*
 
AfterDawn: IT-alan uutiset

WebGL ei tule Internet Exploreriin - liikaa tietoturvaongelmia

Kirjoittaja Teemu Laitila @ 17.6.2011 15:04 Kommentteja (6)

WebGL ei tule Internet Exploreriin - liikaa tietoturvaongelmia Microsoftia ei ole perinteisesti mielletty yritykseksi, jolle tietoturva olisi prioriteettilistan kärkipäässä. Viimeisimpien käyttöjärjestelmäversioiden sekä Internet Explorerin uusimman version myötä Microsoft on kuitenkin saanut aikaan huomattavaa edistystä yleisen tietoturvan sekä selaimen tukemien yleisten standardien osalta. Microsoft on kuitenkin ainut selainvalmistaja, joka ei ole lisännyt selaimeensa tukea rautakiihdytystä webissä pyöriville 3D-sovelluksille mahdollistavalle WebGL-rajapinnalle.
WebGL-tukea ei tulla näkemään Internet Explorerin tulevissakaan versioissa, sillä Microsoftin mielestä WebGL ei täytä yhtiön tietoturvavaatimuksia. Microsoftin tutkimusosaston julkaisemassa kannanotossa listataan kolme pääkohtaa, joiden vuoksi riittävän tietoturvan kehittäminen on käytännössä mahdotonta.

Microsoft pitäää ongelmallisena sitä, että WebGL-rajapinta avaa nettisivujen käyttöön laitteiston toimintaa huomattavasti aiempaa laajemmin. Vaikka WebGL-rajapinnan tietoturvasta huolehdittaisiinkin, WebGL:n läpi nettisivut saavat pääsyn kolmansien osapuolten kehittämiin näytönohjaimen ajureihin, joita ei perinteisesti ole varmistettu pahantahtoisen koodin varalta.

Yleisesti ottaen näytönohjainvalmistajilla on täysi työ pitää sallitutkin ohjelmat toiminnassa ja ajurit tarpeeksi vakaina. Microsoftin mukaan WebGL kasvattaa mahdollisten ongelmapaikkojen määrää roimasti, vaikka erilaisilla suunnitteluratkaisuilla osa riskeistä pystyttäisiinkin välttämään.

Toisena avainasiana Microsoft nostaa esiin kolmansien osapuolten kasvavan vastuun ongelmien korjauksessa. Alemman tason järjestelmäkomponenteissa ilmenneiden ongelmien korjaus jäisi kolmansien osapuolten vastuulle ja tietoturvan ylläpitoon vaadittaisiin jatkuvaa päivitystä, mihin nykyjärjestelmillä ei päästä. Esimerkkeinä mainitaan OEM-valmistajat, jotka eivät edes salli muiden kuin itse kerran vuodessa julkaisemiensa ajuriversioiden asentamisen laitteisiinsa.

Ongelmaa voitaisiin kiertää estämällä toiminta viallisiksi tiedetyillä ajureilla, mikä puolestaan johtaisi erittäin vaihtelevaan käyttäjäkokemukseen sekä ongelmiin siinä vaiheessa, kun käyttäjät päättävät manuaalisesti kiertää turvaominaisuudet.

Pahantahtoisia nettisivuja on ollut olemassa jo webin alkuajoista lähtien, mutta selaintekniikan kehittyessä niiden luomat riskit ovat pienentyneet ja yleensä hyökkäyksiin vaaditaan käyttäjän omaa ajattelemattomuutta. WebGL mahdollistaa esimerkiksi koneen kaatamisen nettisivun kautta hyväksikäyttämällä näytönohjaimen ajureissa väkisinkin ilmeneviä bugeja.

WebGL:n käyttämisen sijaan Microsoft aikoo tulevaisuudessa käyttää omaa Direct3D-tekniikkaansa rautakiihdytyksen toteuttamiseen. Vaikka Microsoftia voidaan syyttää tietoturvanäkökulman hyödyntämisestä tekosyynä omaan tekniikkaansa siirtymisessä, yhtiön esittämät näkökannat ovat täysin valideja huolenaiheita. Toisaalta Microsoft on myös viime aikoina ollut yksi äänekkäimmistä HTML5:n sekä muiden uusien standardien puolestapuhuja eli kyseessä ei ole myöskään perinteinen muutosvastarinta.

Microsoftin päätös saatta vaikuttaa koko WebGL:n tulevaisuuteen, jos muut selainvalmistajat seuraavat yhtiön esimerkkiä. Jonkinlaiseen ratkaisuun nettisivujen rautakiihdytyksestä on kuitenkin tultava.

Edellinen Seuraava  

6 kommenttia

117.6.2011 16:11

No, tässä on pakko olla samaa mieltä IE-tiimin kanssa. Perustelut ovat hyvinkin vakuuttavat.

217.6.2011 16:34
valopää
Vahvistamaton

Lue: M$ on kyvytön tekemään rajapintaa valmiiksi ajoissa, joten jäljelle jää ainoa asia missä ko. firma loistaa, eli p"#¤an puhuminen standardista ja kilpailijoista.

317.6.2011 17:21

Mitä tämä muka estää jos kerran FF windows:ssa pystyy ja käyttää tuota rajapintaa? Tässä taasen nähdään M$ pyrkimys FUD käyttöön, M$ haluaa haluaa tukea ja luoda vain omia järjestelmiä. Tämä on nähty niin monesti.


"History books will be written about events this month. The story they will tell is up to us"

417.6.2011 21:06

Lainaus, alkuperäisen viestin kirjoitti syrtek66:
Mitä tämä muka estää jos kerran FF windows:ssa pystyy ja käyttää tuota rajapintaa? Tässä taasen nähdään M$ pyrkimys FUD käyttöön, M$ haluaa haluaa tukea ja luoda vain omia järjestelmiä. Tämä on nähty niin monesti.

Firefox vuotaa käyttäjätietoja - kytke webgl pois päältä

Dangerous WebGL Flaws Haunt Chrome and Firefox

518.6.2011 16:00

Itse asiassa olen samaa mieltä IE-tiimin kanssa tässä. Vaikka itse en ole käyttänyt IE:tä lähes kymmeneen vuoteen. Ongelma on käytännössä että asioita ei katsota tietururvalisuuden pohjalta yhtään, vaan sen mitä saadaan palveluna asiakkaille.

618.6.2011 17:01

Alun kankeutta, en usko että MS näkee tässä mitään ongelmaa enää siinä vaiheessa kun varsinainen työ on jo tehty ja he voivat aloittaa kopioimisen oman brändinsä alle.


Vapaat ihmiset kahlitaan, henkisesti kahlituille uskotellaan että he ovat vapaita ja kahlituille sanotaan että joku päivä pääset vielä vapauteen.

Tämän uutisen kommentointi ei ole enää mahdollista.

Uutisarkisto