В комментарии от Microsoft, на который ссылается автор в оригинале написано только следующее:
Customers need to understand that the security of their computers is at risk when they browse the web using Google Chrome and Firefox. Because these browsers support WebGL, they open a door for malicious websites to access one of the most secure parts of a person’s computer. With security holes like this, it’s clear that WebGL isn’t ready for primetime, and that people shouldn’t be using a browser that supports it. This is why the Microsoft Security Response Center recently recommended against the use of WebGL in Microsoft products like Internet Explorer.
По русски: 1) пользователи, использующие браузер с поддержкой WebGL несут риски для пользователей, и 2) MS Security Response Center не рекомендует внедрять поддержку WebGL в Internet Explorer.
Отчасти, сегодня решение проблемы пытаются искать и в драйверах, и в железе, и в прослойке в ОС.
Принципиально же проблема в другом: в выставлении низкоуровневых API через браузер. Просто для понимания: все те же самые сценарии принципиально воспроизводимы и вне браузера — например, дескотпная игрушка с кривым использованием API видеокарты тоже может привести к перегрузке видео-подсистемы.
Загвоздка начинается в массовом сценарии: в случае WebGL достаточно зайти из браузера на нужную страницу.
Все может быть, но на сегодня это очевидная открытая угроза для пользователей. В случае WebSockets Firefox и Opera поступили честно по отношению к пользователям: закрыли использование технологии до тех пор, пока не будут решены проблемы с безопасностью. Что мешает сделать то же самое для WebGL и попутно работать над решением означенных проблем?
То есть не покажете альтернативные источники с другим мнением?
Вся проблема как раз в том, что ни Google, ни Mozilla не комментируют проблемы безопасности в WebGL и продолжают ее поддерживать. Я не говорил, что они не смыслят в безопасности. А выводы делайте сами.
То есть вас разражает сам факт критики со стороны Microsoft технологию, которую сообщество призывает внедрить в IE, но совсем не волнует содержательная сторона критики?
Приведите, пожалуйста, 1) комментарии от Context Information Security о проблемах в Windows XP с тем, содержанием, которое вы описываете, и 2) подтверждене, что Context Information Security зависит от Microsoft.
Удивительно, но на сегодня (к слову, с момента первого отчета Context Information Security прошло более месяца!), насколько я вижу Google и Mozilla воздерживаются от комментариев, в которых они бы признавали или не признавали отчет Context Information Security. Вас это не настораживает?
1. Я ссылаюсь на отчет компании профессионально занимающейся вопросами безопасности.
2. Покажите мне источник, который профессионально (со знанием дела) доказывает, что технология WebGL безопасна.
Это странная логика, Microsoft говорит, что не могут внедрять принципиально дырявую технологию, а вы говорите «закройте, блин, дырки в своём продукте». После этого можно внедрять дырявую технологию? Или нужно выполнить еще какие-то условия?
Так расскажите уже, наконец, о «тысяче работоспособных эксплоитам ко всем версиям IE».
А в контексте данного топика мне не понятно только одно: каким образом фактическая уязвимость в WebGL существующая на архитектурном уровне и практически игнорируемая со стороны тех, кто внедряет эту технологию, связана с Microsoft, который говорит, что не готов ее внедрять именно по причине заложенных проблем в области безопасности, которые на сегодня не фиксятся без переработки всей спецификации с серьезным учетом вопросов безопасности.
Какое отношение к WebGL имеет Microsoft, кроме того, что отношения не имеет, но имеет мнение, никем из других производителей, увы, не оспариваемое? Неужели вас больше волнует факт наличия слова Microsoft, нежели наличие проблем в безопасности в WebGL? Попробуйте хоть на минуту забыть про MS и сконцентрироваться на сути проблемы, к которой MS отношения не имеет.
Я ни разу не говорил, что WebGL недостаточно протестирован (я как раз 1) говорю про другое, 2) ссылаюсь на отчет экспертов безопасности, которые говорят, что проблемы заложы на архитектурном уровне).
Мне лично нравится WebGL в смысле задач, которые он решает. А вы зачем-то снова мне приписываете то, чего я не говорил.
Роман, возьмите на себя смелость избавиться от клише, предвзятых отношений и просто хотя бы попробовать разобраться в сути проблемы прежде, чем кидаться на других с какими-либо утверждениями.
Общности распыляют фокус, вот и здесь — если посмотреть на комментарии, практически все они о том, какие в Microsoft негодяи, а не о том, откуда в WebGL дырки в безопасности и почему с ними ничего не делают.
Честно говоря, я был бы очень рад, если бы Khronos, Google или Mozilla (или даже Apple и Opera, собирающиеся внедрять WebGL), взяли на себя смелость отреагировать на сообщения о проблемах в безопасности так или иначе и, к примеру, сказали, что они знают, 1) как их исправить и 2) берут на себя эту задачу.
А пока этого нет, можно сколько угодно поливать Microsoft, но проблемы с безопасностью в WebGL от этого просто напросто не исчезнут сами собой.
Конкретизировать нужно только по той причине, что обсуждать что-либо в общем, в целом и т.п. бессмысленно, т.к. является философий и маханием руками.
