Google и Mozilla закрыли уязвимости, касающиеся WebGL

    Как уже известно, некоторое время назад компания Microsoft назвала технологию WebGL небезопасной, поэтому корпорация отказалась работать в направлении внедрения технологии в свои продукты. Google и Mozilla, основные разработчики из консорциума Khronos, для успокоения разработчиков заявили, что не так страшен чёрт, как его малюют, и вообще, если и есть проблемы, то их быстро пофиксят. Ребята из Mozilla вообще сделали ход конём, ударив по Silverlight, обнаружив там схожую уязвимость. Microsoft признала баг, позволяющий вызвать отказ в обслуживании, и начала работу по ликвидации дырки.

    Тем временем, Google и Mozilla плотно работали над решением проблем WebGL. Полностью ликвидировать уязвимость инженеры компаний не смогли, сохранив функциональность, поэтому исправления и ограничения, исправляющие уязвимость с загрузкой междоменного содержимого, могут плохо сказаться на приложениях, которые использовали эту технологию. В качестве решения проблемы Khronos предложила использовать черновую спецификацию консорциума Всемирной Паутины CORS, которая позволяет использовать API, работающий с содержимым из разных источников для применения его в загрузке текстур.

    Таким образом, Mozilla первой закрыла уязвимость в Firefox 5 (Mozilla решила эту проблему ещё до сообщения Microsoft банальным отключением функционала), Google внедрила исправление в Chromium 13 уже с функциональным решением, а вся рабочая группа исправила спецификацию согласно политикам безопасности и предложением разработчикам использовать CORS.

    По материалам Chromium Blog, H-Open, ConceivablyTech.

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 33

      +17
      Microsoft судорожно ищет новые баги
        +4
        В данном случае это даже не баг, а фича. Причем эта фича в IE не реализована, и реализовать ее раньше Google и Mozilla они либо не успевают, либо не желают (готовясь выдвинуть какую-нибудь свою, несовместимую ни с одной из имеющихся технологию).
          0
          согласен, но вообще конечно часто какая-то могущественная фича несет за собой много зловредных возможностей, и приходится ее урезать) тогда ищут фичу, чтобы назвать ее багом и мотировать свой отказ от WebGL)
            +1
            Мы вообще живем в опасном мире! Это как — «Феррари потенциально опасен — столкновение с ним пешехода, гораздо более травмоопасно, чем с велосипедом!» И так же как и здесь решается внешними правилами дорожного движения, то и там должно быть решено общей политикой безопасности, а не урезанием функционала и пр. костылями.
          • UFO just landed and posted this here
            +2
            Что их искать — открыл исходники ИЕ и вот они, по углам разбегаются…
              +2
              А они их не только ищут, но и активно внедряют ;)
                0
                Это у программистов глаза разбегаются от индусского кода
              –5
              Извините, но вы либо совсем не разобрались в сути вопроса, либо тупо перепостили «по материалам». На сегодня пофиксили только самую очевидную в решении проблему c кроссдоменныvb текстурами. Так что да — WebGL стал немного безопаснее, по остальным вопросам ждем-с.
                +1
                Немного вы как высчитали? Context представил две уязвимости — одна из которых закрыта, а другая решается чёрными и белыми списками до того, как производители драйверов не начнут уделять внимание безопасности. А пока вендорам пофиг, то уязвимы все — и Flash, и Silverlight, и WebGL.
                  –3
                  Немного — это оценочное суждение, означающее, что Chrome и Firefox стали ближе к безопасному WebGL, но не то, чтобы даже не полпути к окончательному решению проблемы, т.к. это лишь одна из проблем. А точному измерению данный показатель не поддается в силу своей природны.

                  Перекладывать ответственность на производителей драйверов и черно-белые списки — это лишь недомера, очевидно, мешающая повсеместному использованию WebGL.
                    –1
                    Абсолютно безопасного софта, мы вообще никогда не дождемся, если что.
                      0
                      видимо, кто то думает, что дождется
                    +3
                    Насколько я понимаю, уязвимость в большей мере заключается в том, что WebGL дает страницам доступ к такому низкому уровню взаимодействия с аппаратной платформой, что у операционной системы остается слишком мало механизмов управления вычислительной нагрузкой.

