Khronos verteidigt WebGL gegen Microsoft-Angriff

Ralf Müller,
BrowserSicherheitSicherheitsmanagementSoftwareWorkspace

Neulich noch sammelte Khronos fleißig Supporter für seinen Standard (wir berichteten), doch jüngst zogen Microsoft und Context ihre Unterstützung zurück und meldeten Zweifel an der WebGL-Security an. In einem Blog-Beitrag namens »WebGL considered harmful« kritisierte der Softwarekonzern ganz offen den Grad an Zugang, den der Standard Programmierern auf die Hardware des Kunden gewähre. Damit gebe man zu viel Verantwortung für die Systemsicherheit in die Hände Dritter. Hier werde eine Einflugsschneise für DDoS-Angriffe aufgemacht, befürchtet Microsoft und beschimpft WebGL als keine Technologie, die man willkommen heißen könne.

Kurz vor der Microsoft-Attacke hatten die Spezialisten von Context Information Security einen Bericht über den WebGL-Standard veröffentlicht. Darin wurden seriöse Designschwächen angekreidet, die das Risiko für den Nutzer erhöhe. Aufgeschreckt durch diesen Bericht hat sich sogar die Organisation US-CERT diesem Thema zugewandt und untersucht seinerseits nun, ob WebGL zu unsicher sei.

In den aktuellsten Varianten von Google Chrome und Mozilla Firefox ist der Support für WebGL bereits integriert, was zum Beispiel Grafikprozessoren ein direktes 3D-Rendering ohne weiteres Plugin erlaubt. Genau diesen Punkt kritisiert der Context-Bericht.

Angesichts dieser geballten Vorwürfe hat sich die Khronos Group nun zu Wort gemeldet. Deren Sprecher Jonathan Hirshon betont, dass man sich die Kritik zu Herzen nehme und die aufgezeigten Schwächen nun untersuche respektive zu beseitigen suche. Hirshon schiebt aber auch gleich einen Teil des Schwarzen Peters weiter: »Den möglichen Diebstahl eines Fensters auf dem Desktop verdanken wir allerdings der Art und Weise, wie Firefox den WebGL-Standard implementiert hat.«

Er verweist auch darauf, dass diese spezielle Schwäche am 26. Mai bekannt gegeben wurde und in der gerade veröffentlichten Beta-Version von Firefox 5 schon bereinigt sei. Zudem würden sich einige der Kritikpunkte auf Implementationen beziehen, die längst veraltet seien. »Und manche der vermeintlichen Schwächen basieren nur auf Vermutungen«, schiebt Hirshon noch nach.

Lesen Sie auch :

Chrome, Edge und Safari: Chinesischer Hackerwettbewerb deckt Zero-Day-Lücken auf

Mozilla Firefox: Anwender sollen detaillierter über Tracking informiert werden

Google Chrome: neues Feature blockiert künftig ressourcenfressende Anzeigen