Alfonso Maruccia

WebGL? Per Microsoft non Ŕ sicura

Redmond si schiera contro lo standard dell'accelerazione grafica su web definendola una tecnologia intrinsecamente prona a vulnerabilitÓ, exploit e attacchi informatici

Roma - Il futuro prossimo di WebGL non potrà contare sul supporto di Internet Explorer: Microsoft ha preso ufficialmente posizione contro l'integrazione del "giovane" standard di accelerazione 3D sul web nel suo browser, adducendo motivazioni di sicurezza e denunciando l'intrinseca vulnerabilità di una tecnologia che espone ad attacchi diretti il "duro metallo" bypassando i controlli di kernel e sistema operativo.

Basando la propria opinione sugli studi condotti da Context Information Security, Microsoft spiega i tre punti critici di WebGL nella sua implementazione attuale: lo standard "espone le funzionalità hardware di basso livello direttamente all'attacco da remoto tramite il web, la sua sicurezza dipende troppo da quella del codice delle terze parti (i device driver delle schede grafiche), ed appare troppo esposta ad attacchi di tipo DoS".

L'accesso diretto alle risorse hardware spinge non integrare la tecnologia in IE, mentre sono già WebGL-compatibili i browser "alternativi" Mozilla Firefox e Google Chrome - la versione mobile di Apple Safari supporterà presto WebGL ma solo per l'advertising veicolato sulla piattaforma iOS di Cupertino.
E parlando di insicurezza di WebGL capita a proposito l'individuazione di una vulnerabilità scovata in Firefox 4, un baco potenzialmente sfruttabile per "rubare" il contenuto della memoria della GPU usata per visualizzare la pagina web. Il baco, anch'esso scoperto da Context Information Security, dovrebbe essere risolto in tempo per la prossima release del Panda Rosso in arrivo nei prossimi giorni.

Alfonso Maruccia
Notizie collegate
17 Commenti alla Notizia WebGL? Per Microsoft non Ŕ sicura
Ordina
  • ... implementeranno WebGL con un ActiveX da installare a parte, così WebGL sarà filtrato da un componente che gira a livello di sistema operativo, e che introdurrà bugs non solo a livello di hardware grafico, ma anche di sistema operativo.

    Ma pensate davvero che M$ perda il treno dello standard di fatto per i prossimi anni?

    O vogliono tentare una nuova sortita come con OOXML?
  • ╚ inutile che M$ stia tanto a criticare WebGL senza proporre un'alternativa migliore. Di opinioni sparate a caso ce ne sono anche troppe e non ne sento il bisogno di altre.
    Inoltre IE è l'ultimo che ha il diritto di parlare in termini di sicurezza e innovazione; tra l'altro, fosse anche come dice, almeno WebGL è gratis, non come un certo OS di mia conoscenza....
  • oh ma loro l'alternativa ce l'hanno e si chiama silverlight 3d

    secondo te sparano FUD a caso? in questo campo sono i miglioriA bocca aperta
    non+autenticato
  • Il fatto che non abbiano nominato silverlight 3d nel criticare WebGL sta a indicare che nemmeno loro ritengono silverlight un'alternativa.
    Non sono stupidi, sono solo bravissimi a rifilare a pagamento qualsiasi cosa gli passi tra le mani (purtroppo).
  • Miiiiii da che pulpito arrivano avvertimenti sulla sicurezza!!!

    E gli ActiveX che finora hanno permesso danni e infezioni pazzesche?

    E Silverlight 3D che ha lo stesso problema?

    Anzi sembra proprio che vengano fuori con questa critica verso WebGL perché non ne vogliono la diffusione...

    Un po' come quando sputano su Android, ma Win7 Mobile resta ad una percentuale bassissima di diffusione.
    iRoby
    7798
  • - Scritto da: iRoby
    > Miiiiii da che pulpito arrivano avvertimenti
    > sulla sicurezza!!!

    Da chi se ne intende ed ha lunga esperienza in buchi di sicurezza...
    Rotola dal ridere

    > E gli ActiveX che finora hanno permesso danni e
    > infezioni
    > pazzesche?
    >
    > E Silverlight 3D che ha lo stesso problema?
    >
    > Anzi sembra proprio che vengano fuori con questa
    > critica verso WebGL perché non ne vogliono la
    > diffusione...
    >
    > Un po' come quando sputano su Android, ma Win7
    > Mobile resta ad una percentuale bassissima di
    > diffusione.
    krane
    22544
  • Si però formalmente hanno ragione, e paradossalmente, come dicevi tu, si sono tirati la zappa sui piedi per silverlight.
    In ogni caso io sono contro lo streaming, o meglio, contro lo streaming su browser per vari motivi, primo fra tutti la necessità di tenere aperta la finestra del browser...
    non+autenticato
  • > Anzi sembra proprio che vengano fuori con questa
    > critica verso WebGL perché non ne vogliono la
    > diffusione...

