WebGL è insicura, Microsoft non la supporterà

di Manolo De Agostini, 17 giugno, 2011 13:36

Microsoft ha dichiarato, circostanziando le proprie opinioni, che la tecnologia WebGL è insicura e ha deciso per questo motivo di non adottarla. Sono tre i temi fondamentali su cui la casa di Redmond vorrebbe grande attenzione.

WebGL è una tecnologia insicura e Microsoft, per il momento, ha deciso di non adottarla. La tecnologia WebGL (Web-based Graphics Library) è una libreria software, sviluppata dal Khronos Group, che permette di riprodurre grafica interattiva 3D all'interno di qualsiasi browser compatibile. Firefox, Chrome supportano WeGL, e così faranno anche le future versioni di Safari e Opera.

L'insicurezza di WebGL era balzata all'onore della cronaca a maggio, ma ora Microsoft prende una posizione netta. "Le nostre analisi ci hanno portato recentemente a dare uno sguardo a WebGL. Abbiamo concluso che i prodotti Microsoft con supporto WebGL avrebbero difficoltà a passare i requisiti del nostro Security Development Lifecycle".

Le preoccupazioni di Microsoft sono molteplici. Il supporto dei browser a WebGL espone direttamente le funzioni dell'hardware sul Web, "in un modo che consideriamo eccessivamente permissivo". In pratica attacchi che in precedenza potevano essere realizzati solamente elevando i privilegi locali, potrebbero invece essere eseguiti da remoto. "Sarebbe possibile limitare questi rischi, ma l'ampia superficie di attacco esposta da WebGL rimane una preoccupazione. Ci aspettiamo di vedere bug presenti solo su alcune piattaforme o con determinate schede video, il che potenzialmente facilita attacchi mirati".

L'altro tema riguarda la sicurezza, che a dire di Microsoft dipende troppo dalle terze parti. "Quando viene rintracciata una vulnerabilità WebGL, non sempre si manifesteranno nella API WebGL stessa. I problemi potrebbero esistere in diversi componenti OEM od offerti dall'IHV (Independent Hardware Vendor, chi realizza una scheda video, NdR)".

Microsoft afferma che senza un modello di sicurezza efficiente per i driver della scheda video (ad esempio la distribuzione Windows Update), gli utenti potrebbero non aggiornare i loro sistemi, lasciandoli esposti a vulnerabilità. Spesso nei PC OEM non possono essere aggiornati i driver grafici, che il produttore del computer rinnova solo una volta l'anno. Insomma, anche la distribuzione di eventuali patch di sicurezza è un problema.

Il terzo e ultimo aspetto riguarda i possibili attacchi DoS (Denial of service). "I sistemi operativi moderni e le infrastrutture grafiche non sono mai stati progettati contro attacchi tramite shader e geometria. […] Tradizionalmente un attacco DoS dal lato client non è un pericolo molto elevato, ma se questo problema non è risolto potrebbe consentire a ogni sito web di bloccare o riavviare sistemi". Insomma, di problematiche sul tavolo del Khronos Group ce ne sono molte, e anche di grande valore. Attendiamo la risposta del consorzio o dei primi sostenitori del formato WebGL, Mozilla e Google fra tutti.

Argomenti interessanti

 
 

Commenti dei lettori (35)

1/4 avanti   
Androidiano 17/06/2011 13:49
+3
"...avrebbero difficoltà a passare i requisiti del nostro Security Development Lifecycle..."

LOL
SkinNner 17/06/2011 13:52
0
bravo manolo fine ot, cmq pensa se adesso ci sono tutti gli attacchi ddos da parte degli hacker, con questa ancora piu vulnerabile cosa succederebbe?
KiTo 17/06/2011 13:54
+5
dai che così almeno possiamo sovraccaricare di lavoro le schede video in remoto e le bruciamo tutte.

(e nel mentre i programmatori delle DirectX ricevono le frustate per tirare presto una soluzione proprietaria)
titius74 17/06/2011 13:58
+17
Parlano loro che hanno fatto ActiveX?!
Licantrop0 17/06/2011 14:02
+7
Questo è un segno evidente di come Microsoft sia cambiata.
Lollate pure sulla security di Microsoft, ma IE9 è la prova evidente di come siano riusciti a produrre il browser più sicuro sia in termini di criticità e numerosità di bug, che di malware detection.
mIRChele 17/06/2011 14:10
+1
quando hanno fatto ie4 però non mi sembravano così pignoli...
makrov 17/06/2011 14:14
-4
ma è normale che M$ nn possa supportare una libreria basata su OpenGL!
tempo qualche mese e presenteranno ie10 con ActiveX3D o qualche schifezza del genere integrata in Xlna visualstudio e M$office per combattere webGL
xke su linux se crasha il browser nn si tira giu tutta l'interfaccia grafica come su win! queste scuse sono ridicole! puo anche essere veritiero per i driver proprietari ma per fortuna linux è decenni avanti (avranno prestazioni inferiori ma per quanto riguarda l'innovazione sono sempre al top!)
deepdark 17/06/2011 14:25
+6

 Originariamente inviata da titius74

Parlano loro che hanno fatto ActiveX?!



Visto che hanno fatto activex, lasciamo che prenda piede una tecnologia molto insicura (sempre che sia vero)? Boh...chi vi capisce è bravo...
CaoS-Stardust 17/06/2011 14:31
-2
alla microsoft non hanno ancora capito che loro non impongono sempre gli standard......
Human_Sorrow 17/06/2011 14:32
-4
Hanno argomentato bene.


 Originariamente inviata da CaoS-Stardust

alla microsoft non hanno ancora capito che loro non impongono sempre gli standard......



Si ma se non lo adotta MS (windows e ie) rimangono standard sconosciuti
1/4 avanti   
Devi essere collegato scrivere un commento!

Accesso utenti

Nome utente:
Password:
 
Continua a seguirci!
TechMedia Network | Experts
Copyright © 2014 Bestofmedia Group. Tutti i diritti riservati
P.Iva 04146420965
Testata registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013
Clicca per i dettagli