18

WebGL to wielka dziura w zabezpieczeniach. Microsoft nie chce go wspierać

Da się zauważyć, że jestem wielkim zwolennikiem wszelkich rozwiązań bazowanych na „chmurze”. Do tego stopnia, że z niecierpliwością czekam, gdy również gry przeniosą się do sieci, bez pośrednictwa narzędzi takich jak STEAM – wykorzystując przeglądarkę. Jednak aby tak się stało, wspierana sprzętowo grafika 3D dla aplikacji sieciowych to absolutna konieczność. Niestety, Microsoft ma rację wskazując […]

Da się zauważyć, że jestem wielkim zwolennikiem wszelkich rozwiązań bazowanych na „chmurze”. Do tego stopnia, że z niecierpliwością czekam, gdy również gry przeniosą się do sieci, bez pośrednictwa narzędzi takich jak STEAM – wykorzystując przeglądarkę. Jednak aby tak się stało, wspierana sprzętowo grafika 3D dla aplikacji sieciowych to absolutna konieczność. Niestety, Microsoft ma rację wskazując poważne niebezpieczeństwa jakie niesie za sobą WebGL i każde podobne rozwiązanie.

We wpisie na blogu Microsoftu zajmującym się bezpieczeństwem, wskazano kilka najważniejszych problemów z bezpieczeństwem WebGL:

  • WebGL daje aplikacjom sieciowym dostęp do niższych warstw systemu – sprzętu i sterowników – w zbyt swobodny według Microsoftu sposób. Problemem są zwłaszcza sterowniki – wymagania stawiane przed nimi dotychczas, mają niewiele wspólnego z zagrożeniami na jakie wystawia je WebGL. Dlatego, ataki mogą zaowocować przejęciem pełnej kontroli nad systemem.
  • Nie istnieje w tym momencie uniwersalny mechanizm aktualizacji sterowników dla kart graficznych, a ataki nie muszą bazować na błędach w API WebGL – mogą również wykorzystywać błędy obecne w sterownikach i samym sprzęcie. Nawet wydanie aktualizacji sterownika, gdy użytkownicy nie są przyzwyczajeni do regularnego pobierania nowych i nie jest to zautomatyzowane, oznacza, że będą narażeni na już okryte ataki bardzo długo.
  • Ani współczesne systemy operacyjne (Windows? ;), ani podsystemy graficzne nie były projektowane, aby bronić się przed atakami wymierzonymi w kartę graficzną – dlatego prawdopodobnie istnieje możliwość zablokowania lub zrestartowania systemu korzystającego z WebGL.

Microsoft nie kocha WebGL i ma sporo powodów dla których może uznawać je za zagrożenie. Choćby dlatego, że jak na razie nie widać choć cienia dowodu, że ma własną koncepcję na wykorzystanie chmury – kopiuje cudze rozwiązania. Na dokładkę, WebGL i stojący za jego powstaniem trend za klika lat może zagrozić innym produktom MS, takim jak DirectX, czy xBox. Mimo to przytoczone wyżej argumenty mają swoją wagę i są dla mnie przekonujące.

Nie wierzę, aby powstrzymało to dalszy pęd w kierunku chmury, ponieważ przenoszenie usług – w tym gier – do sieci ma zalety tak z punktu widzenia producentów oprogramowania jak i użytkowników. Eliminuje piractwo, w dużej mierze rozwiązuje problem aktualizacji oprogramowania i po pokonaniu bariery jaka stanowi nowe środowisko (HTML5+JS), może uprościć dewelopment, czyniąc aplikacje i gry w dużej mierze niezależnymi od systemu i sprzętu.

Jednak – jak widać – nie ma róży bez kolców. Nie poradziliśmy sobie jeszcze z atakami na oprogramowanie, a WebGL odsłania dziury w zabezpieczeniach sterowników i sprzętu.

Zastrzeżenia Microsoftu nie powstrzymają trendu, ale producenci sprzętu, sam Microsoft i twórcy WebGL, powinni zdawać sobie sprawę z tego, że otwiera się własnie nowy front w walce z włamywaczami.