Abo
  • IT-Karriere:

Microsoft

WebGL ist gefährlich

Microsoft wird WebGL nicht unterstützen. Der 3D-Standard fürs Web sei nicht sicher und werde sich als Quelle schwer zu schließender Sicherheitslücken entpuppen.

Artikel veröffentlicht am ,
Microsoft: WebGL ist gefährlich
(Bild: Khronos Group)

Microsofts Abteilung Security Research & Defense hat sich in einem Blogeintrag zu WebGL geäußert und darin klargestellt, dass Microsoft den 3D-Standard fürs Web aus Sicherheitsgründen nicht unterstützen kann. Es sei zwar notwendig, eine Lösung wie WebGL anzubieten, diese müsse aber "secure by design, secure by default, and secure in deployment" sein. Das sei bei WebGL nicht der Fall.

Stellenmarkt
  1. Stadtwerke Duisburg AG, Duisburg
  2. BWI GmbH, Bonn

Microsoft benennt drei Grundprobleme im Hinblick auf WebGL: Erstens stelle WebGL Hardwarefunktionen zu freizügig fürs Web bereit. Daher hänge die Sicherheit von WebGL in starkem Maße von den Grafikkartentreibern ab und das stelle deren Entwickler vor Probleme, die sie bisher nicht kannten. Angriffe, die bisher nur zu einer lokalen Rechteausweitung führen konnten, könnten dank WebGL aus der Ferne ausgenutzt werden. Zwar sei es möglich, das Risiko solcher Angriffe einzuschränken, dennoch biete WebGL eine zu große Angriffsfläche.

Zweitens seien die Sicherheitsvorkehrungen der Browser in Sachen WebGL zu abhängig von Drittanbietern. Nicht immer würden Sicherheitslücken direkt in der WebGL-API selbst auftreten, manche Probleme könnten in OEM- und Systemkomponenten verborgen sein. Den Vorschlag, als unsicher eingestufte Hardwarekonfigurationen im Browser zu sperren, hält man bei Microsoft für keinen guten Weg: Nutzer würden versuchen, die Sperren zu umgehen, um dennoch an WebGL-Inhalte zu gelangen. Und ein Updateverfahren, das den Sicherheitsanforderungen genügt, wie beispielsweise Windows Update, fehle für Grafikkartentreiber. Manche Anbieter würden ihre Treiber nur einmal im Jahr aktualisieren und bei manchen Geräten sei die Installation von Treibern vom Hersteller sogar ganz blockiert.

Zum Dritten weist Microsoft auf problematische Denial-of-Service-Szenarios hin: Weder moderne Betriebssysteme noch die Grafikinfrastruktur seien für eine Abwehr von Angriffen über Shader und Geometriefunktionen ausgelegt. Dadurch entstehe das Risiko, dass jede Website einen Rechner komplett lahmlegen oder zum Reboot zwingen könnte.

Daher geht Microsoft davon aus, dass WebGL ein Quell an immer neuen, schwer zu korrigierenden Sicherheitslücken sein wird. In seiner jetzigen Form sei WebGL aus Sicherheitsgründen keine Technik, die Microsoft unterstützen könne.

Mozilla-Entwickler Jeff Muizelaar hält Microsofts Kritikpunkt für berechtigt, sieht darin aber keinen Grund, mit der Unterstützung von WebGL zu warten, bis perfekte Lösungen vorliegen. Und das, so Muizelaar, sehe auch Microsoft so. Er verweist dabei auf XNA 3D in Microsofts Silverlight 5. Die Technik habe exakt die gleichen Probleme wie WebGL und wird dennoch von Microsoft unterstützt.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 127,99€ (Bestpreis!)
  3. 239,00€

Bankai 20. Jun 2011

Du bist jetzt schon der X-te der hier vollkommen Argumentationslos seinen Mist verzapft...

Bankai 20. Jun 2011

Ohje.... Warum sollte sich ausgerechnet DirectX durchsetzen? Gibt es einen anderen...

Bankai 20. Jun 2011

Was wolltest du uns wohl mit dem zweiten Satz mitteilen? hmm, vielleicht Kauderwelsch...

Bankai 20. Jun 2011

Google ist dein Freund... http://www.ehow.com/how_7478917_silverlight-tutorial-beginners...

Bankai 20. Jun 2011

Stand das im Artikel? ... N E I N


Folgen Sie uns
       


Sony Xperia 1 - Test

Das Xperia 1 eignet sich dank seines breiten OLED-Displays hervorragend zum Filmeschauen. Im Test zeigt Sonys neues Smartphone aber noch weitere Stärken.

Sony Xperia 1 - Test Video aufrufen
Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung

    •  /