Microsoft advarer mot WebGL

Mindre sannsynlig enn noen gang at selskapet vil støtte den åpne webstandarden.

Microsoft har aldri vært særlig ivrige i å uttrykke støtte for WebGL, en åpen webstandard for presentasjon av 3D-grafikk på websider. Standarden er basert på en delsett av OpenGL, en annen, åpen standard som er en direkte konkurrent til Microsofts egen Direct3D-teknologi. Dette forholdet har blitt ansett som hovedårsaken til selskapets motvilje mot å love støtte for standarden. Men nå har selskapet funnet fram til noen nye argumenter.

Nylig ble det klart at WebGL-standarden, som i likhet med OpenGL administreres av Khronos Group, har noen sikkerhetsrelaterte svakheter som kan utnyttes av ondsinnede til å få brukerens pc til å gå i stå, eller til å få tilgang pikseldata på tvers av domener.

Khonos Group kom da raskt på banen og fortalte at det finnes løsninger for begge disse problemene. Det kreves bare at leverandører av nettlesere og skjermkortdrivere tar dem i bruk.

Både Google og Mozilla har gitt beskjed om at pikseldataproblemet er løst i de neste utgavene av henholdsvis Chrome og Firefox, enten ved å sperre helt for opplasting av tekturer, eller ved å implementere den kommende W3C-standarden Cross-Origin Resource Sharing (CORS). Begge deler er inkludert i et nytt utkast til WebGL-spesifikasjonen.

Men i går kom Contex Information Security, som også meldte om de andre sikkerhetsproblemene i WebGL, med en ny rapport. Det er først og fremst en oppfølger til de foregående rapportene, men inkluderer grundigere tester. Det poengteres også at verken Firefox 4 eller Chrome 12 har full støtte for alle deler av WebGL, inkludert deler som er sikkerhetsrelaterte.

Denne nye rapporten har fått Microsoft til å komme på banen og erklære at selskapet anser WebGL som skadelig.

Microsoft Security Respons Center (MSRC) Engineering har analysert WebGL og konkludert med at Microsoft-produkter som støtter WebGL vil ha vanskeligheter med å oppfylle kravene til Microsoft’s Security Development Lifecycle.

I blogginnlegget nevner MSRC Engineering flere faktorer ved WebGL som det anser som problematiske, men først og fremst at nettleserstøtte for WebGL gir weben tilgang til maskinvarefunksjonalitet på en måte som avdelingen anser som altfor ettergivende.

MSRC Engineering mener også at altfor mye av sikkerheten overlates til tredjeparter, som leverandørene av skjermkortdriverne.

– Uten en effektiv modell for sikkerhetsvedlikehold av skjermkortdrivere, slik som Windows Update, kan brukerne enten velge å overstyre beskyttelsen for å bruke WebGL på sin maskinvare, eller å forbli usikre usikre dersom en sårbar konfigurasjon ikke er skikkelig deaktivert, heter det i blogginnlegget.

MSRC Engineering konkluderer med at WebGL sannsynligvis vil bli en løpende kilde til sårbarheter som vil være vanskelige å fikse, og at WebGL i dagens utgave ikke er en teknologi som selskapet kan bifalle fra et sikkerhetsmessig ståsted.

Talsmann for Khronos Group, Jonathan Hirshon, har sendt følgende kommentar til en rekke engelskspråklige medier.

  1. All browser vendors are still working toward passing the WebGL conformance suite. Only once they have successfully done so can they claim support of Canvas.getContext("webgl") instead of Canvas.getContext("experimental-webgl").
  2. The issue of theft of arbitrary windows on the desktop is due to a bug in Firefox's WebGL implementation, and cannot be generalized across other browsers' WebGL implementations. Moreover, that bug was addressed May 26 and is resolved in Firefox 5, slated for release June 21.
  3. Browser vendors are still in the process of supporting the GL_ARB_robustness extension, so it is expected that the previously reported denial-of-service issues are still present. It is expected that the reported denial-of-service issues will be solved with the integration of this extension.

Til The Register sier en representant for Context at Microsoft ikke har bestilt Context-rapporten, mens en talskvinne for Microsoft skal ha nektet å kommentere dette.

WebGL 1.0-spesikasjonen ble ferdig tidligere i år. Spesifikasjonen er laget med støtte fra alle de store nettleserleverandørene, bortsett fra Microsoft. Så langt er det bare Firefox og Chrome som har en viss støtte for spesifikasjonen. Apples Safari er basert på WebKit, den samme presentasjonsmotoren som Chrome bruker. Det er derfor en viss sannsynlighet for at Safari 6, som kan ventes i juli for Mac og Windows, også har vil leveres med støtte for WebGL.

I iOS derimot, er saken derimot en annen. I en e-postliste skriver Apples Chris Marrin at WebGL-støtten ikke vil være offentlig tilgjengelig i iOS 5. Støtten vil likevel være tilgjengelig for utviklere som benytter iAd, Apples plattform for mobilannonsering.

Foreløpig er det svært begrenset hvor mye WebGL har blitt tatt i bruk av webapplikasjoner. Det mest kjente eksempelet er HTML5-utgaven av spillet Angry Birds.

    Les også:

Til toppen