Исследователям не потребовалось много времени, чтобы "разгромить" выпущенный
недавно информационный бюллетень, утверждающий, что
трудно устранимые ошибки в
проектировании нового стандарта стандарта WebGL
ставят под
серьезную угрозу конечных пользователей, которые на него полагаются.

Удивительно, но самым ярым критиком результатов исследования, опубликованного
в четверг британской компанией Context Information Security и Microsoft Security
Research Center, был Ави Бар-Зеев, сотрудник компании Microsoft. В сообщении под
названием "Почему Microsoft и Internet Explorer необходим WebGL (и наоборот)",
он заявил, что доклад MSRC "пародирует пугающее сообщение,
опубликованное
несколько недель назад
", и задался вопросом о взаимосвязи этого факта с
официальной политикой Microsoft.

"Действительно ли WebGL каким-либо образом вредит твоему компьютеру?", - написал Бар-Зеев в сообщении, которое он опубликовал в пятницу в своем личном блоге. "Я
сомневаюсь, что это серьезное или заслуживающее доверия утверждение. И честно
говоря, если Microsoft заняла формальную позицию против WebGL, никто из тех,
кого я знаю, не поддержал ее".

Он согласился, что WebGL "явно нуждается в большей работе по
обеспечению безопасности", но отметил, что имеющие риски не превышают те,
которые исходят от любых других новых технологий, добавляемых в браузер, таких как,
например, элементы ActiveX, которые на протяжении нескольких лет находились среди
наиболее эксплуатируемых компонентов браузера Internet Explorer - до тех пор, пока Microsoft не нашла способ устранения проблемы.

"Возможный вариант действий – встречаться с проблемами безопасности лицом к лицу
и устранять их, а также обеспечить самое безопасное применение WebGL браузером
IE на рынке и совместно поднять индустрию на новый уровень взаимодействия с
пользователем, включая NUI и богатую 3D графику", - добавил он.

Среди способов усиления защиты технологии для ускорения 3D графики на веб-страницах
может быть применение анализа кода, совместная работа фильтров и защитных, на
уровне ОС или железа, механизмов, которые будут закрывать вредоносные или дефектные
изображения прежде чем они смогут нанести вред компьютеру.

Днем позже технический директор Mozilla Майк Шейвер выпустил свое собственное
опровержение в котором согласился, что риски, связанные с WebGL, не отличаются
от тех, которые представляет собой любая новая технология.

"Добавление новых возможностей может подвергнуть часть приложений
воздействию потенциально вредоносного контента", - написал он. "Графические
драйверы представляют собой такой пример, как и механизмы отображения шрифтов,
видео-кодеки, библиотеки отображения изображения и т.п.".

Firefox имеет разнообразные встроенные контрмеры, разработанные для снижения
воздействия эксплотов, нацеленных на WebGL, отметил Шейвер. Они включают "белый
список" одобренных графических драйверов, который ежедневно обновляется, и
расширение, снижающее риск того, что вредоносные сайты вызовут сбой
компьютеров конечных пользователей.

Шейвер также сказал, что WebGL может воспользоваться преимуществами многих мер
безопасности, добавленных в 3D технологию Microsoft Silverlight.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии