作者solomn (九米)
看板Browsers
標題微軟:WebGL是「有害的」
時間Sat Jul 2 20:34:50 2011
http://www.zdnet.com.tw/news/software/0,2000085678,20150244,00.htm
微軟:WebGL是「有害的」
儘管Firefox與Chrome瀏覽器都已經支援WebGL,另外還包括Opera與Safari的開發版本都
有支援,微軟卻表示它並不打算讓Internet Explorer支援這項3D繪圖軟體函式庫,並且
還將它標示為「有害的」技術。
微軟是對的。
注意:Mozilla是WebGL的原始創造者,但是這項計畫現在交由非營利機構The
Khronos Group負責。
可別誤會我的目的,你當然可以用WebGL做出很多酷炫的東西,真的很酷,讓Web瀏覽器也
能呈現出與電腦遊戲相當的3D圖形。但問題是你可以用WebGL做出酷炫東西的原因,乃是
因為這項技術讓網站可以直接取用低階的硬體功能,當然也可以用它來做壞事。
微軟很早就清楚列出它對WebGL的擔憂部分:
「WebGL的安全性完全得仰賴系統的較低層(包括OEM驅動程式)能夠保持安全,這些
是以前不需擔心的事」,微軟的工程師宣稱,「先前只會導致本端權限升高的攻擊,現在
卻可能導致遠端入侵。儘管這些風險有機會可以化解,但WebGL所引發的大型攻擊仍舊令
人擔心。」
這些說法有其依據。驅動程式的安全性將是一項重大議題,而且使用者以前的確也不需擔
心這些問題。OEM廠商必須大幅強化其驅動程式,如果系統使用老舊、不安全的驅動程式
的話,就必須要防堵其使用WebGL,直到這些驅動程式更新為止,如果硬體已經停止更新
則要完全禁止其使用。由於Internet Explorer的市場佔有率相當龐大,而且該瀏覽器所
執行的平台非常廣,因此我認為微軟的作法在安全方面是很合理的。
但是微軟自己不是也釋出了
ActiveX給信任的Web用戶?的確是如此。Web架構ActiveX控制
是一個非常糟糕的概念,但我認為微軟已經從先前的錯誤中獲得教訓。微軟再也不可能將
類似ActiveX的技術納入到瀏覽器之中,因為目前外界對瀏覽器安全性的監督非常重視。
但是WebGL的問題究竟有多嚴重?安全公司Context已經發現許多與WebGL相關的問題,其
中兩項特別嚴重:
透過記憶體竊取而取得文件內容
阻絕服務攻擊 (DoS)
看起來相當嚴重。整體而言,Context認為WebGL相當糟糕,甚至嚴重到會妨礙設計來保護
使用者不受DoS攻擊的機制:
Context的研究發現Khronos建議的DoS問題(WebGL_ARB_robustness)的防護方式根本
沒用。首先,只有特定的晶片組與作業系統(NVidia搭配Windows與Linux)支援這項功能
。此外,這個方法只能夠抑制,而非WebGL DoS問題的完善解決方案。
儘管WebGL的確有一些優點,但缺點卻相當令人擔心。WebGL的安全性肯定會隨時間而改進
,但微軟目前與它保持距離的作法肯定是正確的選擇。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.24.4.224
→ solomn:微軟:只要阻止我壟斷的都是「有害的」 07/02 20:35
→ kira925:WebGL就是自己有問題,微軟不想用又沒錯... 07/02 20:47
→ parislove3:1F看完文章再評論吧 07/02 21:46
→ Vac:之前就有新聞了,FX GC因此有漏洞 07/02 22:10
→ Wcw5504:1F就是原PO 照理來說這篇他應該會先看過才對啊... 07/02 22:30
→ yukitowu:看過不一定看得懂 07/02 23:41
→ Huff:只是想拿文章酸 07/02 23:45
→ xvid:他已從發問高手轉職貼文高手 07/02 23:59
推 tonyhsie:原PO的轉貼能力明顥比解讀能力優秀 07/03 01:14
→ tonyhsie: 顯 07/03 01:14
推 ug945:沒關係 IE6本來就不支援 07/03 04:28
推 darKyle:網際網路是有害的 入山隱居最好 07/03 20:04
→ talan:反MS已經到了為反而反 為酸而酸的境地了XD 07/03 20:20
→ talan:入山隱居也怕會土石流或山崩 乾脆說只要活著就可能有意外XD 07/03 20:21
→ birdhackor:真的怕的話就裝NoScript 把WebGL封住就好了 07/03 20:56
→ H45:樓上,這篇是擔心WebGL成為主流,當網路上重要的功能都必須支 07/04 14:18
→ H45:援WebGL的時候,就算裝NoScript能封住,但是也不能享用服務了 07/04 14:19
→ H45:雖然我是持樂觀態度,相信總有什麼辦法可以解決安全性問題 07/04 14:20
→ talan:ActiveX在IE最顛峰時活了那麼久 安全性問題也是不能解決 07/04 15:51
→ talan:甚至微軟自己都消極的讓新版IE預設不啟動 07/04 15:52
→ talan:在網際網路環境上 有一扇通往你電腦最底層的門對外開放 07/04 15:54
→ talan:無論如何都是非常高風險的 07/04 15:55
→ t0042380:是呀,只要這個門沒處理好,就等於是把家裡大門開開… 07/06 09:58