最近微软引用了两份分析WebGL中安全弱点的报告,以此作为不支持WebGL的主要原因,尽管Google、Mozilla、Opera和Apple都支持这种3D图形标准。
HTML5的Canvas元素让开发者可以使用不同的渲染引擎来编写图形程序,WebGL就是其中的一种,它基于Khronos小组管理的 OpenGL驱动、针对硬件加速3D渲染的规范创建,当前Google Chrome、Mozilla Firefox、Opera以及Safari的每日构建版本中都已经实现了该规范。 WebGL 1.0是在2011年2月份发布的,但Chrome早在一年前就已经支持它了。
唯一一家没有使用WebGL的主要浏览器厂商就是微软。尽管我们可以使用Google的ANGLE,它会把对WebGL的API调用转换为等价的 DirectX调用,但那并非是一种本地解决方案,如果Windows能够对WebGL提供本地支持,那会更加合适,但是Windos并未提供这种支持,而且,微软声称,他们不会采用WebGL,因为它存在安全漏洞。
微软对WebGL的安全缺陷的抱怨基于Context Information Security编写的两份报告: 《WebGL浏览器开发的新维度(WebGL – A New Dimension for Browser Exploitation)》和《WebGL更多WebGL安全缺陷(WebGL – More WebGL Security Flaws)》。这两份报告说明了在WebGL中发现的一些安全问题,像易于受到DoS攻击、跨域的图像窃取,以及Firefox实现中的一个bug,那让攻击者可以窃取用户的数据。
Khronos已经对Context的第一份报告作出响应,建议用户使用GL_ARB_robustness扩展来解决问题,“已经有一些GPU厂商部署了该扩展,而Khronos期望其他厂商也能够尽快部署,”以此作为针对DoS攻击的解决方案。关于跨域图像窃取,他们说到:
