Новости Hardware

Microsoft: поддержка WebGL — угроза безопасности

Логотип Internet Explorer

Хотя Internet Explorer 9 сделал громадный скачок в поддержке различных стандартов, а в версии 10 этот список будет ещё более расширен, Microsoft пока даже не начинала работать над интеграцией поддержки WebGL, основанной на OpenGL API спецификации, позволяющей веб-страницам использовать 3D. В своём блоге специалисты по безопасности компании объяснили этот феномен: они не видят возможности безопасно интегрировать поддержку WebGL.

Графическое оборудование и видеодрайверы традиционно имеют доступ к достаточно безопасному коду — программам, которые пользователь сам решил установить или исполнить. Отдельные версии графических драйверов бывают нестабильны и имеют массу ошибок, которые разработчики стараются обходить при создании программ.

 

Демонстрация WebGl

WebGL-демонстрация из экспериментов Chrome

Веб-страницы, напротив, часто содержат вредоносный код, умышленно созданный для вызова ошибок и уязвимостей. Для противостояния этому создатели браузеров прибегают к различным методикам вроде исполнения в песочнице, уменьшения привилегий и так далее, которые призваны уменьшить влияние дыр в безопасности. Браузеры также анализируют код на предмет вредоносных сценариев и пытаются предотвратить такой ход событий. Тем не менее, мы постоянно узнаём о новых и новых проблемах безопасности обозревателей, которые используют злоумышленники. Раньше видеодрайверы никогда не сталкивались с такой угрозой и не разрабатывались с учётом проблем подобного рода. Распространение WebGL, предоставляющего доступ к оборудованию на более низком уровне, изменит эту картину и предоставит вредоносным веб-страницам относительно лёгкий доступ к уязвимым драйверам.

Из первой проблемы выходит вторая — многие уязвимости будут заключаться в драйверах AMD, NVIDIA и Intel. То есть, разработчики браузеров не смогут эффективно противостоять этим проблемам, что увеличивает риск DoS-угроз. Но стоит отметить, что WebGL создавался с учётом возможных проблем такого рода и некоторые из них учтены при его разработке. В OpenGL есть функции, заставляющие более строго проверять исполняемый 3D-код, благодаря чему WebGL должен быть безопаснее. Microsoft на этот счёт отмечает, что такие методы недостаточно испытаны и могут быть ненадёжны.

 

Механизм WebGL-атак

 

В результате программный гигант делает вывод о том, что все перечисленные проблемы  не позволят реализовать поддержку WebGL  с учётом удовлетворения высоким требованиям Microsoft в отношении безопасности ПО.

Microsoft в последнее время уделяет немалое внимание безопасности на каждом этапе разработки. Это уже дало немалые плоды: Windows Vista и Windows 7 оказались куда менее уязвимыми, чем Windows XP. Нежелание компании поддерживать потенциально небезопасный стандарт можно понять.

 

Демонстрация WebGl

WebGL-демонстрация из экспериментов Chrome

Многие уже высказали мнение, что Microsoft в очередной раз просто не желает поддерживать открытый стандарт, разрабатываемый вместо её собственного Direct3D. С этим мнением сложно согласиться, ведь Microsoft является в настоящее время одной из основных компаний, продвигающих открытый стандарт HTML5 (наряду с сопутствующими технологиями) даже за счёт своих собственных стандартов.

Стоит отметить, что Microsoft не единственная компания, сталкивающаяся с проблемой качества видеодрайверов. Firefox 4, как и Internet Explorer 9, использует Direct2D и Direct3D для ускорения прорисовки и анимации веб-страниц. Эти API весьма сильно зависят от качества драйверов. И хотя применение их во многих отношениях сильно контролируется Firefox, разработчики из Mozilla были вынуждены занести в чёрный список громадное число драйверов, особенно старых из-за проблем со сбоями и искажением выводимого на экран изображения.

Кстати, Microsoft сама может столкнуться с проблемами, аналогичными WebGL, при выходе Silverlight 5, который кроме прочих функций будет включать поддержку Direct3D. Стоит помнить также, что Internet Explorer является самым популярным браузером, и отсутствие поддержи WebGL в нём вызывает некоторую критику со стороны разработчиков, особенно на фоне того, что доводы Microsoft вряд ли убедят Mozilla, Google, Opera или Apple отказаться от поддержки WebGL. Возможно, в будущем и Microsoft изменит своё решение, ведь в своём блоге она выразила понимание желательности внедрения технологий, аналогичных WebGL.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