微软产品不会支持WebGL标准 担心安全

IE9改进了IE浏览器的标准支持，IE10则继续走在这条道路上，增加了许多新标准特性。但微软有一样东西没有碰，那就是在浏览器中实现3D的新技术WebGL，它所用的API是基于OpenGL API。 微软安全工程师在博客上解释了他们为什么不采用WebGL视频标准：担心安全。 微软指出，WebGL暴露了太多敏感的、拥有优先权的、未强化安全的代码，容易遭受DDoS之类的攻击。微软对加入WebGL支持后的产品很难通过微软内部关于Security Development Lifecycle的要求，而潜在的安全问题主要由于WebGL自身的设计缺陷，不太可能在短期内解决。不支持WebGL的主要原因如下： —浏览器支持WebGL会使显卡硬件底层功能直接暴露在恶意代码或Web应用程序面前。 —如WebGL自身不作出改变，提升此方面安全性将过于依赖于及时更新显卡驱动，由于缺乏类似Windows Update的及时更新系统，OEM厂商和不少用户很难做到这一点。这种缺乏保安措施的现状会让WebGL在面对攻击时束手无策。 —有问题的系统DoS脚本会直接使系统死机或重启，大多显卡以及显卡驱动在设计时并不考虑安全问题，而将相关安全问题交由操作系统完成。但浏览器沙盒跳过了这一环节默认WebGL可以被安全执行，这会使脚本取得跨域名的执行权限，甚至取得访问本地文件的权限。

通过WebGL发动攻击的机制示意图

目前WebGL技术已在Firefox和Chrome等浏览器中实现，并被默认开启。安全专家建议，用户应该在浏览器中关闭WebGL，直到WebGL标准作出相应修正解决这一安全问题。不过这似乎已经是WebG架构设计的问题，不太可能在短期内解决。

标签:IE相关视频安全微软标准WebGL