                    Проще говоря, если тормозит флэш, то ОС может это отдетектить и предложить пользователю завершить процесс плагина, а вот с WebGL это становится проблемотичным. Т.е. некий злодей-флэшер может просто заставить повисеть или уронит браузер, а злодей-WebGL'ист — всю систему. Вот по этому поводу и разошлась дискуссия.
                    • UFO just landed and posted this here
                      • UFO just landed and posted this here
                      +10
                      Молодцы, че. Двух зайцев убили — и свой баг пофиксили, и Майкрософту язык показали :)
                      • UFO just landed and posted this here
                          +4
                          а кто-нибудь вообще верит, что причина отсутствие поддержки WebGL со стороны Microsoft — это реально забота о безопасности пользователей, а не неудачные попытки нормальной её реализации в IE?
                            0
                            Думаете в МС работает какие другие люди нежели в прочих компаниях?
                            Наверное тысячи индусов быдлокодеров — куда им реализовать такую гениальную технологию. Это ж вам не ДиректХ какой нибудь
                              0
                              думаю, что IE у них как-то не очень хорошо получается.
                                0
                                Проблема не в том что руки кривые у разрабов, а в том что 5 лет они и не занимались. А потом ещё 2 года не придавали значения.

                                Просто сравните разницу между 8 и 9. за 2 года сделано почти все то что другие делали 4 — 5 лет. И сейчас это продолжается.
                                  –3
                                  Просто сравните разницу между 8 и 9. за 2 года сделано почти все то что другие делали 4 — 5 лет. И сейчас это продолжается.

                                  Копипастить фичи из других продуктов в свой гораздо быстрее, чем их придумывать.
                                    +2
                                    Ну давайте не будем делать вид, что все белые и пушистые.
                                    Разделение вкладок на процессы, использование DEP/NX, появление приватного/инкогнито режима — все это появилось в IE8 Beta и только после этого во всех остальных браузерах.
                                      0
                                      Вот не надо про разделение вкладок. В ИЕ8 это было настолько убого, что малейший глюк сайта клал не то что вкладку, и даже не то что браузер (ну это само собой), но и подвешивало систему на «пока не додумает». Так что в полевых условиях от этого разделения процессов и защищённого режима было толку не больше, чем от козла молока. Притом ладно бы я бы обвешал браузер ускорителями, тулбарами и прочими веб-фрагментами, так нет, я даже дефолтные вырубил. Слава Богу, что в 9 это исправили, а то больше 2-3 вкладками тяжёлыми пользоваться было невозможно.
                              0
                              >>нормальной её реализации в IE?
                              Надеюсь это шутка. Когда в IE что то последний раз было нормально?
                                +2
                                Я больше чем уверен, что дело тут не в «неудачных попытках», а в отсутствии всяких попыток исходя из маркетинговых соображений.
                                  +1
                                  по-моему, как раз наличие всяких плюшек и функций, даже если они потребителю не нужны, лучше привлекает его внимание. Мне кажется, как раз таки стоило бы сделать поддержку WebGL именно из маркетинговых соображений. Все равно оно пока что почти нигде не используется.
                                    +1
                                    Сами по себе фишки пользователю неинтересны.

                                    МС пытается задушить WebGL в зародыше, отвернув от него в первую очередь разработчиков (в пользу сильверлайта, я так понимаю), а если не будет разработчиков — не будет приложений — не будет и пользователей.
                                    • UFO just landed and posted this here
                                        0
                                        Не обязательно.

                                        Спрос вполне могут по-прежнему рождать сами пользователи, а разработчики всего лишь удовлетворять его, но вот выбор инструмента остаётся за разработчиком (потому что пользователя не интересует, что там «под капотом»).
                                        А если разрабочик к этому моменту будет промотивирован «WebGL — бяка, Silverlight — конфетка», то результат не заставит себя долго ждать.
                                +1
                                а в результате мс скажет: мы же говорили, что нефиг внедрять необкатанные технологии, юзайте ие8!
                                  0
                                  Молодцы Firefox и Google! Так держать!

                                  Only users with full accounts can post comments. Log in, please.