Если вы хотите обсудить любую другую уязвимость, напишите отдельный топик или комментарий, чтобы обсудить именно ее, тогда разговор будет предметным и осмысленным. Если вы не согласны с тем, что IE не предоставляет простого доступа к «к самым защищенным частям компьютера» и не позволяет через манипуляции с графикой запустить перезагрузку компьютера из-за сбоя в графической подсистеме или сбросить графические драйвера или вытащить данные из соседних вкладок, так и напишите ;)
WebGL — часть браузера, в ней есть дыра, сайт её эксплуатирует.
Какой-нибудь msxml — часть браузера, в нём есть дыра, сайт её эксплуатирует.
В чём же разница?
Тут разницы большой нет, а вот между наличием дырок и распространением зловредного ПО разница есть. Второе далеко не всегда эксплуатирует первое, причем на сегодня доминирующим сценарием как раз является не работа с уязвимостями браузеров/плагинов, а фишинговые атаки и социальная инженирия в целом в различных проявлениях.
Если вы почитаете отчет Context Information Security, то там написано не то, что WebGL недостаточно протестирован, а то, что описываемые проблемы в нем заложены архитектурно — в самом подходе выставления в браузер низкоуровневого API для работы с графикой.
Вы же не будете спорить, что уязвимости в принципе есть у всех продуктов? Расскажите о незакрытых багах в IE, которые дают простой доступ к самым защищенным частям компьютера и позволяют запустить перезагрузку компьютера или сброс графических драйверов или вытащить изображение с соседних/закрытых вкладок.
К слову, какое отношение сайты, распространяющие зловредное ПО имеют к багам в самом браузере? На сегодня Smart Screen Filter в IE является лучши решением на рынке для защиты от этого типа угроз ;)
По русски: 1) пользователи, использующие браузер с поддержкой WebGL несут риски для пользователей, и 2) MS Security Response Center не рекомендует внедрять поддержку WebGL в Internet Explorer.
Принципиально же проблема в другом: в выставлении низкоуровневых API через браузер. Просто для понимания: все те же самые сценарии принципиально воспроизводимы и вне браузера — например, дескотпная игрушка с кривым использованием API видеокарты тоже может привести к перегрузке видео-подсистемы.
Загвоздка начинается в массовом сценарии: в случае WebGL достаточно зайти из браузера на нужную страницу.
Вся проблема как раз в том, что ни Google, ни Mozilla не комментируют проблемы безопасности в WebGL и продолжают ее поддерживать. Я не говорил, что они не смыслят в безопасности. А выводы делайте сами.
Удивительно, но на сегодня (к слову, с момента первого отчета Context Information Security прошло более месяца!), насколько я вижу Google и Mozilla воздерживаются от комментариев, в которых они бы признавали или не признавали отчет Context Information Security. Вас это не настораживает?
2. Покажите мне источник, который профессионально (со знанием дела) доказывает, что технология WebGL безопасна.
А в контексте данного топика мне не понятно только одно: каким образом фактическая уязвимость в WebGL существующая на архитектурном уровне и практически игнорируемая со стороны тех, кто внедряет эту технологию, связана с Microsoft, который говорит, что не готов ее внедрять именно по причине заложенных проблем в области безопасности, которые на сегодня не фиксятся без переработки всей спецификации с серьезным учетом вопросов безопасности.
Какое отношение к WebGL имеет Microsoft, кроме того, что отношения не имеет, но имеет мнение, никем из других производителей, увы, не оспариваемое? Неужели вас больше волнует факт наличия слова Microsoft, нежели наличие проблем в безопасности в WebGL? Попробуйте хоть на минуту забыть про MS и сконцентрироваться на сути проблемы, к которой MS отношения не имеет.
Мне лично нравится WebGL в смысле задач, которые он решает. А вы зачем-то снова мне приписываете то, чего я не говорил.
Честно говоря, я был бы очень рад, если бы Khronos, Google или Mozilla (или даже Apple и Opera, собирающиеся внедрять WebGL), взяли на себя смелость отреагировать на сообщения о проблемах в безопасности так или иначе и, к примеру, сказали, что они знают, 1) как их исправить и 2) берут на себя эту задачу.
А пока этого нет, можно сколько угодно поливать Microsoft, но проблемы с безопасностью в WebGL от этого просто напросто не исчезнут сами собой.
Если вы хотите обсудить любую другую уязвимость, напишите отдельный топик или комментарий, чтобы обсудить именно ее, тогда разговор будет предметным и осмысленным. Если вы не согласны с тем, что IE не предоставляет простого доступа к «к самым защищенным частям компьютера» и не позволяет через манипуляции с графикой запустить перезагрузку компьютера из-за сбоя в графической подсистеме или сбросить графические драйвера или вытащить данные из соседних вкладок, так и напишите ;)
Тут разницы большой нет, а вот между наличием дырок и распространением зловредного ПО разница есть. Второе далеко не всегда эксплуатирует первое, причем на сегодня доминирующим сценарием как раз является не работа с уязвимостями браузеров/плагинов, а фишинговые атаки и социальная инженирия в целом в различных проявлениях.
К слову, какое отношение сайты, распространяющие зловредное ПО имеют к багам в самом браузере? На сегодня Smart Screen Filter в IE является лучши решением на рынке для защиты от этого типа угроз ;)