Как уже известно, некоторое время назад компания Microsoft назвала технологию WebGL небезопасной, поэтому корпорация отказалась работать в направлении внедрения технологии в свои продукты. Google и Mozilla, основные разработчики из консорциума Khronos, для успокоения разработчиков заявили, что не так страшен чёрт, как его малюют, и вообще, если и есть проблемы, то их быстро пофиксят. Ребята из Mozilla вообще сделали ход конём, ударив по Silverlight, обнаружив там схожую уязвимость. Microsoft признала баг, позволяющий вызвать отказ в обслуживании, и начала работу по ликвидации дырки.
Тем временем, Google и Mozilla плотно работали над решением проблем WebGL. Полностью ликвидировать уязвимость инженеры компаний не смогли, сохранив функциональность, поэтому исправления и ограничения, исправляющие уязвимость с загрузкой междоменного содержимого, могут плохо сказаться на приложениях, которые использовали эту технологию. В качестве решения проблемы Khronos предложила использовать черновую спецификацию консорциума Всемирной Паутины CORS, которая позволяет использовать API, работающий с содержимым из разных источников для применения его в загрузке текстур.
Таким образом, Mozilla первой закрыла уязвимость в Firefox 5 (Mozilla решила эту проблему ещё до сообщения Microsoft банальным отключением функционала), Google внедрила исправление в Chromium 13 уже с функциональным решением, а вся рабочая группа исправила спецификацию согласно политикам безопасности и предложением разработчикам использовать CORS.
По материалам Chromium Blog, H-Open, ConceivablyTech.
Тем временем, Google и Mozilla плотно работали над решением проблем WebGL. Полностью ликвидировать уязвимость инженеры компаний не смогли, сохранив функциональность, поэтому исправления и ограничения, исправляющие уязвимость с загрузкой междоменного содержимого, могут плохо сказаться на приложениях, которые использовали эту технологию. В качестве решения проблемы Khronos предложила использовать черновую спецификацию консорциума Всемирной Паутины CORS, которая позволяет использовать API, работающий с содержимым из разных источников для применения его в загрузке текстур.
Таким образом, Mozilla первой закрыла уязвимость в Firefox 5 (Mozilla решила эту проблему ещё до сообщения Microsoft банальным отключением функционала), Google внедрила исправление в Chromium 13 уже с функциональным решением, а вся рабочая группа исправила спецификацию согласно политикам безопасности и предложением разработчикам использовать CORS.
По материалам Chromium Blog, H-Open, ConceivablyTech.
