微軟：WebGL是「有害的」

看板Browsers (瀏覽器)作者solomn (九米)時間15年前 (2011/07/02 20:34)推噓3(3推 0噓 20→)

留言23則, 15人參與討論串1/1

http://www.zdnet.com.tw/news/software/0,2000085678,20150244,00.htm 微軟：WebGL是「有害的」儘管Firefox與Chrome瀏覽器都已經支援WebGL，另外還包括Opera與Safari的開發版本都有支援，微軟卻表示它並不打算讓Internet Explorer支援這項3D繪圖軟體函式庫，並且還將它標示為「有害的」技術。微軟是對的。注意：Mozilla是WebGL的原始創造者，但是這項計畫現在交由非營利機構The Khronos Group負責。可別誤會我的目的，你當然可以用WebGL做出很多酷炫的東西，真的很酷，讓Web瀏覽器也能呈現出與電腦遊戲相當的3D圖形。但問題是你可以用WebGL做出酷炫東西的原因，乃是因為這項技術讓網站可以直接取用低階的硬體功能，當然也可以用它來做壞事。微軟很早就清楚列出它對WebGL的擔憂部分：「WebGL的安全性完全得仰賴系統的較低層（包括OEM驅動程式）能夠保持安全，這些是以前不需擔心的事」，微軟的工程師宣稱，「先前只會導致本端權限升高的攻擊，現在卻可能導致遠端入侵。儘管這些風險有機會可以化解，但WebGL所引發的大型攻擊仍舊令人擔心。」這些說法有其依據。驅動程式的安全性將是一項重大議題，而且使用者以前的確也不需擔心這些問題。OEM廠商必須大幅強化其驅動程式，如果系統使用老舊、不安全的驅動程式的話，就必須要防堵其使用WebGL，直到這些驅動程式更新為止，如果硬體已經停止更新則要完全禁止其使用。由於Internet Explorer的市場佔有率相當龐大，而且該瀏覽器所執行的平台非常廣，因此我認為微軟的作法在安全方面是很合理的。但是微軟自己不是也釋出了ActiveX給信任的Web用戶？的確是如此。Web架構ActiveX控制是一個非常糟糕的概念，但我認為微軟已經從先前的錯誤中獲得教訓。微軟再也不可能將類似ActiveX的技術納入到瀏覽器之中，因為目前外界對瀏覽器安全性的監督非常重視。但是WebGL的問題究竟有多嚴重？安全公司Context已經發現許多與WebGL相關的問題，其中兩項特別嚴重：透過記憶體竊取而取得文件內容阻絕服務攻擊 (DoS) 看起來相當嚴重。整體而言，Context認為WebGL相當糟糕，甚至嚴重到會妨礙設計來保護使用者不受DoS攻擊的機制： Context的研究發現Khronos建議的DoS問題(WebGL_ARB_robustness)的防護方式根本沒用。首先，只有特定的晶片組與作業系統（NVidia搭配Windows與Linux）支援這項功能。此外，這個方法只能夠抑制，而非WebGL DoS問題的完善解決方案。儘管WebGL的確有一些優點，但缺點卻相當令人擔心。WebGL的安全性肯定會隨時間而改進，但微軟目前與它保持距離的作法肯定是正確的選擇。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.24.4.224

→

solomn

07/02 20:35, , 1^F

07/02 20:35, 1^F

→

kira925

07/02 20:47, , 2^F

07/02 20:47, 2^F

→

parislove3

07/02 21:46, , 3^F

07/02 21:46, 3^F