http://www.zdnet.com.tw/news/software/0,2000085678,20150244,00.htm 微軟：WebGL是「有害的」 儘管Firefox與Chrome瀏覽器都已經支援WebGL，另外還包括Opera與Safari的開發版本都 有支援，微軟卻表示它並不打算讓Internet Explorer支援這項3D繪圖軟體函式庫，並且 還將它標示為「有害的」技術。 微軟是對的。 注意：Mozilla是WebGL的原始創造者，但是這項計畫現在交由非營利機構The Khronos Group負責。 可別誤會我的目的，你當然可以用WebGL做出很多酷炫的東西，真的很酷，讓Web瀏覽器也 能呈現出與電腦遊戲相當的3D圖形。但問題是你可以用WebGL做出酷炫東西的原因，乃是 因為這項技術讓網站可以直接取用低階的硬體功能，當然也可以用它來做壞事。 微軟很早就清楚列出它對WebGL的擔憂部分： 「WebGL的安全性完全得仰賴系統的較低層（包括OEM驅動程式）能夠保持安全，這些 是以前不需擔心的事」，微軟的工程師宣稱，「先前只會導致本端權限升高的攻擊，現在 卻可能導致遠端入侵。儘管這些風險有機會可以化解，但WebGL所引發的大型攻擊仍舊令 人擔心。」 這些說法有其依據。驅動程式的安全性將是一項重大議題，而且使用者以前的確也不需擔 心這些問題。OEM廠商必須大幅強化其驅動程式，如果系統使用老舊、不安全的驅動程式 的話，就必須要防堵其使用WebGL，直到這些驅動程式更新為止，如果硬體已經停止更新 則要完全禁止其使用。由於Internet Explorer的市場佔有率相當龐大，而且該瀏覽器所 執行的平台非常廣，因此我認為微軟的作法在安全方面是很合理的。 但是微軟自己不是也釋出了ActiveX給信任的Web用戶？的確是如此。Web架構ActiveX控制 是一個非常糟糕的概念，但我認為微軟已經從先前的錯誤中獲得教訓。微軟再也不可能將 類似ActiveX的技術納入到瀏覽器之中，因為目前外界對瀏覽器安全性的監督非常重視。 但是WebGL的問題究竟有多嚴重？安全公司Context已經發現許多與WebGL相關的問題，其 中兩項特別嚴重： 透過記憶體竊取而取得文件內容 阻絕服務攻擊 (DoS) 看起來相當嚴重。整體而言，Context認為WebGL相當糟糕，甚至嚴重到會妨礙設計來保護 使用者不受DoS攻擊的機制： Context的研究發現Khronos建議的DoS問題(WebGL_ARB_robustness)的防護方式根本 沒用。首先，只有特定的晶片組與作業系統（NVidia搭配Windows與Linux）支援這項功能 。此外，這個方法只能夠抑制，而非WebGL DoS問題的完善解決方案。 儘管WebGL的確有一些優點，但缺點卻相當令人擔心。WebGL的安全性肯定會隨時間而改進 ，但微軟目前與它保持距離的作法肯定是正確的選擇。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.24.4.224