    Andreotti diceva : "a pensar male qualche volta ci azzecchi".
    Penso sia uno di quei casi.
  • - Scritto da: iRoby
    > Miiiiii da che pulpito arrivano avvertimenti
    > sulla
    > sicurezza!!!
    >
    > E gli ActiveX che finora hanno permesso danni e
    > infezioni
    > pazzesche?
    >
    > E Silverlight 3D che ha lo stesso problema?
    >
    > Anzi sembra proprio che vengano fuori con questa
    > critica verso WebGL perché non ne vogliono la
    > diffusione...

    eh eh... è ovvio che è proprio così. In primo luogo, qualunque nuova tecnologia io vada a implementare in un browser lo espone a nuovi problemi di sicurezza. In secondo luogo, come giustamente hai detto tu stesso, sentir dire questa cosa da chi ha inventato ActiveX, che fa ancor peggio di quello per cui Microsoft sta accustando WebGL (e infatti negli anni ha mostrato varie vulnerabilità), fa veramente sorridere. Anzi fa piangere, perché si capisce immediatamente lo scopo e la disonestà nell'effettuare determinate affermazioni, cioè fermare uno standard per il 3D che è aperto e multipiattaforma.
    non+autenticato
  • da che pulpito OK però ultimamente pare stiano andando un pò meglio
    inoltre activeX l'hanno inventato all'epoca che di sicurezza online non si parlava
    e silverlight va tramite i driver directx, che sono più controllati di quelli opengl e inoltre diverse delle vulnerabilità delle webgl sono by design
    non+autenticato
  • Hanno sicuramente ragione, loro se ne intendono parecchio di vulnerabilità...A bocca aperta
    non+autenticato
  • - Scritto da: hermanhesse
    > Hanno sicuramente ragione, loro se ne intendono
    > parecchio di vulnerabilità...A bocca aperta

    Effettivamente è un problema reale e paradossalmente sono così informati perchè Silverlight XNA soffre dello stesso identico problema di principio, cioè l'esposizione al web degli shader programmabili. Che dire... tutto ciò che sarà fatto per blindare Silverlight XNA sarà applicabile anche a webGL.
    non+autenticato
  • la stessa cosa che ho pensato io

    sparlano di webgl ma non dicono nulla su silverlight 3d, eppure il problema è il medesimo

    a me questa sparata di ms sa tanto di FUD contro webgl ( come se non ne avessero fatto già abbastanza contro opengl )
    non+autenticato
  • > a me questa sparata di ms sa tanto di FUD contro
    > webgl ( come se non ne avessero fatto già
    > abbastanza contro opengl
    > )
    E' la prima cosa che ho pensato. E' ben noto che M$, dopo un periodo di quasi-ragionevolezza, ha iniziato ad ammazzare sistematicamente opengl in favore del "suo" directx ...
    non+autenticato
  • periodo di quasi ragionevolezza, ovvero il periodo che gli è servito per scopiazzare le specifiche di openglA bocca aperta
    non+autenticato
  • - Scritto da: collione
    >
    > periodo di quasi ragionevolezza, ovvero il
    > periodo che gli è servito per scopiazzare le
    > specifiche di opengl
    >A bocca aperta

    Infatti, M$ ha creato DirectX cambiando semplicemente i nomi delle funzioni OpenGL in modo da ottenere la solita libreria proprietaria con una interfaccia incompatibile con le stesse OpenGL.

    E' come se io prendessi pari pari il codice di una funzione int GLPutPixel(int x, int y, int color) e cambiassi solo il nome in int DirectXPutPixel(int x, int y, int color).
    non+autenticato
  • c'è una bella differenza di fondo ... la vm per js di microsoft, diciamolo, non è un granché ma l'ambiente del .net è decisamente più completo stabile e sicuro ... e quindi far girare webgl dentro la vm di microsoft è un suicidio ma esporre le funzioni di basso livello attraverso il .net/silverlight lo è molto meno visto che la macchina virtuale è più matura, è più stabile e soprattutto ha vari meccanismi per la gestione dei permessi

    ovviamente ... come bucheranno attraverso xna ... bucheranno anche attraverso webgl ... ma è inevitabile ^^
    non+autenticato