NoD.sunrise schrieb:
...
WebGL und Canvas sind offene Standards die von unzähligen Größen unterstützt werden, im Falle von WebGL zb Google,AMD,Nvidia,Intel,Oracle... Denen traue ich zum einen eine saubere Arbeit viel eher zu als Adobe und zum anderen kann es leichter kontrolliert werden.
...
Flash ist nicht per se proprietär, die SWF-Spezifikation ist beispielsweise schon seit geraumer Zeit öffentlich, was auch der Grund ist, warum Mozilla überhaupt an Shumway arbeiten kann. Proprietär ist an Flash das ganze DRM-Zeugs, das Mozilla für HTML5 auch durch ein NPAPI-Plugin lösen möchte und das NPAPI-Plugin soll dann, oh Wunder, ausgerechnet Adobe liefern. Es wird also ActionScript durch JavaScript gewechselt und dafür wird der Funktionsumfang massiv erweitert, damit er dann irgendwann nicht nur Flash entspricht, sondern sogar darüberhinaus geht. Leichtere Kontrolle ist eine wichtige Sache, wenns um versteckte Funktionen geht oder bewusste Scheunentore, aber bei versehentlich verursachten Exploitmöglichkeiten ist die Sprache, in der der Client geschrieben ist, noch halbwegs relevant - und die ist bei Gecko genau wie beim Flashplayer C++ und in einigen Bereichen (wohl vor allem bei SpiderMonkey) C. Zweiter Faktor ist, wie viele Leute dann tatsächlich an der Implementierung arbeiten, um Lücken zu beseitigen. Ich glaube dabei aber definitiv nicht daran, dass ein quelloffenes Projekt automatisch mehr Programmierer hätte - OpenSSL-Heartbleed sollte da doch ein Weckruf gewesen sein. Natürlich bleibt OpenSource wünschbar, aber dass es besser ist, liegt eben eher in dieser
Möglichkeit der Kontrolle durch Dritte, sie ist nicht fehlerunanfälliger.
Die Lücken, die im Prinzip Adobe Flash stecken, werden von HTML5/JS ja eben genau in Kauf genommen, da ist es irrelevant, ob nun großes Industriekonglomerat oder nur ein Einzelunternehmen, wenn man sehen kann, dass die Funktionen ja eben die gleichen sind. Die Programmierermenge macht dann einen Unterschied bei den spezifischen Implementierungen in Software, also nicht in "ECMAScript-Standard", sondern in Mozilla Spidermonkey, in Google V8, in WebKit JavaScript Core und Microsoft JScript - die sind alle unterschiedlich und letzteres ist genauso quellgeschlossen, wie der Adobe Flashplayer als bekannteste Implementierung.
Summasummarum: Man kann gerne wünschen, das Flash aussterben soll, weils kein herstellerunabhängiger Standard ist. Aber dieses Getue um jede Flash-Sicherheitslücke, als wäre das jetzt er grund, warum es schnellstmöglich sterben solle, ist solange albern, solange eben die Implementierungen von HTML5/JS-Engines nicht bessere Absicherungsprinzipien haben. Das mag sich vielleicht ändern, wenn Mozilla irgendwann eine in Rust geschriebene Engine präsentieren wird - aber nicht, solange C++ Software mit Designprinzipienmenge A durch C++ Software mit Designprinzipienmenge A ersetzt wird. (ich meine A durch A, das ist kein Tippfehler)
