Microsoft hält WebGL für gefährlich

Die Technologie WebGL von Khronos Group wird vom Security Research & Defence Team von Microsoft abgelehnt. Der Standard könne aus Sicherheitsgründen nicht unterstützt werden, heißt es in einem Blogeintrag. WebGL würde es nicht durch den Security Development Lifecycle schaffen, so das Sicherheitsteam.

Konkret nannte Microsoft drei Grundprobleme von WebGL. Dabei werden Hardwarefunktionen zu freizügig fürs Web bereitgestellt, heißt es. Dadurch würde die Sicherheit von WebGL von den Grafikkartentreibern abhängen und es wären auch Angriffe möglich, die aus der Ferne ausgeführt werden können.

DoS-Angriffe und Drittanbieter
Das zweite Problemfeld betrifft die Sicherheitsvorkehrungen der Browser und die Abhängigkeit von Drittanbietern. So können Sicherheitslecks nicht nur in der WebGL-Schnittstelle auftreten, sondern auch in Systemkomponenten. Zwar könne man unsicher eingestufte Hardwarekonfigurationen im Browser sperren, aber diese Sperren würden die Nutzer umgehen, heißt es. Auch Denial-of-Service (DoS)-Angriffe auf das System seien möglich, da die Grafikinfrastruktur für eine Abwehr über Shader und Geometriefunktionen nicht ausgelegt sei.

Microsoft werde WebGL daher zum jetzigen Zeitpunkt nicht unterstützen, heißt es. Der Mozilla-Entwickler Jeff Muizelaar hat in einem Blogeintrag darauf hingewiesen, dass Microsoft mit Silverlight 5 und XNA 3D auf eine Technik setzt, die exakt die gleichen Probleme wie WebGL verursacht.