Microsoft считает опасной технологию, используемую в Firefox и Chrome

image

Теги: Microsoft, Internet Explorer, Firefox, Chrome, WebGL, Simple, новость

Представители корпорации Microsoft заявили, что графическая технология WebGL, продвигаемая Khronos Group, слишком опасна, для того, что бы иметь поддержку в Windows.

Представители корпорации Microsoft заявили, что графическая технология WebGL, продвигаемая Khronos Group, слишком опасна, для того, что бы иметь поддержку в Windows.

В настоящее время оба браузера Google Chrome и Mozilla Firefox поставляются с поддержкой WebGL. Google называет это "наиболее мощным способом добавления 3D графики на веб страницы" и призывает разработчиков "экспериментировать в области графических разработок". Mozilla позиционирует WebGL как идеальную технологию для "интерактивных 3D игр, приложений с насыщенной графикой и реализации нового подхода в визуальном проектировании без использования сторонних плагинов".

В свою очередь, корпорация Microsoft опубликовала заявление, озаглавленное как "WebGL считаем вредным", в официальном блоге Центра Безопастности Microsoft. Оно было опубликовано группой, которая ответственна за архитектуру безопасности Windows и других продуктов Microsoft.

Заявление прозвучало вслед за парой докладов, которые описывают "серьёзные недостатки дизайна" и "проблемы безопасности" в WebGL. Последнее сообщение включает демонстрацию того, как пользовательские данные могут быть похищены через браузер.

Microsoft мгновенно отреагировала очень жёстким заявлением:

Одна из функций Центра Безопастности Microsoft заключается в анализе различных технологий, который позволяет понять на сколько та или иная технология может затронуть непосредственно Microsoft или его клиентов. Как элемент этой стратегии, мы недавно взглянули на WebGL. Анализ позволил сделать вывод, что продукты Microsoft, поддерживающие WebGL, врядли смогут соответствовать требованиям процесса безопасной разработки ПО.

[…]

Мы считаем, что WebGL станет источником уязвимостей, которые будет трудно исправить. В текущем состоянии WebGL не та технология, которую Microsoft может поддержать с точки зрения безопасности.

В докладе утверждается, что поддержка WebGL в браузере является "прямым способом раскрытия аппаратной функциональности в веб, который является чрезмерно разрешительным". Графические драйвера не могут быть зависимыми от соблюдения правил безопасности и не существует рабочей модели по обеспечению безопасности драйверов видео карт. Учитывая распрстранённость аттак с использованием уязвимостей в сторонних продуктах (на пример, Adobe Flash и Java-приложения), это вызывает законную обеспокоенность со стороны Microsoft.

Microsoft также утверждает, что использование WebGL позволяет реализовать сценарий DoS атаки, который даст "возможность любому веб сайту подвесить систему или даже перегрузить её по своему желанию".

В своём сообщении, Ari Bixhorn из команды Internet Explorer, делает прямой выпад против конкурентов:

Пользователям следует понимать, что безопасность их компьютеров находится под вопросом, когда они выходят в Интернет используя Google Chrome и Firefox. Из-за поддержки этими браузерами технологии WebGL, сайты, которые распространяют вредоносные программы, получают доступ к самым защищённым частям компьютера. С дырами в безопасности как эта, становится понятным, что WebGL не готова к тому, что бы стать стандартом, и поэтому пользователи не должны использовать такие браузеры. Поэтому Центр Безопастности Microsoft рекомендовал воздержаться от использования WebGL в продуктах Microsoft, например Internet Explorer.

В ответ на такие выпады, Khronos Group пытается сгладить ситуацию относительно вопросов безопасности, утверждая, что разработчики браузеров работают над соответствием WebGL требованиям безопасности и продемонстрированные дыры «являются результатом наличия ошибки в реализации WebGL в Firefox». Как сообщается, этот баг исправлен в Firefox 5, финальная версия которого будет представлена до конца месяца.

Представитель Khronos Group отказался отреагировать на отчёт Microsoft, но заметил, что Mozilla, Firefox, и Opera полностью поддерживают WebGL, а Apple анонсировала ограниченную поддержку WebGL в iOS 5.

