Исследователям не потребовалось много времени, чтобы "разгромить" выпущенный
недавно информационный бюллетень, утверждающий, что
трудно устранимые ошибки в
проектировании нового стандарта стандарта WebGL ставят под
серьезную угрозу конечных пользователей, которые на него полагаются.
Удивительно, но самым ярым критиком результатов исследования, опубликованного
в четверг британской компанией Context Information Security и Microsoft Security
Research Center, был Ави Бар-Зеев, сотрудник компании Microsoft. В сообщении под
названием "Почему Microsoft и Internet Explorer необходим WebGL (и наоборот)",
он заявил, что доклад MSRC "пародирует пугающее сообщение,
опубликованное
несколько недель назад", и задался вопросом о взаимосвязи этого факта с
официальной политикой Microsoft.
"Действительно ли WebGL каким-либо образом вредит твоему компьютеру?", - написал Бар-Зеев в сообщении, которое он опубликовал в пятницу в своем личном блоге. "Я
сомневаюсь, что это серьезное или заслуживающее доверия утверждение. И честно
говоря, если Microsoft заняла формальную позицию против WebGL, никто из тех,
кого я знаю, не поддержал ее".
Он согласился, что WebGL "явно нуждается в большей работе по
обеспечению безопасности", но отметил, что имеющие риски не превышают те,
которые исходят от любых других новых технологий, добавляемых в браузер, таких как,
например, элементы ActiveX, которые на протяжении нескольких лет находились среди
наиболее эксплуатируемых компонентов браузера Internet Explorer - до тех пор, пока Microsoft не нашла способ устранения проблемы.
"Возможный вариант действий – встречаться с проблемами безопасности лицом к лицу
и устранять их, а также обеспечить самое безопасное применение WebGL браузером
IE на рынке и совместно поднять индустрию на новый уровень взаимодействия с
пользователем, включая NUI и богатую 3D графику", - добавил он.
Среди способов усиления защиты технологии для ускорения 3D графики на веб-страницах
может быть применение анализа кода, совместная работа фильтров и защитных, на
уровне ОС или железа, механизмов, которые будут закрывать вредоносные или дефектные
изображения прежде чем они смогут нанести вред компьютеру.
Днем позже технический директор Mozilla Майк Шейвер выпустил свое собственное
опровержение в котором согласился, что риски, связанные с WebGL, не отличаются
от тех, которые представляет собой любая новая технология.
"Добавление новых возможностей может подвергнуть часть приложений
воздействию потенциально вредоносного контента", - написал он. "Графические
драйверы представляют собой такой пример, как и механизмы отображения шрифтов,
видео-кодеки, библиотеки отображения изображения и т.п.".
Firefox имеет разнообразные встроенные контрмеры, разработанные для снижения
воздействия эксплотов, нацеленных на WebGL, отметил Шейвер. Они включают "белый
список" одобренных графических драйверов, который ежедневно обновляется, и
расширение, снижающее риск того, что вредоносные сайты вызовут сбой
компьютеров конечных пользователей.
Шейвер также сказал, что WebGL может воспользоваться преимуществами многих мер
безопасности, добавленных в 3D технологию Microsoft Silverlight.
