Microsoft critica WebGL: tecnologia troppo pericolosa

In una nota a firma dei tecnici appartenenti al “Security Research & Defense” di Microsoft, l’azienda ha analizzato la sicurezza di WebGL bollando tale tecnologia come potenzialmente pericolosa. L’adozione di WebGL nei prodotti del colosso di Redmond viene così rimandata snocciolando una serie di aspetti che richiederebbero massima attenzione.
In primis, Microsoft osserva come WebGL offra alle applicazioni web la possibilità di accedere direttamente ed interagire con le risorse hardware. In secondo luogo, eventuali web applications malevole potrebbero avere gioco facile nello sfruttamento di vulnerabilità presenti nei driver delle schede video sviluppati da terze parti. Infine, l’ultima motivazione che ha indotto Microsoft al pollice verso nei confronti di WebGL è che, al momento, i sistemi operativi non offrono alcun livello di protezione nei confronti degli attacchi Denial-of-Service (DoS) sferrati nei confronti delle schede grafiche.

“Riteniamo che WebGL possa diventare una sorgente di vulnerabilità difficili da risolvere. Nella sua forma attuale, WebGL è una tecnologia che Microsoft non può abbracciare valutandone gli aspetti legati alla sicurezza“. Il colosso di Redmond preferisce puntare su Silverlight 5 garantendo anche l’accesso diretto all’hardware.

WebGL è stato più volte al centro di alcuni studi (ved. questo articolo), tutti incentrati a valutarne i rischi d’utilizzo dal punto di vista della sicurezza. Oltre alla possibilità di mettere in campo attacchi DoS, è stato evidenziato come – almeno in Firefox – un malintenzionato possa arrivare a richiedere la generazione di screeshot del contenuto di qualsiasi finestra. In tal modo l’aggressore può – da remoto – verificarne i dati visualizzati e “spiare” le attività dell’utente.
Per adesso, esistono delle implementazioni di WebGL destinate soltanto agli utenti di Mozilla Firefox e di Google Chrome. La tecnologia, le cui specifiche sono ancora in fase di ultimazione, mira a porre nelle mani degli sviluppatori uno strumento per realizzare elementi 3D interagendo direttamente con la scheda video.

Il Khronos Group, responsabile dello sviluppo di WebGL, ha risposto spiegando che le specifiche della tecnologia non sono ancora pienamente definite e che le implementazioni per i vari browser web non sono quelle finali. Il gruppo ha aggiunto, inoltre, che sarà presto attivato un meccanismo capace di offrire un ottimo livello di protezione nei confronti degli attacchi DoS, a patto però che venga supportato dai vari produttori che sviluppano i driver per le schede video.

Anche Apple starebbe per il momento alla finestra ed è piuttosto improbabile che WebGL possa apparire in iOS 5.