Microsoft считает опасной технологию, используемую в Firefox и Chrome
Представители корпорации Microsoft заявили, что графическая технология WebGL, продвигаемая Khronos Group, слишком опасна, для того, что бы иметь поддержку в Windows.
В настоящее время оба браузераGoogle Chrome и Mozilla Firefox поставляются с поддержкой WebGL. Google называет это "наиболее мощным способом добавления 3D графики на веб страницы" и призывает разработчиков "экспериментировать в области графических разработок". Mozilla позиционирует WebGL как идеальную технологию для "интерактивных 3D игр, приложений с насыщенной графикой и реализации нового подхода в визуальном проектировании без использования сторонних плагинов".
Заявление прозвучало вслед за парой докладов, которые описывают "серьёзные недостатки дизайна" и "проблемы безопасности" в WebGL. Последнее сообщение включает демонстрацию того, как пользовательские данные могут быть похищены через браузер.
Microsoft мгновенно отреагировала очень жёстким заявлением:
Одна из функций Центра Безопастности Microsoft заключается в анализе различных технологий, который позволяет понять на сколько та или иная технология может затронуть непосредственно Microsoft или его клиентов. Как элемент этой стратегии, мы недавно взглянули на WebGL. Анализ позволил сделать вывод, что продукты Microsoft, поддерживающие WebGL, врядли смогут соответствовать требованиям процесса безопасной разработки ПО.
[…]
Мы считаем, что WebGL станет источником уязвимостей, которые будет трудно исправить. В текущем состоянии WebGL не та технология, которую Microsoft может поддержать с точки зрения безопасности.
В докладе утверждается, что поддержка WebGL в браузере является "прямым способом раскрытия аппаратной функциональности в веб, который является чрезмерно разрешительным". Графические драйвера не могут быть зависимыми от соблюдения правил безопасности и не существует рабочей модели по обеспечению безопасности драйверов видео карт. Учитывая распрстранённость аттак с использованием уязвимостей в сторонних продуктах (на пример, Adobe Flash и Java-приложения), это вызывает законную обеспокоенность со стороны Microsoft.
Microsoft также утверждает, что использование WebGL позволяет реализовать сценарий DoS атаки, который даст "возможность любому веб сайту подвесить систему или даже перегрузить её по своему желанию".
В своём сообщении, Ari Bixhorn из команды Internet Explorer, делает прямой выпад против конкурентов:
Пользователям следует понимать, что безопасность их компьютеров находится под вопросом, когда они выходят в Интернет используя Google Chrome и Firefox. Из-за поддержки этими браузерами технологии WebGL, сайты, которые распространяют вредоносные программы, получают доступ к самым защищённым частям компьютера. С дырами в безопасности как эта, становится понятным, что WebGL не готова к тому, что бы стать стандартом, и поэтому пользователи не должны использовать такие браузеры. Поэтому Центр Безопастности Microsoft рекомендовал воздержаться от использования WebGL в продуктах Microsoft, например Internet Explorer.
В ответ на такие выпады, Khronos Group пытается сгладить ситуацию относительно вопросов безопасности, утверждая, что разработчики браузеров работают над соответствием WebGL требованиям безопасности и продемонстрированные дыры «являются результатом наличия ошибки в реализации WebGL в Firefox». Как сообщается, этот баг исправлен в Firefox 5, финальная версия которого будет представлена до конца месяца.
Представитель Khronos Group отказался отреагировать на отчёт Microsoft, но заметил, что Mozilla, Firefox, и Opera полностью поддерживают WebGL, а Apple анонсировала ограниченную поддержку WebGL в iOS 5.
Представитель Google сказал, что компания не считает WebGL значительной угрозой своим пользователям. Большая часть стэка WebGL, включая GPU процессоры, "запускается в отдельном процессе и изолируется в Chrome для предотвращения различных типов аттак", заметил представитель. Google утверждает, что он сможет противостоять атакам на более низком уровне, работая с поставщиками аппаратного обеспечения, ОС и драйверов, отключая WebGL на тех конфигурациях, которые будут считаться небезопасными.
www.securitylab.ru