Microsoft отказалась поддержать браузерную 3D-технологию из соображений безопасности

В блоге Microsoft, посвященном проблемам информационной безопасности, был опубликован критический постинг по поводу технологии WebGL – открытого стандарта, предназначенного для отображения трехмерной графики непосредственно в окне интернет-браузера. Этот стандарт продвигают разработчики Mozilla, Opera, Google и Apple. В отличие от аналогичных технологий от Microsoft и Adobe, WebGL не связан с какой-либо отдельной компанией и не содержит в себе технологий, требующих выплаты роялти правообладателям.

Изначально технология WebGL была разработана программистами Mozilla, однако впоследствии спецификации были переданы независимой организации Khronos Groups, в рамках которой они развиваются и в настоящее время. Помимо Mozilla, в развитии стандарта активное участие принимает Google, которая заинтересована в постепенном переводе традиционных приложений на веб (Chrome OS уже сейчас приспособлена только для запуска веб-приложений).

Заявление Microsoft было опубликовано вскоре после появления исследовательской заметки компании Context Informaiton Security, озаглавленной «WebGL – еще больше ошибок по безопасности в WebGL». Это уже вторая публикация из серии: в мае была опубликована заметка с красноречивым названием: «WebGL – новый горизонт для взлома веб-браузеров», вызвавшая существенный резонанс в интернет-сообществе. Как указывает Context, стандарт WebGL создает существенные риски в сфере безопасности, поскольку предполагает непосредственный доступ разработчиков к драйверам видеокарты и к самой видеокарте.

«Эта проблема не была бы столь существенной, если бы не тот факт, что в нынешних аппаратных системах и реализациях графической подсистемы не предусмотрена возможность резервирования или установления ограничений, связанных с безопасностью, – сообщают исследователи Context Information Security. – После того, как очередь на отображение была помещена на графический процессор программой-планировщиком, ее будет трудно остановить, по крайней мере, без создания видимых сбоев и потери стабильности общесистемного характера. Тщательно сформировав соответствующий контент, можно будет серьезно повлиять на способность операционной системы отображать пользовательский интерфейс или же вызвать еще худшие последствия. Сложность проверки всего контента или поддержки ограничений по безопасности также может повлечь проблемы, связанные с нарушением целостности системы или пользовательских данных».

Кроме того, исследователи Context сообщают, что предоставление разработчикам возможности напрямую обращаться к графическим картам станет новым бременем для производителей этих карт, которые до сих пор были преимущественно обеспокоены производительностью, а не безопасностью своих продуктов: «Безопасность стоит приличных затрат: как в плане человеко-часов, так и в плане финансов, и в настоящее время создатели аппаратного обеспечения сравнительно мало заинтересованы в повышении безопасности своих продуктов (с потенциальной потерей производительности), с тем чтобы они могли обеспечить поддержку WebGL в ее текущем виде».

Следуя за выводами Context Information Security, специалисты Microsoft пришли к выводу, что «продукты Microsoft с поддержкой WebGL будут испытывать трудности при прохождении проверки на соответствие требованиям Security Development Lifecycle». Таким образом, ожидать появления реализации WebGL от Microsoft в ближайшее время не стоит: «Мы считаем, что WebGL, вероятно, станет постоянным источником трудноустранимых уязвимостей. В ее текущем состоянии WebGL — это не та технология, которую Microsoft может одобрить с точки зрения безопасности», – сообщает компания.

Было бы естественно предположить, что разработчики Mozilla не будут разделять обеспокоенность Microsoft, и действительно, их ответ не заставил себя долго ждать. Вице-президент Mozilla по технологической стратегии Майк Шейвер (Mike Shaver) указал, что при создании собственной технологии Silverlight разработчики Microsoft неизбежно сталкивались с теми же проблемами и, по-видимому, смогли решить их достаточно успешно: «Я также подозреваю, что те меры по усилению безопасности, которые они применили в низкоуровневых API Direct3D, встроенных в Silverlight 3D, могут быть использованы и при создании реализации WebGL от Microsoft». По словам Шейвера, проблемы, найденные Context Information Security, действительно серьезны, но устранимы: «Наш опыт общения с разработчиками драйверов вселяет уверенность, что они настолько же обеспокоены безопасностью и стабильностью работы наших общих пользователей, как мы и Microsoft».