WebGL è una tecnologia insicura e Microsoft, per il momento, ha deciso di non adottarla. La tecnologia WebGL (Web-based Graphics Library) è una libreria software, sviluppata dal Khronos Group, che permette di riprodurre grafica interattiva 3D all'interno di qualsiasi browser compatibile. Firefox, Chrome supportano WeGL, e così faranno anche le future versioni di Safari e Opera.
L'insicurezza di WebGL era balzata all'onore della cronaca a maggio, ma ora Microsoft prende una posizione netta. "Le nostre analisi ci hanno portato recentemente a dare uno sguardo a WebGL. Abbiamo concluso che i prodotti Microsoft con supporto WebGL avrebbero difficoltà a passare i requisiti del nostro Security Development Lifecycle".
Le preoccupazioni di Microsoft sono molteplici. Il supporto dei browser a WebGL espone direttamente le funzioni dell'hardware sul Web, "in un modo che consideriamo eccessivamente permissivo". In pratica attacchi che in precedenza potevano essere realizzati solamente elevando i privilegi locali, potrebbero invece essere eseguiti da remoto. "Sarebbe possibile limitare questi rischi, ma l'ampia superficie di attacco esposta da WebGL rimane una preoccupazione. Ci aspettiamo di vedere bug presenti solo su alcune piattaforme o con determinate schede video, il che potenzialmente facilita attacchi mirati".
L'altro tema riguarda la sicurezza, che a dire di Microsoft dipende troppo dalle terze parti. "Quando viene rintracciata una vulnerabilità WebGL, non sempre si manifesteranno nella API WebGL stessa. I problemi potrebbero esistere in diversi componenti OEM od offerti dall'IHV (Independent Hardware Vendor, chi realizza una scheda video, NdR)".
Microsoft afferma che senza un modello di sicurezza efficiente per i driver della scheda video (ad esempio la distribuzione Windows Update), gli utenti potrebbero non aggiornare i loro sistemi, lasciandoli esposti a vulnerabilità . Spesso nei PC OEM non possono essere aggiornati i driver grafici, che il produttore del computer rinnova solo una volta l'anno. Insomma, anche la distribuzione di eventuali patch di sicurezza è un problema.
Il terzo e ultimo aspetto riguarda i possibili attacchi DoS (Denial of service). "I sistemi operativi moderni e le infrastrutture grafiche non sono mai stati progettati contro attacchi tramite shader e geometria. […] Tradizionalmente un attacco DoS dal lato client non è un pericolo molto elevato, ma se questo problema non è risolto potrebbe consentire a ogni sito web di bloccare o riavviare sistemi". Insomma, di problematiche sul tavolo del Khronos Group ce ne sono molte, e anche di grande valore. Attendiamo la risposta del consorzio o dei primi sostenitori del formato WebGL, Mozilla e Google fra tutti.