mboost-dp1

newz.dk

US-CERT advarer mod at bruge WebGL

- Via V3 - , redigeret af Emil

For at accelerere 3D-grafik i en browser understøtter de fleste af disse standarden WebGL fra Khronos Group. Den amerikanske sikkerhedsorganisation US Computer Emergency Readiness Team (US-CERT) er dog ikke specielt begejstrede for WebGL.

Problemet ligger i, at WebGL ifølge US-CERT har alt for tæt adgang til hardwaren i GPU’erne. Dette åbner eksempelvis op for DoS-angreb mod brugerne ved brug af shaderprogrammer lavet til formålet, eller ved simpelthen at belaste GPU’en så meget, at den ikke har kræfter tilbage til at andre opgaver.

US-CERT anbefaler derfor, at man slår WebGL muligheden fra i sin browser, der er slået til som standard i bl.a. Chrome og Firefox.

US-CERT skrev:
US-CERT is aware of reports indicating that WebGL contains multiple significant security issues. The impact of these issues includes arbitrary code execution, denial of service, and cross-domain attacks. WebGL is a new web standard that is enabled by default in Firefox 4 and Google Chrome and is included in Safari.

Khronos Group mener ikke umiddelbart, der er et problem, så længe man bruger et grafikkort, der understøtter GL_ARB_robustness-funktionen. GL_ARB_robustness kan beskytte mod DoS-angreb, men kan i sig selv medføre ustabilitet, da det gøres ved at lave en reset af grafikkortet.

En mere detaljeret gennemgang af problemstillingen kan findes hos Context.





Gå til bund
Gravatar #1 - Yenzen
12. maj 2011 13:32
Men hvilke alternativer er der?

Kunne der tænkes at man kunne gøre det sådan at man skulle godkende det i browseren hvis webGL skulle afvikles hver gang?
Gravatar #2 - HenrikH
12. maj 2011 13:54
Nyhed: US-CERT anbefaler at man ikke går på internettet, da man derved åbner ens computer for potentielle angreb...

>_<
Gravatar #3 - jakobdam
12. maj 2011 13:55
Ja, lad os sandbox'e og virtualisere alt, og kyle så mange fortolkningslag ind om muligt og umuligt.

Så får vi en moderne i7'er til yde som en 486 DX2'er.

Er løsningen så java? Som web applet må/kan den ikke accellereres i hardware. Det gør at grafikopgaver såsom rotation, partikler, fade/opacity changes osv. bliver ligeså langsomt og tørt, som go gammeldaws hardware rendering i DOS 6.22.


#2 >>
Word up, der! :)
Gravatar #4 - marcussen
12. maj 2011 14:48
Kan java script, flash etc. ikke også overbelaste cpu'en?
Gravatar #5 - HerrMansen
12. maj 2011 17:39
marcussen (4) skrev:
Kan java script, flash etc. ikke også overbelaste cpu'en?


Ikke til det punkt at maskinen holder op med at respondere, hvilket jo er hvad US-CERT advarer imod. Programmer/scripts der udnytter at de kan få så meget adgang til de fysiske resourcer at selve maskinen begynder at fejle.

Det er jo et spørgsmål om rettigheder og reserverbar overhead osv..
Gravatar #6 - HenrikH
13. maj 2011 08:50
#5: Syns nu nok Flash kunne få min bærbare til at gå i brædderne da den kørte XP >_<

5 tabs med en god gang flash i hver, og så var der næsten ikke andet at gøre, end holde power-knappen nede i 5 sekunder >_<
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login