WebGL: 3D w przeglądarce kosztem bezpieczeństwa?

10-05-2011, 13:22

Technologia WebGL wprowadza do przeglądarek grafikę 3D, ale umożliwia atak na GPU i sterowniki graficzne - ostrzega firma Context. W przypadku internetu konflikt między bogactwem funkcji a bezpieczeństwem to nic nowego. Pytanie tylko, czy WebGL nie przekracza niebezpiecznej granicy.

O technologii WebGL wspominaliśmy na łamach DI nie raz. Pozwala ona na renderowanie grafiki 3D we współczesnych przeglądarkach internetowych wspierających HTML5. Za tworzeniem tego rozwiązania stoi konsorcjum Khronos Group, w którym działają się m.in. Mozilla, Apple, Microsoft, Google i Opera (producenci najważniejszych przeglądarek). Specyfikacja 1.0 WebGL została wydana w marcu.

WebGL jest już wspierana w Firefoksie 4 oraz Google Chrome. Nad jego implementacją pracują także twórcy przeglądarek Safari i Opera. Tymczasem specjaliści od bezpieczeństwa zaczynają mówić, że jest to niebezpieczne.

Artykuł dotyczący niebezpieczeństw związanych z WebGL opublikowała na swojej stronie firma Context, oferująca konsultacje w zakresie bezpieczeństwa. Tekst nosi tytuł WebGL - A New Dimension for Browser Exploitation, czyli "WebGL - nowy wymiar wykorzystywania przeglądarki". Artykuł dostrzegło wiele osób i niektórzy specjaliści pochwalili Context za próbę uświadomienia innym nowego problemu.

>>> Czytaj: Przeglądarki bliżej 3D - jest specyfikacja WebGL 1.0

Mówiąc najkrócej, James Forshaw z firmy Context twierdzi, że WebGL otworzy drogę do cyberataków nowego rodzaju. Atakujący będzie mógł (poprzez przeglądarkę) uzyskać dostęp do procesora graficznego oraz sterowników. Taki atak może uczynić maszynę użytkownika bezużyteczną, a dalszą tego konsekwencją mogą być ataki wystawiające na ryzyko prywatność i dane użytkownika. 

Forshaw zauważa, że generalnie problem stanowią te technologie, które umożliwiają stronom trzecim rozszerzanie funkcjonalności przeglądarki. Wystawiają one na atak więcej kodu, którego część jest z pewnością napisana źle. Dostawca przeglądarki nie może tego wszystkiego kontrolować, więc ma większe problemy z zabezpieczeniem platformy.

Przedstawiciel firmy Context uważa, że WebGL nie jest naprawdę gotowy na masowe użycie. Rekomenduje on wyłączenie go w przeglądarce.

Powodem takiej oceny jest m.in. sposób obsługiwania grafiki 3D w komputerach. Tego procesu nie opracowywano z uwzględnieniem problemów bezpieczeństwa internetowego. Może się okazać, że odpowiedzialność za dostarczanie zabezpieczeń spocznie na producentach sprzętu i nie jest to sytuacja najbardziej komfortowa.

Forshaw pisze też, że problem jest generalnie związany ze specyfikacją WebGL i potrzebne są bardzo poważne zmiany w całej architekturze, aby uczynić to rozwiązanie bezpiecznym.

Więcej w tekście pt. WebGL - A New Dimension for Browser Exploitation. Ciekawe, jaka będzie reakcja producentów przeglądarek na ten artykuł.

>>> Czytaj: IE9 nie jest nowoczesny - twierdzi przedstawiciel Mozilli


Następny artykuł » zamknij

Hyperion wchodzi w e-handel

Źródło: Context
Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy