Tech­no­lo­gia WebGL po­zwa­la­jąca na ren­de­ro­wa­nie trój­wy­mia­ro­wej grafiki w prze­glą­dar­kach jest z nami obecna już od kilku miesięcy. Jej spe­cy­fi­ka­cja ukazała się w marcu bie­żą­cego roku, zaś sama tech­no­lo­gia jest ob­słu­gi­wana w prze­glą­dar­kach Firefox oraz Google Chrome. Już niedługo będziemy mogli ko­rzy­stać z jej do­bro­dziejstw szpe­ra­jąc w sieci z użyciem Safari oraz Opery. Niestety WebGL — mimo iż jest dużym skokiem tech­no­lo­gicz­nym — jest też bardzo dziurawy, co mocno nad­szarp­nęło jego re­pu­ta­cję (choć może to słowo nie jest zbyt ade­kwatne w od­nie­sie­niu do tak młodej tech­no­lo­gii).

Jedną z luk w im­ple­men­ta­cji WebGL dla prze­glą­darki Firefox 4 odkryli bry­tyj­scy badacze z Context In­for­ma­tion Security. Wykazali oni, że możliwe jest wy­kra­da­nie pamięci z uru­cho­mio­nego okna prze­glą­darki, co w praktyce prze­kłada się na prze­chwy­ty­wa­nie zrzutów ekra­no­wych z działań użyt­kow­nika. Ata­ku­jący może tworzyć scre­en­shoty całej za­war­to­ści Firefoxa 4 — nie tylko za­war­to­ści bez­po­śred­nio po­wią­za­nej z WebGL-em.

Bry­tyj­scy badacze już jakiś czas temu ostrze­gali przed po­ten­cjal­nymi lukami kry­ją­cymi się w im­ple­men­ta­cji WebGL. Wykazali oni w po­przed­nich ba­da­niach, że przez prze­glą­darkę z obsługą nowej tech­no­lo­gii można tak prze­cią­żyć kartę gra­ficzną, aby na ekranie kom­pu­tera z Win­dow­sem 7 na po­kła­dzie pokazał się BSOD (nie­bie­ski ekran śmierci). Badacze udo­wod­nili także, że dzięki funkcji Cross Domain Textures możliwe jest łamanie za­bez­pie­czeń do­ty­czą­cych pry­wat­no­ści w Fi­re­fo­xie 4. W piątej wersji liska tech­no­lo­gia cross-domain ma zostać wy­łą­czona. Według James Forshawa z firmy Context, WebGL otworzyć ma drogę do „cy­be­ra­ta­ków nowego rodzaju”; James zaleca wy­łą­cze­nie obsługi WebGL w prze­glą­darce in­ter­ne­to­wej. Jeśli więc oba­wia­cie się o swoje bez­pie­czeń­stwo, to obsługę WebGL-a można wyłączyć wpisując w pasku adresu: about:config, a na­stęp­nie usta­wia­jąc wartość webgl.disabled na true.

Problemy z tech­no­lo­gią WebGL do­strzegł także Gigant z Redmont. Firma Mi­cro­soft pomimo ogrom­nego wysiłku wkła­da­nego w udo­sko­na­la­nie prze­glą­darki Internet Explorer (IE9 używa obecnie około 1,9% polskich in­ter­nau­tów, a więc cały wysiłek idzie raczej na marne — dane: Ranking Gemius) nie im­ple­men­tuje do swojego produktu tech­no­lo­gii WebGL. Co więcej Mi­cro­soft twierdzi, że póki WebGL nie stanie się bez­piecz­nym stan­dar­dem, dopóty nie umożliwi jego użyt­ko­wa­nia w Internet Explo­re­rze.

Mi­cro­soft twierdzi, że WebGL wystawia na nie­bez­pie­czeń­stwo cały system ope­ra­cyjny. O ile do­tych­czas nie mu­sie­li­śmy martwić się o to, że wy­ko­rzy­stu­jąc naszą kartę gra­ficzną haker mógłby zechcieć przejąć pewne dane z naszego kom­pu­tera, o tyle teraz jesteśmy na to narażeni. Wynika to z faktu, że WebGL operuje na niższych po­zio­mach systemu, na przykład ste­row­ni­kach, nad którymi będzie można przejąć kontrolę. Do­tych­czas nie mar­twi­li­śmy się tym, jednak teraz wychodzi szydło z worka i jak twierdzi Mi­cro­soft ste­row­niki nie są „do­pa­so­wane” do stan­dardu WebGL.

Firma z Redmond dodaje także, że istotnym pro­ble­mem samej tech­no­lo­gii jest wy­sta­wia­nie po­ten­cjal­nego użyt­kow­nika na ataki typu DoS. Luki w WebGL umoż­li­wiają za­wie­sza­nie całego systemu ope­ra­cyj­nego czy nawet sa­mo­czynne jego re­star­to­wa­nie się. Mi­cro­soft pisze na swoim blogu, że tech­no­lo­gia WebGL jest nie­do­pra­co­wana i stanie się źródłem pro­ble­mów dla firm ją im­ple­men­tu­ją­cych i zwykłych użyt­kow­ni­ków. Będzie ona wymagać ciągłego łatania, a Mi­cro­soft nie zamierza wspierać tak nie­bez­piecz­nej, nie­do­pra­co­wa­nej tech­no­lo­gii webowej.

Można kłócić się z decyzją Mi­cro­so­ftu, który sam wy­pusz­cza łaty do swoich pro­duk­tów z dużym opóź­nie­niem. Nie­któ­rzy z Was zapewne wytkną Mi­cro­so­ftowi, że odwraca się plecami od open-source’owej tech­no­lo­gii — całkiem możliwe. Nikt jednak chyba nie za­prze­czy, że dziurawy WebGL jest łakomym kąskiem dla tak potężnej firmy. Jestem pewien, że do badań Contextu odniosą się niedługo także Apple oraz Opera Software.