AfterDawn logo

WebGL ei tule Internet Exploreriin - liikaa tietoturvaongelmia

Teemu Laitila Teemu Laitila
6 kommenttia

Microsoftia ei ole perinteisesti mielletty yritykseksi, jolle tietoturva olisi prioriteettilistan kärkipäässä. Viimeisimpien käyttöjärjestelmäversioiden sekä Internet Explorerin uusimman version myötä Microsoft on kuitenkin saanut aikaan huomattavaa edistystä yleisen tietoturvan sekä selaimen tukemien yleisten standardien osalta. Microsoft on kuitenkin ainut selainvalmistaja, joka ei ole lisännyt selaimeensa tukea rautakiihdytystä webissä pyöriville 3D-sovelluksille mahdollistavalle WebGL-rajapinnalle.

WebGL-tukea ei tulla näkemään Internet Explorerin tulevissakaan versioissa, sillä Microsoftin mielestä WebGL ei täytä yhtiön tietoturvavaatimuksia. Microsoftin tutkimusosaston julkaisemassa kannanotossa listataan kolme pääkohtaa, joiden vuoksi riittävän tietoturvan kehittäminen on käytännössä mahdotonta.


Microsoft pitäää ongelmallisena sitä, että WebGL-rajapinta avaa nettisivujen käyttöön laitteiston toimintaa huomattavasti aiempaa laajemmin. Vaikka WebGL-rajapinnan tietoturvasta huolehdittaisiinkin, WebGL:n läpi nettisivut saavat pääsyn kolmansien osapuolten kehittämiin näytönohjaimen ajureihin, joita ei perinteisesti ole varmistettu pahantahtoisen koodin varalta.

Yleisesti ottaen näytönohjainvalmistajilla on täysi työ pitää sallitutkin ohjelmat toiminnassa ja ajurit tarpeeksi vakaina. Microsoftin mukaan WebGL kasvattaa mahdollisten ongelmapaikkojen määrää roimasti, vaikka erilaisilla suunnitteluratkaisuilla osa riskeistä pystyttäisiinkin välttämään.

Toisena avainasiana Microsoft nostaa esiin kolmansien osapuolten kasvavan vastuun ongelmien korjauksessa. Alemman tason järjestelmäkomponenteissa ilmenneiden ongelmien korjaus jäisi kolmansien osapuolten vastuulle ja tietoturvan ylläpitoon vaadittaisiin jatkuvaa päivitystä, mihin nykyjärjestelmillä ei päästä. Esimerkkeinä mainitaan OEM-valmistajat, jotka eivät edes salli muiden kuin itse kerran vuodessa julkaisemiensa ajuriversioiden asentamisen laitteisiinsa.

Ongelmaa voitaisiin kiertää estämällä toiminta viallisiksi tiedetyillä ajureilla, mikä puolestaan johtaisi erittäin vaihtelevaan käyttäjäkokemukseen sekä ongelmiin siinä vaiheessa, kun käyttäjät päättävät manuaalisesti kiertää turvaominaisuudet.

Pahantahtoisia nettisivuja on ollut olemassa jo webin alkuajoista lähtien, mutta selaintekniikan kehittyessä niiden luomat riskit ovat pienentyneet ja yleensä hyökkäyksiin vaaditaan käyttäjän omaa ajattelemattomuutta. WebGL mahdollistaa esimerkiksi koneen kaatamisen nettisivun kautta hyväksikäyttämällä näytönohjaimen ajureissa väkisinkin ilmeneviä bugeja.

WebGL:n käyttämisen sijaan Microsoft aikoo tulevaisuudessa käyttää omaa Direct3D-tekniikkaansa rautakiihdytyksen toteuttamiseen. Vaikka Microsoftia voidaan syyttää tietoturvanäkökulman hyödyntämisestä tekosyynä omaan tekniikkaansa siirtymisessä, yhtiön esittämät näkökannat ovat täysin valideja huolenaiheita. Toisaalta Microsoft on myös viime aikoina ollut yksi äänekkäimmistä HTML5:n sekä muiden uusien standardien puolestapuhuja eli kyseessä ei ole myöskään perinteinen muutosvastarinta.


Microsoftin päätös saatta vaikuttaa koko WebGL:n tulevaisuuteen, jos muut selainvalmistajat seuraavat yhtiön esimerkkiä. Jonkinlaiseen ratkaisuun nettisivujen rautakiihdytyksestä on kuitenkin tultava.

6 KOMMENTTIA

ArttuH5N11/6

No, tässä on pakko olla samaa mieltä IE-tiimin kanssa. Perustelut ovat hyvinkin vakuuttavat.

valopää (vahvistamaton)2/6

Lue: M$ on kyvytön tekemään rajapintaa valmiiksi ajoissa, joten jäljelle jää ainoa asia missä ko. firma loistaa, eli p"#¤an puhuminen standardista ja kilpailijoista.

syrtek663/6

Mitä tämä muka estää jos kerran FF windows:ssa pystyy ja käyttää tuota rajapintaa? Tässä taasen nähdään M$ pyrkimys FUD käyttöön, M$ haluaa haluaa tukea ja luoda vain omia järjestelmiä. Tämä on nähty niin monesti.

enokoteit4/6

Lainaus, alkuperäisen viestin kirjoitti syrtek66:

Mitä tämä muka estää jos kerran FF windows:ssa pystyy ja käyttää tuota rajapintaa? Tässä taasen nähdään M$ pyrkimys FUD käyttöön, M$ haluaa haluaa tukea ja luoda vain omia järjestelmiä. Tämä on nähty niin monesti.


Firefox vuotaa käyttäjätietoja - kytke webgl pois päältä

Dangerous WebGL Flaws Haunt Chrome and Firefox

Lumikki5/6

Itse asiassa olen samaa mieltä IE-tiimin kanssa tässä. Vaikka itse en ole käyttänyt IE:tä lähes kymmeneen vuoteen. Ongelma on käytännössä että asioita ei katsota tietururvalisuuden pohjalta yhtään, vaan sen mitä saadaan palveluna asiakkaille.

kolmis6/6

Alun kankeutta, en usko että MS näkee tässä mitään ongelmaa enää siinä vaiheessa kun varsinainen työ on jo tehty ja he voivat aloittaa kopioimisen oman brändinsä alle.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki