WebGL ei tule Internet Exploreriin - liikaa tietoturvaongelmia

Microsoftia ei ole perinteisesti mielletty yritykseksi, jolle tietoturva olisi prioriteettilistan kärkipäässä. Viimeisimpien käyttöjärjestelmäversioiden sekä Internet Explorerin uusimman version myötä Microsoft on kuitenkin saanut aikaan huomattavaa edistystä yleisen tietoturvan sekä selaimen tukemien yleisten standardien osalta. Microsoft on kuitenkin ainut selainvalmistaja, joka ei ole lisännyt selaimeensa tukea rautakiihdytystä webissä pyöriville 3D-sovelluksille mahdollistavalle WebGL-rajapinnalle.

WebGL-tukea ei tulla näkemään Internet Explorerin tulevissakaan versioissa, sillä Microsoftin mielestä WebGL ei täytä yhtiön tietoturvavaatimuksia. Microsoftin tutkimusosaston julkaisemassa kannanotossa listataan kolme pääkohtaa, joiden vuoksi riittävän tietoturvan kehittäminen on käytännössä mahdotonta.

Microsoft pitäää ongelmallisena sitä, että WebGL-rajapinta avaa nettisivujen käyttöön laitteiston toimintaa huomattavasti aiempaa laajemmin. Vaikka WebGL-rajapinnan tietoturvasta huolehdittaisiinkin, WebGL:n läpi nettisivut saavat pääsyn kolmansien osapuolten kehittämiin näytönohjaimen ajureihin, joita ei perinteisesti ole varmistettu pahantahtoisen koodin varalta.

Yleisesti ottaen näytönohjainvalmistajilla on täysi työ pitää sallitutkin ohjelmat toiminnassa ja ajurit tarpeeksi vakaina. Microsoftin mukaan WebGL kasvattaa mahdollisten ongelmapaikkojen määrää roimasti, vaikka erilaisilla suunnitteluratkaisuilla osa riskeistä pystyttäisiinkin välttämään.

Toisena avainasiana Microsoft nostaa esiin kolmansien osapuolten kasvavan vastuun ongelmien korjauksessa. Alemman tason järjestelmäkomponenteissa ilmenneiden ongelmien korjaus jäisi kolmansien osapuolten vastuulle ja tietoturvan ylläpitoon vaadittaisiin jatkuvaa päivitystä, mihin nykyjärjestelmillä ei päästä. Esimerkkeinä mainitaan OEM-valmistajat, jotka eivät edes salli muiden kuin itse kerran vuodessa julkaisemiensa ajuriversioiden asentamisen laitteisiinsa.

Ongelmaa voitaisiin kiertää estämällä toiminta viallisiksi tiedetyillä ajureilla, mikä puolestaan johtaisi erittäin vaihtelevaan käyttäjäkokemukseen sekä ongelmiin siinä vaiheessa, kun käyttäjät päättävät manuaalisesti kiertää turvaominaisuudet.

Pahantahtoisia nettisivuja on ollut olemassa jo webin alkuajoista lähtien, mutta selaintekniikan kehittyessä niiden luomat riskit ovat pienentyneet ja yleensä hyökkäyksiin vaaditaan käyttäjän omaa ajattelemattomuutta. WebGL mahdollistaa esimerkiksi koneen kaatamisen nettisivun kautta hyväksikäyttämällä näytönohjaimen ajureissa väkisinkin ilmeneviä bugeja.

WebGL:n käyttämisen sijaan Microsoft aikoo tulevaisuudessa käyttää omaa Direct3D-tekniikkaansa rautakiihdytyksen toteuttamiseen. Vaikka Microsoftia voidaan syyttää tietoturvanäkökulman hyödyntämisestä tekosyynä omaan tekniikkaansa siirtymisessä, yhtiön esittämät näkökannat ovat täysin valideja huolenaiheita. Toisaalta Microsoft on myös viime aikoina ollut yksi äänekkäimmistä HTML5:n sekä muiden uusien standardien puolestapuhuja eli kyseessä ei ole myöskään perinteinen muutosvastarinta.

Microsoftin päätös saatta vaikuttaa koko WebGL:n tulevaisuuteen, jos muut selainvalmistajat seuraavat yhtiön esimerkkiä. Jonkinlaiseen ratkaisuun nettisivujen rautakiihdytyksestä on kuitenkin tultava.

• Internet Explorer
• WebGL