedati razvoju plug-in podpore in raje energijo usmeriti v HTML 5. Odločili so se za slednjo. Tako podpore za plugin (razen Adobe Flash) nikoli niso spisali v Firefox 64-bit (za Windows). Torej NPAPI podpora za ne-Flash je že do sedaj bil le v Firefox 32-bit.
"Microsoftov Edge sploh nikoli ni podpiral NPAPI, torej je izmed velikih ostal samo še stari Internet Explorer."
Ta stavek se lahko razume, da je Internet Explorer imel NPAPI? Nikoli. Pred mnogimi leti cca. 20 let, je bil velik boj med Internet Explorer, ki je potiskal Active-X tehnologijo in pa Netscape, ki je potiskal svojo NPAPI. Tako je vedno bilo potrebno na Windows računalnik namestiti dva Adobe Flash plugina, enega za IE in drugega za Netscape. Netscape je s časoma propadel in na njegovih ruševinah se je razvil Mozilla Firefox.
"Pričakovali bi torej, da bodo pisci spletišč in spletnih aplikacij pravočasno ukrepali in prešli na modernejše tehnologije, kot je HTML5. Pa seveda niso."
Seveda bi se tole lahko pričakovalo, vendar pri državnih organizacijah je vedno vmes denar in pa potem javni razpisi itd. Večino programja pa ne spišejo sami v FURS, ampak imajo zunanjega izvajalca. Če se njemu ne plača, ne bo razvoja.
"... ali izklop posodabljanja Firefoxa. To je seveda kriminalno slab nasvet"
Slovenski pregovor: V sili še hudič muhe žre. Uporabnik, ki želi na hitro nekaj narediti z FURS, nima neke druge izbire.
"Tudi FURS ... v Firefoxu 52 izrecno omogočijo vtičnike NPAPI, kar bo samo še v tej verziji mogoče."
Škoda, da niste povzeli FURS-ove rešitve in napisali v novico. Nekdo, ki bere slo-tech.com verjetno pričakuje kakšno rešitev. Ta rešitev je tudi za ne-FURS uporabnike, npr. uporabniki Telemach itd. 1. V URL vrstici vpišeš: about:config 2. Na praznem mestu klikneš na: New | Boolean (slovensko Novo | Logična vrednost). 3. V okence vtipkaš: plugin.load_flash_only gumb V redu, in nato izbereš false in V redu. 4. Kadarkoli se about:config nastavitve spreminjajo je pametno ponovno zagnati brskalnik, ker se vse nastavitve v about:config ne odrazijo takoj, ampak ob ponovnem zagonu brskalnika. Ta začsna rešitev pa kot že omenjeno v članku deluje le v Firefox 52. V naslednji različici Firefox 53, čez cca. 8 tednov več ne bo delovala.
Kot je omenil Mavrik, eDavki nimajo izbire. Brskalniki ukinejo podporo za plugine, po drugi strani pa ne zagotavljajo zadostne funkcionalnosti (branje uporabniških certifikatov). To je zame korak nazaj. Uporabnik bi moral imeti vsaj izbiro, če želi zagnati plugine.
Tule je potrebno omeniti da je Google prvi objavil ukinitev NPAPI vmesnika leta 2013(!!!!), kar pomeni da ti dve strani nista bili sposobni naredi nič v treh letih!
Tule je potrebno omeniti da je Google prvi objavil ukinitev NPAPI vmesnika leta 2013(!!!!), kar pomeni da ti dve strani nista bili sposobni naredi nič v treh letih!
Tule je potrebno omeniti da je Google prvi objavil ukinitev NPAPI vmesnika leta 2013(!!!!), kar pomeni da ti dve strani nista bili sposobni naredi nič v treh letih!
Če nihče noče plačat...
A bi ti to naredil zastonj?
"Life is hard; it's even harder when you're stupid."
Kot je omenil Mavrik, eDavki nimajo izbire. Brskalniki ukinejo podporo za plugine, po drugi strani pa ne zagotavljajo zadostne funkcionalnosti (branje uporabniških certifikatov). To je zame korak nazaj. Uporabnik bi moral imeti vsaj izbiro, če želi zagnati plugine.
Ni nobenega razloga, da se mora podpisovanje izvajati prav v brskalniku. Kaj bi bilo narobe, če bi se za podpis in drugo uporabljal API in poljubni klienti, ki bi se nanj povezovali?
Kot je omenil Mavrik, eDavki nimajo izbire. Brskalniki ukinejo podporo za plugine, po drugi strani pa ne zagotavljajo zadostne funkcionalnosti (branje uporabniških certifikatov). To je zame korak nazaj. Uporabnik bi moral imeti vsaj izbiro, če želi zagnati plugine.
Ni nobenega razloga, da se mora podpisovanje izvajati prav v brskalniku. Kaj bi bilo narobe, če bi se za podpis in drugo uporabljal API in poljubni klienti, ki bi se nanj povezovali?
Samo podpisovanje ni problem, problem je da današnji brskalniki niso zmožni prebrati osebnega certifikata iz repozitorja. Edina rešitev je potem, da naložiš svoj certifikat na strežnik, ki bi ti podpisoval dokumente. Kar pa je zelo varnostno vprašljivo.
Samo podpisovanje ni problem, problem je da današnji brskalniki niso zmožni prebrati osebnega certifikata iz repozitorja. Edina rešitev je potem, da naložiš svoj certifikat na strežnik, ki bi ti podpisoval dokumente. Kar pa je zelo varnostno vprašljivo.
