Back to site
Since 2004, our University project has become the Internet's most widespread web hosting directory. Here we like to talk a lot about web development, networking and server security. It is, after all, our expertise. To make things better we've launched this science section with the free access to educational resources and important scientific material translated to different languages.
← previous index next →
Source: http://jonpeddie.com/blogs/comments/webgl-security-kill-it-before-it-grows/

WebGL de securitate - Kill-l înainte de a creşte?

Adăugată pe site de Jon Peddie, pe 29 Iunie 2011 | 3 Comentarii şi 23 Reacţiile
Categorii: Blog-uri, crearea de continut, Mobile
Tag-uri: 3d khronos OpenGL Microsoft webgl securitate shaders browsere contextul

Atunci când Khronos lansat caietul de sarcini WebGL cu suport puternic din partea Mozilla, Google, Apple si Opera ne-am gândit cel puţin de pace a venit la vale web 3D. Noi ar fi trebuit să ştie mai bine, se pare că există interese concurente în software-ul proprietar şi plug-in-uri care va pune un umflaturi câteva în drum în călătoria WebGL la omniprezenţa.

Săptămâna trecută ni sa spus de către Microsoft, dezvoltatorii de Silverlight, care WebGL este un gigant pipi-gaura în care orice se poate turna yahoo viruşi, Parodii, şi chiar atacuri de tip DoS - ACK! Cerul este în scădere Run Run Run.

Într-un post de James Forshaw de context, "o firmă de consultanţă independentă de securitate a informaţiilor", în Londra, se sugerează WebGL este un mare semn mare întâmpinăm la toate nemulţumiţi şi scriitori malware codul de pe web, pe care le presupune, în numărul de milioane de oameni.

Unii au sugerat că trebuie să fie WebGL reproiectat de la sol până motive de securitate.

Contextul de vedere al vulnerabilităţii a conductei grafice (Context sursa)

Khronos cum aţi putea aştepta, a răspuns la aceste preocupări. Vezi Khronos "este faptul că orice capacitate nouă de browser expune noul cod, care în mod inevitabil, trebuie să fie întărit. Orice capacitate GPU accelerată - fie că este vorba HTML, prelata, WebGL, muşuroi de cârtiţă Adobe, Silverlight 5, etc - va necesita drivere grafice care urmează să fie întărit. Acesta este un proces inevitabil, care trebuie să fie gestionate cu atenţie - şi WebGL este tehnologia dreptul de a vârful de lance al acestui proces, deoarece are sprijinul a browser-ului şi a comunităţilor GPU.

Khronos spune că ei ar dori să primească Context şi / sau să se alăture Khronos Microsoft pentru a ajuta industria de a avansa pe grafica securizat, accelerată pentru Web.

De ce are acest venit?

Se pare un pic suspect că blog de Microsoft a apărut în aceeaşi zi ca un raport de securitate context, că era prea de trimitere. De ce ar fi Microsoft face un astfel de lucru? Unii suspectează că, Silverlight 5 va include 3D pe care unii nu doriţi să vedeţi WebGL deveni utilizate pe scară largă.

Teorii ale conspiratiei deoparte, Context au ridicat două probleme valabil care urmează să fie abordate de implementarile WebGL ca industria trece prin procesul de intarire. Context demonstrat că un program shader ar putea pună în aplicare o buclă care ar putea fi utilizate să reconstituie aproximativ o imagine din alt domeniu - o gaură gravă securitate potenţial. Khronos avut anterior dezbătut privind lista sale discuţii deschise dacă aceasta era o posibilitate reală-lume şi odată exploateze fost demonstrată prin Context lucrat rapid cu grupul WHATWG lucru să mandateze spec. CORS în atât Specificatii HTML şi WebGL să servere sigur trebuie să în mod explicit să permită accesul la mass-media active în diferite domenii.

