Discussion :

[Hinault Romaric]

Un plug-in permet de faire tourner du code natif dans Chrome
Un développeur propose une démo de l'application de NaTcl


Un développeur vient de mettre sur pied une solution permettant d'exécuter des scripts Tcl (Tool Command Language) dans le navigateur Google Chrome de la même manière que des scripts JavaScript et ce en utilisant Google Native Client.

Native Client est une technologie open source permettant à des codes natifs de s'exécuter dans le navigateur. Cette technologie permet donc d'utiliser Google Chrome pour exécuter des applications web reposant sur les langages C ou C++.

L'exploitation de Native Client au travers de ce plug-in (NaTcl), permettrait de développer des applications Web Tcl aussi rapides que des applications JavaScript, ayant un accès direct au contenu DOM dans Chrome.

Pour se faire une idée, une application de démonstration est disponible sur le site du projet. Les développeurs de NaTcl, envisagent également de porter la technologie WubtK à NaTcl, permettant ainsi d'utiliser Tk pour la création d'interfaces graphiques portables Web.

Pour tester la démo, vous devez disposer du navigateur Chrome 10 (ou versions supérieures), sur lequel vous aurez désactivé le module de sécurité Sandbox et activé Native Client.

Pour mémoire, Google avait publié en février dernier "Arctic Sea", la première version du SDK officiel permettant de développer des applications Native Client C et C ++ pour le navigateur Chrome.

Une initiative qui n'avait pas emporté l'adhésion de Mozilla, très critique sur cette démarche.

La démo peut-être testée sur cette page

Et vous ?

Concernant le fait de faire tourner du code natif dans un navigateur, êtes vous plutôt pour comme Google ou très critique comme Mozilla ?

[Grimly_old]

Les navigateurs web ont été fait de telle sorte qu'ils se détachent de l'environnement local laissant tout au plus des cookies comme accès au disque. Cette limitation a un but qui est de limiter les intrusions. Qui n'a pas déjà eu de pop-up pour des pubs de casinos ou autres ?
Si ces derniers peuvent faire tourner du code natif sur le client, qui nous prouve que des malware ne passeront pas par cette "autoroute" ?

[Uther]

Une technologie potentiellement aussi ravageuse que l'ActiveX en son temps, aussi bien niveau sécurité que compatibilité.

Au secours.

[transgohan]

On croit cauchemarder en lisant de telles nouvelles...

[gangsoleil]

Et voici le grand retour du code executable via le navigateur. Mais ne serait-ce pas le reproche qui a ete fait a ActiveX pendant si longtemps, et qui est, encore aujourd'hui, vu comme l'une des plus belles failles de securite ?

Tester la demo ? Et puis quoi encore ? Vous voulez pas ma clef privee SSH pour executer plus facilement du code sur ma machine ?

D'ailleurs, pourquoi ne pas fournir le code source de la demo ? Il y aurait des choses a cacher ?

[air-dex]

Pour tester la démo, vous devez disposer du navigateur Chrome 10 (ou versions supérieures), sur lequel vous aurez désactivé le module de sécurité Sandbox et activé Native Client.

Vous pouvez faire tomber vous-même vos barrières de sécurités. C'est 100 % sûr, n'ayez crainte !

[Luc Hermitte]

Il y a tout de même une petite différence d'approche: http://code.google.com/intl/fr/conte...ient-security/

(je vous laisse fouiller le net, les mots clés sont faciles à trouver)

[gangsoleil]

Il y a tout de même une petite différence d'approche

Oui, il y a une difference d'approche. Mais l'idee reste tout de meme de faire tourner du code C ou C++ sur le poste client - pardon, dans le navigateur web du client.

En depit de toutes les recherches de failles par de grands specialistes, cela reste beaucoup beaucoup plus dangereux que la non-execution de code dans le navigateur du client.

[Luc Hermitte]

Oui. Donc interdisons aussi applets, flash, et javascript...

Il me parait mal venu de comparer la techno à une autre connue pour ses déficience et de crier tout de suite au loup. Google a visiblement accompli pas mal de boulot côté sécurité sur sa techno NC. Ils ne se sont pas contentés d'arriver sans regarder les expériences passées.
Mon seul point : avant de crier au loup à partir d'une courte description, regardez ce qui a été accompli, les objectifs, etc.

[Uther]

Oui. Donc interdisons aussi applets, flash, et javascript...

Javascript n'est pas comparable, il fait plus ou moins partie du web (surtout avec html 5).

La grosse différence avec les applet et flash(dont par ailleurs je me passerais bien quand même), c'est que se sont des technos cross plateformes. NaCl de par son coté natif ne l'est pas.

[gangsoleil]

Bonjour,

Le C et le C++ sont surtout des langages tres bas niveau, permettant des acces que beaucoup de langages ne permettent pas, ou du moins plus simplement.

Par ailleurs, je n'ai ni flash ni java sur ma machine pro, et je m'en porte tres bien, merci.

[gorgonite]

tout dépend de l'utilisation qui sera réellement accordé à ce code natif...

si cela ne fournit que des composants (comme XPCom pour Mozilla), ou ne peut pas être chargé dynamiquement avec une page (mais plutôt comme un plugin/extension au démarrage comme les plugins sous jEdit), ça pourrait améliorer les choses...

après il ne faudrait pas que chacun veuille installer sa petite vm intégrée pour avoir son langage de script au lieu du JS "standard"... sinon bonjour la compatibilité des sites (même Firefox n'a pas encore réellement des extensions en Python sous les versions "normales")