Представитель Google сказал, что компания не считает WebGL значительной угрозой своим пользователям. Большая часть стэка WebGL, включая GPU процессоры, "запускается в отдельном процессе и изолируется в Chrome для предотвращения различных типов аттак", заметил представитель. Google утверждает, что он сможет противостоять атакам на более низком уровне, работая с поставщиками аппаратного обеспечения, ОС и драйверов, отключая WebGL на тех конфигурациях, которые будут считаться небезопасными.


или введите имя

CAPTCHA
Страницы: 1  2  3  
др-др
21-06-2011 11:30:39
Эх,эх,эх.... В IE 9 этого не сделали, теперь дрыгаются из-за того что другие браузеры настолько его обскакали. Все это слова, пиар "безопасного" IE 9
0 |
rere
21-06-2011 12:16:14
Отличная новость! Теперь побольше толковых сайтов с вэбгл и эксплорер сдохнет полностью. Причем достаточно одного сайта, но реально полезного, популярного и хорошо сделанного.
0 |
FreeNice
21-06-2011 12:21:48
Когда реализуют скажут, что их версия самая безопасная )
0 |
а вот вам
21-06-2011 12:47:16
В своём сообщении, Ari Bixhorn из команды Internet Explorer, делает прямой выпад против конкурентов: Пользователям следует понимать, что безопасность их компьютеров находится под вопросом, когда они выходят в Интернет используя Google Chrome и Firefox. Из-за поддержки этими браузерами технологии WebGL, сайты, которые распространяют вредоносные программы, получают доступ к самым защищённым частям компьютера. С дырами в безопасности как эта, становится понятным, что WebGL не готова к тому, что бы стать стандартом, и поэтому пользователи не должны использовать такие браузеры. Поэтому Центр Безопастности Microsoft рекомендовал воздержаться от использования WebGL в продуктах Microsoft, например Internet Explorer. покажите пожалуйста этому блаженному обновления безопасности этого самого майкрософта. может он прозреет, что отсутствие поддержки webGL в его решете не особо то повлияет на "защищенность" пользователя эксплорера. Про список незакрытых и эксплуатируемых уязвимостей только ему не говорите. А то мало ли...
0 |
Прохожий
21-06-2011 13:47:32
А речь шла не об этом, а о том что поддержка webGL этот список скорее всего расширит. Кстати, в прошлой новости на секлабе(на днях проскакивала) на эту тему была ссылка на уязвимость webGL в FF, обещали сегодня закрыть - посмотрим
0 |
а вот вам
21-06-2011 16:53:59
о том что поддержка webGL этот список скорее всего расширит если замечания майкрософта рассматривать в отношении ИЕ - то в общем то одной дыркой в друшлаке больше одной меньше - особой разницы нет. Вот если бы из-за данной технологии может появиться уязвимость - то тогда да. но отказ от новых технологий - это не есть в принципе правильный подход к безопасности продуктов. Давайте вообще ничего нового не придумывать, так как все новое - потенциальная опасность. Всем срочно на Win 3.11, там меньше новых технологий и безопаснее всего
0 |
Vadimius
21-06-2011 13:37:49
. Анализ позволил сделать вывод, что продукты Microsoft, поддерживающие WebGL, врядли смогут соответствовать требованиям процесса безопасной разработки ПО. По-моему, если выбросить из цитаты выделенное, она уж точно на 100% будет соответствовать истине. Вот что интересно, совместимость с коллекционным собранием уязвимостей и дырок от компании Adobe под названием Adobe Flash player и Adobe Reader Майкрософт поддердживает и считает это нормальным. Поддержку HTML5 и использование апаратного ускорения за счет ресурсов видеокарты в своем новом браузере внедрила - и это инновационный прорыв и забота о пользователе, а ни фига не угроза безопасности. В общем очередная реклама IE9 - наш браузер самый лучший надежный и безопасный (потому что не использует то что мы реализовать не можем или не хотим), потому срочно покупайте нашу операционку чтобы его бесплатно установить
0 |
Страницы: 1  2  3