Doilea motiv de îngrijorare valabil invocat de context este faptul că un program de shader WebGL poate, în mod deliberat sau nu, să ia o lungă perioadă de timp pentru a executa, cauzand placa grafică şi de sistem să devină nu răspund, în mod eficient un atac DoS. Khronos este deplin conştient de această şi a postat o hârtie securitate albă că explică modul grupul a dezvoltat extensii ARB robusteţea să permită un sistem de recupera curat de o astfel de situaţie şi discutat alte aspecte securitate: http://www.khronos.org/ webgl / securitate /

Confuzia în industrie ca incepem acest proces durificare

Deoarece comentariile Context rapoartele obţine relatat pe larg în presă - există o anumită sumă de neînţelegere în jurul valorii de ceea ce shaders GPU sunt, şi nu sunt, în afara capabil - care să conducă la unele temeri destul de isteric despre programele de Shader suprascrierea unitatea de disc şi altele asemenea. Desigur, shadere GPU-ului sunt mult mai limitate în capacitatea lor decât de exemplu, JavaScript care rulează pe CPU principal. Programele Shader poate executa doar un mic set de operaţiuni care se invart in jurul valorii de culori de calcul şi poziţii vertex shader WebGL şi sunt mult mai restrânse decât shaders OpenGL (de exemplu, nici un flux dinamic de control, etc) pentru a creşte portabilitate. În plus, implementari WebGL valida shadere pentru a se asigura nu există nici o modalitate de a accesa memorie ilegal / arbitrar.

Este clar că trebuie să educe continuu WebGL industriei de tehnologia şi procesul de desfăşurare aici. Următorul pas este ca Khronos pregăteşte un iminent WebGL 1.0.1 de presă care ii va rezolva bug-uri in testele de conformitate actuale şi strângeţi şuruburile de pe rezolvarea oricăror probleme de securitate care au apărut. 1.0.1 ar trebui să înceapă potolind temeri în industrie ca spec. va lua o poziţie de 100% robust privind securitatea şi implementările care au trecut de testele de conformitate va fi capabil de a elimina "experimentale" de la getContext ("webgl") de interogare - de conţinut care încrederea de care au se execută pe o punere în aplicare WebGL securizat.

Ce credem noi?

Preocupare de securitate de bază este că şoferii grafice sunt expuse la Web într-un mod mai direct decât înainte - ceea ce este adevărat - şi vor avea nevoie să fie întărit. Dar asta e valabil WebGL, Adobe Flash, Silverlight si panza. Dacă nu putem expune orice drivere grafice pentru web - noi nu poate avea niciun element de grafică GPU în browser-ul - şi că nu se va întâmpla.

Khronos are dreptul de atitudinea că acesta este un proces inevitabil, care trebuie să fie administrat cu atenţie. Acesta este motivul pentru Khronos este exact locul unde WebGL trebuie să fie dezvoltat-avem nevoie de vânzătorii de GPU-ului şi a browser-ului de lucru cot la cot pentru a vă asigura browsere şi drivere grafice lucra împreună pentru a asigura securitatea globală.

Dacă aceste rapoarte de securitate sunt tactici frotiu atunci nu au de lucru, intotdeauna intoarce impotriva ta, şi dacă sponsorizat de Microsoft va face mai mult pentru a discredita compania decât de ajutor. Consumatorii sunt mult mai deştept decât astăzi producatori prea multe pentru a le da de credit. Şi, după cum sa dovedit în Orientul Mijlociu, comunicarea între colegi şi prieteni este la viteza luminii. Există o grămadă de oameni destepti din Khronos şi acest lucru nu este pentru prima data de la BAT. Ei cunosc problemele, ştiu cum să se ocupe cu ei şi ei vor. Dacă Contextul este în căutarea de PR, vă sugerăm o cale mai bună ar fi fost pentru ei să-au luat preocupările acestora direct la Khronos. Şi dacă Contextul este cu adevărat în serios interesaţi şi de mişcare în industria înainte acestea ar trebui să se alăture şi să ajute Khronos remedia orice problemele pe care le descoperi.

Cu toate acestea - problemele de securitate şi de bug-uri apar întotdeauna - astfel vom fi uitam cu atentie pentru a vedea cum Khronos gestionează situaţia. Pe termen scurt atunci când apar probleme vânzătorii de browser sunt menţinerea liste albe şi negre astfel încât sistemul compromis poate avea WebGL dezactivat până când este dezvoltat de atenuare. Pe termen mai lung ne aşteptăm GPU-uri va oferi din ce în ce securitate robustă şi multi-tasking, pentru a permite GPU-ului pentru a deveni cu adevărat o platformă de primă clasă alături de calcul procesoare.

Published (Last edited): 06-09-2011 , source: http://jonpeddie.com/blogs/comments/webgl-security-kill-it-before-it-grows/
← previous index next →