InfoQ

InfoQ

InfoQ

En | 中文 | 日本語 | Br

4月124,948独立访问用户

新闻

我的书签

登录注册 以永久保存书签。

该内容已经被标记书签!

标记书签错误,请重试!

微软因为安全原因拒绝采用WebGL

作者 Abel Avram 译者 侯伯薇 发布于 2011年6月26日

领域
架构 & 设计,
语言 & 开发
主题
HTML 5 ,
HTML ,
RIA ,
标识语言 ,
语言 ,
Google ,
微软 ,
架构 ,
安全 ,
Opera ,
编程 ,
Apple ,
Mozilla
分享到

最近微软引用了两份分析WebGL中安全弱点的报告,以此作为不支持WebGL的主要原因,尽管Google、Mozilla、Opera和Apple都支持这种3D图形标准。

HTML5的Canvas元素让开发者可以使用不同的渲染引擎来编写图形程序,WebGL就是其中的一种,它基于Khronos小组管理的OpenGL驱动、针对硬件加速3D渲染的规范创建,当前Google Chrome、Mozilla Firefox、Opera以及Safari的每日构建版本中都已经实现了该规范。 WebGL 1.0是在2011年2月份发布的,但Chrome早在一年前就已经支持它了。

唯一一家没有使用WebGL的主要浏览器厂商就是微软。尽管我们可以使用Google的ANGLE,它会把对WebGL的API调用转换为等价的DirectX调用,但那并非是一种本地解决方案,如果Windows能够对WebGL提供本地支持,那会更加合适,但是Windos并未提供这种支持,而且,微软声称,他们不会采用WebGL,因为它存在安全漏洞。

微软对WebGL的安全缺陷的抱怨基于Context Information Security编写的两份报告: 《WebGL——浏览器开发的新维度(WebGL – A New Dimension for Browser Exploitation)》《WebGL——更多WebGL安全缺陷(WebGL – More WebGL Security Flaws)》。这两份报告说明了在WebGL中发现的一些安全问题,像易于受到DoS攻击、跨域的图像窃取,以及Firefox实现中的一个bug,那让攻击者可以窃取用户的数据。

Khronos已经对Context的第一份报告作出响应,建议用户使用GL_ARB_robustness扩展来解决问题,“已经有一些GPU厂商部署了该扩展,而Khronos期望其他厂商也能够尽快部署,”以此作为针对DoS攻击的解决方案。关于跨域图像窃取,他们说到:

如果WebGL能够拥有合并跨域图像的能力,那么就会给开发者提供很大的方便,但是WebGL工作组正在考虑采用跨原始资源共享(Cross Origin Resource Sharing,CORS)或者其它机制,从而避免将来因此而受到谴责。

Context 不认为Khronos的GL_ARB_robustness解决方案很合适,因为在发现DoS攻击的时候,它可能会重置GPU。Context同意Khronos关于图像窃取的解决方案,建议“如果需要管理跨域图片的机制,就需要在WebGL中使用CORS”。 他们还提到,需要和Mozilla协作,修复在Firefox中发现的弱点,Mozilla会乐于接受这种协作,并且他们还与Google也取得了联系。最终结论是,Context建议用户禁用WebGL,硬件厂商也不要继续为其提供支持。

在Context的报告之后,微软也列举了他们 对WebGL的主要关注点,决定“在当前表单”中不支持WebGL,这种表述也为将来一旦想要改变主意的时候留了后路:

  • “让浏览器支持WebGL会直接把硬件功能暴露给web,我们认为不应该允许这种方式。”
  • “让浏览器支持WebGL,安全服务责任就会过于依赖第三方来保证web体验中的安全性。”
  • “系统在遭到DoS攻击时也会出现很多问题。”

我们还要提到一些相关的内容,微软对于DirecX投资过于巨大,在1995年就已经发布了第一个版本,所以他们很可能会继续支持这种技术。

然而,苹果最近宣布iOS 5会使用WebGL来进行3D渲染,但是据Chris Marrin所说,那只会限定在iAd开发者。他们可能会扩展对WebGL的支持,使得它成为iOS中的公共API,从而有步骤地使用曾经有效的方法来引入新技术。

查看英文原文:Microsoft Rejects WebGL for Security Reasons

译者 侯伯薇 是InfoQ中文站架构社区编辑,有多年对日和国内项目开发经验,目前关注企业中技术与实际业务之间的融合和协作。

  • 本文所属的特别专题为 RIA

相关厂商内容

保持某些系统的高可用性,是一些企业的重中之重,如何设计?

海量数据处理,海量视频分发,架构热点难点,尽在架构师峰会!

相关赞助商

ArchSummit全球架构师峰会报名启动!7折优惠,5月31日截止!

6 条回复

关注此讨论 回复

真是笑话 发表人 冯 希顺 发表于
Re: 真是笑话 发表人 minkang wu 发表于
笑话 发表人 Zeng Abrams 发表于
别总用阴谋论回避问题是否存在和怎么解决 发表人 孙 巍 发表于
Re: 别总用阴谋论回避问题是否存在和怎么解决 发表人 x tiger 发表于
Re: 别总用阴谋论回避问题是否存在和怎么解决 发表人 李 毅 发表于
按日期倒序排列

  1. 返回顶部

    真是笑话

    发表人 冯 希顺

    真是笑话,如果要是以安全原因为理由来拒绝一个新生事物,那就不会有Windows、Office,也不会有微软了。

    回复

  2. 返回顶部

    笑话

    发表人 Zeng Abrams

    先把你的IE弄好再说

    回复

  3. 返回顶部

    别总用阴谋论回避问题是否存在和怎么解决

    发表人 孙 巍

    我关注的是Khronos小组的回复,他们很认真的回答了微软的疑问,提出了解决办法(可不可行,好不好使另说),而不是评判微软的产品和微软的动机。如果我们中国人做事也能这样就好了,别总用阴谋论回避问题是否存在和怎么解决。

    回复

  4. 返回顶部

    Re: 别总用阴谋论回避问题是否存在和怎么解决

    发表人 x tiger

    顶 LS ,就事论事,不要顾左右而言他

    回复

  5. 返回顶部

    Re: 真是笑话

    发表人 minkang wu

    还是利益保护问题。

    回复

  6. 返回顶部

    Re: 别总用阴谋论回避问题是否存在和怎么解决

    发表人 李 毅

    我关注的是Khronos小组的回复,他们很认真的回答了微软的疑问,提出了解决办法(可不可行,好不好使另说),而不是评判微软的产品和微软的动机。如果我们中国人做事也能这样就好了,别总用阴谋论回避问题是否存在和怎么解决。
    技术人员更要学会就是论事,别什么东西都是一顶大帽子就扣上去了

    回复