Microsoft считает технологию WebGL небезопасной

Компания Microsoft сделала заявление, в котором говорится, что технология WebGL, слишком опасна что бы получить поддержку в Windows.

Заявление, озаглавленное как “WebGL считаем вредным” было сделано в официальном блоге Центра Безопасности Microsoft.

Заявление прозвучало вслед за парой докладов, которые описывают “серьёзные недостатки дизайна” и “проблемы безопасности” в WebGL. Последнее сообщение включает демонстрацию того, как пользовательские данные могут быть похищены через браузер.

Microsoft мгновенно отреагировала очень жёстким заявлением:

Одна из функций Центра Безопасности Microsoft заключается в анализе различных технологий, который позволяет понять на сколько та или иная технология может затронуть непосредственно Microsoft или его клиентов. Как элемент этой стратегии, мы недавно взглянули на WebGL. Анализ позволил сделать вывод, что продукты Microsoft, поддерживающие WebGL, вряд ли смогут соответствовать требованиям процесса безопасной разработки ПО.
…
Мы считаем, что WebGL станет источником уязвимостей, которые будет трудно исправить. В текущем состоянии WebGL не та технология, которую Microsoft может поддержать с точки зрения безопасности.

В докладе утверждается, что поддержка WebGL в браузере является «прямым способом раскрытия аппаратной функциональности в веб, который является чрезмерно разрешительным». Графические драйвера не могут быть зависимыми от соблюдения правил безопасности и не существует рабочей модели по обеспечению безопасности драйверов видео карт. Учитывая распространённость атак с использованием уязвимостей в сторонних продуктах (например, Adobe Flash и Java-приложения), это вызывает законную обеспокоенность со стороны Microsoft.

Microsoft также утверждает, что использование WebGL позволяет реализовать сценарий DoS атаки, который даст «возможность любому веб сайту подвесить систему или даже перегрузить её по своему желанию».

В своём сообщении, Ari Bixhorn из команды Internet Explorer, сделал прямой выпад в сторону конкурирующих браузеров:

Пользователям следует понимать, что безопасность их компьютеров находится под вопросом, когда они выходят в Интернет используя Google Chrome и Firefox. Из-за поддержки этими браузерами технологии WebGL, сайты, которые распространяют вредоносные программы, получают доступ к самым защищённым частям компьютера. С дырами в безопасности как эта, становится понятным, что WebGL не готова к тому,что бы стать стандартом, и поэтому пользователи не должны использовать такие браузеры. Поэтому Центр Безопасности Microsoft рекомендовал воздержаться от использования WebGL в продуктах Microsoft, например Internet Explorer.

В ответ на такие выпады, Khronos Group пытается сгладить ситуацию относительно вопросов безопасности, утверждая, что разработчики браузеров работают над соответствием WebGL требованиям безопасности и продемонстрированные дыры «являются результатом наличия ошибки в реализации WebGL в Firefox». Как сообщается, этот баг исправлен в Firefox 5.

Представитель Khronos Group отказался отреагировать на отчёт Microsoft, но заметил, что Mozilla, Firefox, и Opera полностью поддерживают WebGL, а Apple анонсировала ограниченную поддержку WebGL в iOS 5.

Представитель Google сказал, что компания не считает WebGL значительной угрозой своим пользователям. Большая часть стэка WebGL, включая GPU процессоры, «запускается в отдельном процессе и изолируется в Chrome для предотвращения различных типов аттак», заметил представитель. Google утверждает, что он сможет противостоять атакам на более низком уровне, работая с поставщиками аппаратного обеспечения, ОС и драйверов, отключая WebGL на тех конфигурациях, которые будут считаться небезопасными.

Max Paulousky via zdnet.com