本周四,微软作出决定拒绝支持WebGL因为它不符合安全标准。
这种强硬的表态来自于微软的网络安全研究与防护部门。微软安全研究中心的工程师团队完整地分析了WebGL的代码后表示要让微软产品支持WebGL存在难度,因为加入对WebGL的支持后很难通过微软内部关于Security Development Lifecycle的要求,而潜在的安全问题主要由于WebGL自身的设计缺陷,不太可能在短期内解决。不支持WebGL的主要原因如下:
—浏览器支持WebGL会使显卡硬件底层功能直接暴露在恶意代码或Web应用程序面前。
—如WebGL自身不作出改变,提升此方面安全性将过于依赖于及时更新显卡驱动,由于缺乏类似Windows Update的及时更新系统,OEM厂商和不少用户很难做到这一点。
—有问题的系统DoS脚本会直接使系统死机或重启,大多显卡以及显卡驱动在设计时并不考虑安全问题,而将相关安全问题交由操作系统完成。但浏览器沙盒跳过了这一环节默认WebGL可以被安全执行,这会使脚本取得跨域名的执行权限,甚至取得访问本地文件的权限。
WebGL是一项在网页浏览器体现3D画面的技术,有别于过往需加装浏览器插件,通过WebGL的技术,只需要编写网页代码即可实现3D图像的展示。WebGL的规格尚在发展中,由非营利的Khronos Group管理,成员包括Mozilla、Opera、Apple和Google,也就是说除IE外的所有主流浏览器包括Firefox、Chrome、Safari和Opera均支持WebGL。
著名科技博客网站engadget评论说微软此举对WebGL不会是太大的打击,而且微软有可能改变决定。另外engadget还开玩笑说微软这样做是打击了大家对于出现基于Web浏览器的“Crysis”(显卡危机)的希望。
通过WebGL发动攻击的机制示意图
