Bollino rosso per la libreria grafica che consente di attivare l’accelerazione hardware senza alcun plug-in. Tre i problemi di sicurezza rilevati.
In una nota a firma dei tecnici appartenenti al Security Research & Defense“, Microsoft ha analizzato la sicurezza di WebGL bollando tale tecnologia come potenzialmente pericolosa.
L’adozione di WebGL nei prodotti del colosso di Redmond viene così rimandata snocciolando una serie di aspetti che richiederebbero massima attenzione.
I perché della bocciatura
In primis, Microsoft osserva come WebGL offra alle applicazioni web la possibilità di accedere direttamente ed interagire con le risorse hardware.
In secondo luogo, eventuali web applications malevole potrebbero avere gioco facile nello sfruttamento di vulnerabilità presenti nei driver delle schede video sviluppati da terze parti.
Infine, l’ultima motivazione che ha indotto Microsoft al pollice verso nei confronti di WebGL è che, al momento, i sistemi operativi non offrono alcun livello di protezione nei confronti degli attacchi Denial-of-Service (DoS) sferrati nei confronti delle schede grafiche.
“Riteniamo che WebGL possa diventare una sorgente di vulnerabilità difficili da risolvere. Nella sua forma attuale, WebGL è una tecnologia che Microsoft non può abbracciare valutandone gli aspetti legati alla sicurezza“. Il colosso di Redmond preferisce puntare su Silverlight 5 garantendo anche l’accesso diretto all’hardware.
A cosa serve WebGL
Le API WebGL consentono di attivare l’accelerazione hardware per il rendering di elementi grafici 3D senza dover installare alcun plugin. Viene utilizzato l’elemento canvas di HTML5 per disegnare oggetti grafici direttamente nella finestra del browser web tramite un’interazione diretta con la scheda video.
Per adesso, esistono delle implementazioni di WebGL destinate soltanto agli utenti di Mozilla Firefox e di Google Chrome.
WebGL è stato più volte al centro di alcuni studi, tutti incentrati a valutarne i rischi d’utilizzo dal punto di vista della sicurezza. Oltre alla possibilità di mettere in campo attacchi DoS, è stato evidenziato come – almeno in Firefox – un malintenzionato possa arrivare a richiedere la generazione di screeshot del contenuto di qualsiasi finestra. In tal modo l’aggressore può – da remoto – verificarne i dati visualizzati e “spiare” le attività dell’utente.
Il Khronos Group, responsabile dello sviluppo di WebGL, ha risposto spiegando che le specifiche della tecnologia non sono ancora pienamente definite e che le implementazioni per i vari browser web non sono quelle finali. Il gruppo ha aggiunto, inoltre, che sarà presto attivato un meccanismo capace di offrire un ottimo livello di protezione nei confronti degli attacchi DoS, a patto però che venga supportato dai vari produttori che sviluppano i driver per le schede video.
Anche Apple starebbe per il momento alla finestra ed è piuttosto improbabile che WebGL possa apparire in iOS 5.