Drucksache: windows.developer Magazin 12.2012 - WebGL - harmful, harmlos oder von beidem etwas?
Im windows.developer Magazin 12.2012 ist ein Artikel über die Sicherheit von WebGL erschienen.
Der Artikel ist inzwischen auch online verfügbar: Auf entwickler.de.
Vor etwas mehr als einem Jahr hat Microsoft bekannt gegeben, dass WebGL zu gefährlich sei, um es im Internet Explorer zu unterstützen. Zuvor waren von Context Information Security in zwei Berichten Schwachstellen in WebGL aufgezeigt worden. Wie sicher oder unsicher ist WebGL denn nun wirklich?
Die WebGL-Spezifikation ist, mit Ausnahme der nicht zu beherrschenden DoS-Angriffe, sicher. Das Problem sind die Implementierungen. Insbesondere angesichts der Tatsache, dass WebGL den direkten Zugriff auf die Hardware und damit den Speicher erlaubt. Trauen Sie den Grafikkartenherstellern zu, ihre Treiber wirklich sicher zu machen? Ich habe da gewisse Zweifel.
Und was Microsofts Kritik betrifft: Wer, wenn nicht Microsoft, wäre in der Lage, WebGL für Windows sicher zu machen? Grafikkartentreiber müssen signiert werden, damit sie installiert werden können. Microsoft sitzt also immer am längeren Hebel, wenn es darum geht, deren Entwickler zur Implementierung von Sicherheitsmaßnahmen zu bewegen. Es ist Schade, das Microsoft diese Möglichkeit nicht nutzt. Denn unabhängig davon, ob man nun WebGL nutzen will oder nicht, wäre ein sicherer Grafikkartentreiber immer ein Vorteil.
Erratum
Leider hat sich in der Tabelle auf Seite 91 ein Druckfehler eingeschlichen. Eine PDF-Datei mit der korrekten Tabelle finden Sie hier als PDF.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Rafal Wojtczuk, Joanna Rutkowska: "Following the White Rabbit: Software attacks against Intel VT-d technology" (PDF)
- [2] James Forshaw, Context Information Security: "WebGL - A New Dimension for Browser Exploitation"
- [3] WebGL Specification: "4.4 Defense Against Denial of Service"
- [4] ANGLE Project (Almost Native Graphics Layer Engine)
- [5] Context IS Advisory - Remote Code Execution in Firefox's WebGL Implementation
- [6] HTML5: "4.11.4.3 Security with canvas elements"
- [7] WebGL Specification: "4.2 Origin Restrictions"
- [8] Video des Cross-Domain Image Theft Proof-of-Concepts (AVI)
- [9] Khronos: "WebGL Security"
- [10] ARB_robustness
- [11] James Forshaw, Context Information Security: "WebGL - A New Dimension for Browser Exploitation - FAQ"
- [12] James Forshaw, Paul Stone, Michael Jordon; Context Information Security: "WebGL – More WebGL Security Flaws"
- [13] Microsoft Security Research & Defense Blog: "WebGL Considered Harmful"
- [14] MIX 2011: "Graphics and 3D with Silverlight 5"
- [15] 3-D Graphics Overview - Silverlight and 3D Graphics
- [16] Benoit Jacob, Mozilla Hacks: "Cross-domain WebGL textures disabled in Firefox 5"
- [17] WebGL Specification: "4.2 Origin Restrictions"
- [18] W3C: Cross-Origin Resource Sharing
- [19] Eric Bidelman, Chromium Blog: "Using Cross-domain images in WebGL and Chrome 13"
- [20] Benoit Jacob, Mozilla Hacks: "Using CORS to load WebGL textures from cross-domain images"
- [21] Benoit Jacob: "Some aspects of security that have nothing to do with “sandboxing” and “process separation”"
- [22] Khronos Public Bugzilla: Bug 625 - GL_ARB_robustness contradicts itself
- [23] Henri Astre: "How to bypass WebGL Sop restriction"
- [24] Henri Astre: "How to bypass WebGL Sop restriction v2"
- [25] WebGL Public Wiki - Main Page/cms/security
Trackbacks
Dipl.-Inform. Carsten Eilers am : Grafikkarten-Malware, Metadaten, NSA - Neues zu alten Artikeln
Vorschau anzeigen