<p>Okay. Thanks. I can probably get started on improving window management. You have clearly thought a lot about these issues too. As for the text color, don't worry—I would enforce specific colors. My main concern with any launcher with icons is this: can we trust the image loading libraries (e.g. libpng) to be secure? Even if sandboxed, an image loader could still switch icons around to make the user think something is something else. This could be used to trick the user into running spyware (e.g. an infected web browser). Sorry if I'm being too paranoid.</p>
<div class="gmail_quote">On May 12, 2015 2:04 AM, "Norman Feske" <<a href="mailto:norman.feske@...1...">norman.feske@...1...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Ben,<br>
<br>
On 05/10/2015 10:50 PM, Nobody III wrote:<br>
> Thanks for getting me to reread the New GUI Architecture page. It<br>
> answers some of my questions, but not all of them.<br>
> For adding minimize/maximize/restore/close buttons to the window<br>
> decorations, how do we handle the decorator not recieving input? Should<br>
> it send rectangles to indicate where the buttons are, and be sent<br>
> signals from the layouter when the mouse is over/clicking on one of them?<br>
<br>
it should work like this:<br>
<br>
1. The layouter produces a report for the window layout. Each window<br>
   that is to be equipped with a maximize button has an attribute set,<br>
   e.g., maximize="yes".<br>
<br>
2. The decorator receives the layout report and renders the window<br>
   decorations. It detects the 'maximize' attribute and draws the<br>
   maximize widget accordingly. It is up to the decorator to decide<br>
   where the widget is located or how big it is.<br>
<br>
3. The window manager (the parent of both the decorator and layouter)<br>
   virtualizes the nitpicker session of the decorator. It thereby<br>
   intercepts the user input that is referring to the decorator's<br>
   nitpicker session. The stream of input events is routed to the<br>
   layouter. However, the current pointer position is presented to the<br>
   decorator (it is updated only if the pointer moves over the<br>
   decorator's views).<br>
<br>
4. The decorator observes the change of the pointer position and<br>
   determines the widget at the pointer position. It reports this<br>
   information as a "hover" report to the window manager.<br>
<br>
5. The window manager routes the hover reports from the decorator to<br>
   the layouter.<br>
<br>
6. Thanks to the hover model, the layouter knows the type of the<br>
   pointed-at decoration widget. Since it receives the user input<br>
   events that refer to the window decorations, it can implement the<br>
   application logic to respond to user input events. For example,<br>
   if it observes a mouse-button-press event and the hover model<br>
   reports "maximize", the layouter can adjust the window position<br>
   and size and reports the updated window layout. The story<br>
   continues at 2.<br>
<br>
Intuitively, this procedure sounds pretty daunting, doesn't it? The more<br>
fascinating is the fact that it performs quite well. ;-) In return, this<br>
design achieves the following goals:<br>
<br>
* It sandboxes the potentially complex (and bug prone) graphics<br>
  operations in the form of the decorator component.<br>
<br>
* It protects the content of and user input to applications from<br>
  the decorator and layouter.<br>
<br>
* Since the graphical style of the window decorations is defined<br>
  inside the decorator component, it can be simply replaced by<br>
  another implementation. We spare us the complexity of adding<br>
  theming support to the window manager.<br>
<br>
* Since the window-layout policy is defined by a separate layouter<br>
  component, different implementations could accommodate a variety<br>
  of window layout approaches like tiled and tabbed windows,<br>
  virtual desktos etc.<br>
<br>
* The window manager has a very low complexity, which is important<br>
  because it is in the TCB of its client applications.<br>
<br>
As you noticed, the implementation is not complete yet. I plan to pick<br>
up this line of work again in June.<br>
<br>
> Also, what is the best way to implement focus on click? People won't<br>
> want to have to click on the window decorations or the panel every time<br>
> they want to switch windows.<br>
<br>
I guess you are referring to click-to-raise, not click-to-focus. The<br>
current version of the window manager does not propagate mouse clicks<br>
targeting the application views to the layouter, which would be a<br>
precondition to allow the layouter to respond to such events. I agree<br>
that this should be added in the future to give the layouter this ability.<br>
<br>
> It seems like the destop and panel should be at least partially<br>
> combined. I understand that there could be security issues with this.<br>
> I have been thinking about how to allow users to have user-specific<br>
> applications appear on the desktop and menu. What seems the most logical<br>
> (secure yet user-friendly) is to use different text colors for<br>
> system-wide and user-specific applications. Do you have any ideas on<br>
> this? I could see the panel/desktop becoming overly complex.<br>
<br>
This is definitely a valid concern. As an experiment to see how to avoid<br>
complexity in such security-critical graphical components, I have<br>
designed the launcher (gems/src/app/launcher) as a multi-component<br>
application. Similar to how the window manager separates the concerns of<br>
the layouter and decorator, the launcher separates the concerns of<br>
widget rendering and fading from the application logic. Thanks to this<br>
design, the launcher's actual application has very few lines of code.<br>
<br>
I think that there won't be _the one_ Genode way to address the<br>
application-management issue. I foresee different implementations of<br>
panels, decorators, layouters, and widget renderers that accommodate<br>
different users. For example, personally, I don't need a panel and would<br>
rather prefer to activate an application-management interface via a<br>
keyboard shortcut.<br>
<br>
Marking "trusted" applications with a special color is not an effective<br>
security measure unless you prevent all other applications to use this<br>
particular color. Otherwise a malicious application could just mimic a<br>
trusted application. Nitpicker's X-ray mode addresses this integrity<br>
issue by giving the user (not the software!) a mechanism is toggle the<br>
security feature at any time. While activated, it actually revokes the<br>
ability to use the entire color space from the applications. Bright<br>
colors are preserved to nitpicker only. Another complementary approach<br>
is the preservation of a certain screen region to the trusted<br>
application-management interface and making sure that this region always<br>
remains unobstructed from other applications. Nitpicker's layering<br>
mechanism accommodates this idea.<br>
<br>
Cheers<br>
Norman<br>
<br>
--<br>
Dr.-Ing. Norman Feske<br>
Genode Labs<br>
<br>
<a href="http://www.genode-labs.com" target="_blank">http://www.genode-labs.com</a> · <a href="http://genode.org" target="_blank">http://genode.org</a><br>
<br>
Genode Labs GmbH · Amtsgericht Dresden · HRB 28424 · Sitz Dresden<br>
Geschäftsführer: Dr.-Ing. Norman Feske, Christian Helmuth<br>
<br>
------------------------------------------------------------------------------<br>
One dashboard for servers and applications across Physical-Virtual-Cloud<br>
Widest out-of-the-box monitoring support with 50+ applications<br>
Performance metrics, stats and reports that give you Actionable Insights<br>
Deep dive visibility with transaction tracing using APM Insight.<br>
<a href="http://ad.doubleclick.net/ddm/clk/290420510;117567292;y" target="_blank">http://ad.doubleclick.net/ddm/clk/290420510;117567292;y</a><br>
_______________________________________________<br>
genode-main mailing list<br>
<a href="mailto:genode-main@lists.sourceforge.net">genode-main@...12...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/genode-main" target="_blank">https://lists.sourceforge.net/lists/listinfo/genode-main</a><br>
</blockquote></div>