Seveda da znajo - ko se povežeš na stran lahko vsi brskalniki se avtenticirajo in zaščitijo povezavo s tvojim certifikatom (a veš tako kot večina bančnih spletnih strani). Strežnik na drugi strani potem gotovo ve da si se povezal ti in komot dela podpis s tvojim javnim ključem ki ga je dobil.
Tvoj privatni ključ ostane v tvoji lasti (in ni nikoli prenešen preko linije) in se potem komot uporabi za verifikacijo tega podpisa.
Seveda da znajo - ko se povežeš na stran lahko vsi brskalniki se avtenticirajo in zaščitijo povezavo s tvojim certifikatom (a veš tako kot večina bančnih spletnih strani). Strežnik na drugi strani potem gotovo ve da si se povezal ti in komot dela podpis s tvojim javnim ključem ki ga je dobil.
Tvoj privatni ključ ostane v tvoji lasti (in ni nikoli prenešen preko linije) in se potem komot uporabi za verifikacijo tega podpisa.
Če strežnik podpiše s tvojim javnim ključem, kako potem veš, da nekdo dokumenta ni naknadno spremenil in podpisal s tvojim javnim ključem še enkrat? Ne gre to tako...
Strežnik na drugi strani potem gotovo ve da si se povezal ti in komot dela podpis s tvojim javnim ključem ki ga je dobil.
Tvoj privatni ključ ostane v tvoji lasti (in ni nikoli prenešen preko linije) in se potem komot uporabi za verifikacijo tega podpisa.
Am, z javnim ključem ne more strežnik ničesar podpisat. To imaš malo obratno kot pri šifriranju -- z zasebnim ključem podpisuješ in z javnim ključem preverjaš podpis. Obratno ne gre, saj sicer ne bi bilo smisla, ker bi vsak lahko ponaredil tvoj podpis.
Human stupidity is not convergent, it has no limit!
Seveda pa bi lahko naredili tako, da bi ponudili specifikacije kako dokument podpisati (recimo način, ki bi bil kompatibilen z openssl) in bi ponujali alternativno možnost, da dokument naložiš lokalno, podpišeš in pošlješ nazaj - vsaj dokler brskalniki ne podprli WebCryptoAPI.
Seveda da znajo - ko se povežeš na stran lahko vsi brskalniki se avtenticirajo in zaščitijo povezavo s tvojim certifikatom (a veš tako kot večina bančnih spletnih strani). Strežnik na drugi strani potem gotovo ve da si se povezal ti in komot dela podpis s tvojim javnim ključem ki ga je dobil.
Tvoj privatni ključ ostane v tvoji lasti (in ni nikoli prenešen preko linije) in se potem komot uporabi za verifikacijo tega podpisa.
Če strežnik podpiše s tvojim javnim ključem, kako potem veš, da nekdo dokumenta ni naknadno spremenil in podpisal s tvojim javnim ključem še enkrat? Ne gre to tako...
Joj brain fart. Seveda imaš prav, tak podpis bi bil neuporaben :)
NPAPI v bistvu naloži dll/so knjižnico (plugin) v proces brskalnika in ji preprosto pove "riši stvari semle in tule so tvoji podatki". ... - eDavki pa uporabljajo Java vtičnik da podpiše dokument. V HTML standardu podpore za kaj takega ni, tako da niti nimajo druge alternative kot pa sčasoma preseliti podpisovanje na njihove strežnike.
Respect. Takšnihle kratkih in jedrnatih opisov manjka na netu. Jaz npr. sploh nimam kaj dosti pojma o spletnih tehnologijah, kaj se izvaja na serverju, kaj pri uporabniku, avtentikacija, bla bla... Tako da je takle overview precej dobrodošel.
In vedno, ko se želim izobrazit, me odvrne gora nakladanja, skozi katerega se je treba prebit, da bi dobil eno pregledno sliko, pa morda od tam naprej raziskoval posamezna področja, ki bi me bolj zanimala. Tako pa vedno dobiš servirane detajle, v stilu: nauči se HTML, potem CCS, pa javascript, pa php, pa boš sproti doumel, zakaj gre. Ne, ne zanima me tako v detajle. Nikdar ne bom programer spletnih strani, to me res ne zanima. Rad bi en overview. Rad bi kupil globus Zemlje, nimam pa želje odkrivat amazonskih pragozdov, plezat v Himalaji in prepešačit puščavo Gobi.
Imam občutek, da v IT/Računalništvu na splošno primanjkuje takšnih "hi-level" pregledov; ampak načeloma nas stvari zanimajo, pa dejansko prežvečimo tehnikalije in si "from bottom-up" ustvarjamo sliko. Sploh pri programiranju je po navadi tako - običajen nasvet začetniku je: začni programirat in ne sprašuj preveč, boš že razumel. Zdaj, včasih je to res upravičeno reči, nisem pa prepričan, da je takšen pristop dober kot načelo.
Tako, olajšal sem si dušo Če ima pa kdo na seznamu literature kakšno knjigo (spletno stran), ki bi imela bolj top-down approach za spletne tehnologije (ali kakšno drugo IT temo), se priporočam. Pri čemer, pazi zdaj, top-down ne pomeni "površno".
. 
Če ima pa kdo na seznamu literature kakšno knjigo (spletno stran), ki bi imela bolj top-down approach za spletne tehnologije (ali kakšno drugo IT temo), se priporočam. Pri čemer, pazi zdaj, top-down ne pomeni "površno".