Soutenez-nous

La fondation Mozilla s'attaque aux critiques de Microsoft contre WebGL
Et estime que Silverlight 5 s'expose aux mêmes risques

Les rubriques (actu, forums, tutos) de Développez
Réseaux sociaux


 Discussion forum

Retrouvez le dossier complet de la rédaction
Sur le même sujet
Le , par Idelways, Expert Confirmé Sénior
Mise à jour du 20/06/2011

Mozilla réagit à la polémique produite par la récente déclaration assassine de Microsoft contre WebGL, le standard Web de production de graphiques 3D accélérés par la carte graphique.

Mike Shaver, vice-président de la stratégie technique de la fondation, rejette en bloc les critiques de Microsoft en raison desquelles l'entreprise annonce n'avoir aucune intention d'implémenter WebGL sur Internet Explorer (lire ci-devant pour plus de détails sur l'annonce de Microsoft)

Pour Shaver, la question relevée par Microsoft ne se pose même pas quant à la nécessité des capacités 3D pour Web. Il rappelle que c'est justement ce que font le plug-in Silverlight (dans sa version 5) et Molehill, le moteur 3D d'Adobe Flash, qui s'exposent aux mêmes risques que ceux soulevés par Microsoft en permettant au code téléchargé de manipuler des parties sensibles du système.

Mike Shaver estime que tout ajout de nouvelles fonctionnalités à une pile logicielle expose les parties existantes aux contenus potentiellement hostiles, un passage obligatoire qu'ont dû endurer selon lui les « moteurs des polices de caractères, les codecs vidéo, les bibliothèques [de rendus] des images... »

Le temps serait donc venu pour que les pilotes graphiques passent la même épreuve.

Ces risques inévitables seront par la suite « modélisés, compris et atténués » reprend-il, prenant pour exemple les stratégies employées par le navigateur Firefox qui se prive par exemple de l'utilisation de certains pilotes graphiques blacklistés.

L'implémentation de WebGL sur Mozilla Firefox, somme toute expérimentale, vérifie en outre la validité du code source des Shaders, et interdit depuis la version 5 le téléchargement des textures à partir d'un domaine autre que celui qui sert le JavaScript qui les appelle.

Des mesures appelées à être renforcées par d'autres en vue de rendre WebGL une « plateforme plus robuste », promet Mike Shaver qui invite Microsoft à s'engager dans le monde WebGL avant de sceller son sort.

Source : blog de Mike Shaver

Et vous ?

Que pensez-vous des contre arguments de Mike Shaver ?
Quelle position vous convainc-t-elle le plus quand à WebGL ? Celle de Microsoft ou celle de Mozilla ?

Microsoft rejette le standard WebGL jugé « dangereux »
Suite à la découverte de multiples failles critiques sur Firefox

L'avenir du standard WebGL sur Internet Explorer s'annonce très incertain.

Microsoft rejette ce standard d'affichage 3D pour le Web, au moins dans sa forme actuelle qu'il juge « dangereuse » dans une dépêche faisant suite à la découverte de plusieurs nouvelles failles critiques sur l'implémentation de Mozilla Firefox.

Des failles qui pourraient être présentes sur Google Chrome également.

Sur le blog de recherche en sécurité et défense, l'équipe MSRC de Redmond affirme que « le support de WebGL dans les navigateurs expose directement des fonctionnalités du hardware au Web d'une manière que nous considérons comme trop permissive ».

Concrètement, la principale critique de Microsoft à ce standard est qu'il risque de permettre aux pirates de s'attaquer aux faiblesses des pilotes graphiques d'une manière que les navigateurs ne pourront pas atténuer.

Microsoft prend à témoin un rapport de sécurité alarmant, publié hier par la firme de sécurité Context. Ce rapport identifie plusieurs failles de sécurité de ce standard initié par la fondation Mozilla et maintenu à présent par le groupe Khronos.

L'une de ces failles permet le vol de captures d'écran sur Firefox par corruption de mémoire :



Actuellement seuls Firefox et Chrome offrent un support avancé de WebGL, mais ces navigateurs « doivent exposer des parties de bas niveau du système d'exploitation, qui ne pouvaient pas être jusque-là directement exposées aux pages web potentiellement malicieuses », affirment les experts de Context James Forshaw, Paul Stone et Michael Jordon.

De son côté, le groupe Khronos tente de minimiser ces inquiétudes en affirmant que « tous les éditeurs de navigateurs travaillent actuellement pour réussir la suite [des tests] de conformité de WebGL », rejetant ainsi la faute sur les implémentations actuelles, encore immatures.

Khronos fait savoir en deuxième lieu que la faille des captures d'écran sus-citée provient d'un bug de l'implémentation de Firefox ayant été corrigé sur Firefox 5 qui sortira le 21 juin prochain.

Des arguments qui ne convainquent pas Microsoft qui refuse d'assumer un standard « qui deviendra une source permanente de vulnérabilités très difficiles à corriger ».

Microsoft doute de ce fait que WebGL puisse passer les exigences de sécurité de son cycle de développement.
Et prouve encore une fois à travers cette prise de position que le respect des standards n'est jamais sa priorité quand il menace la sécurité des utilisateurs.

Source : Microsoft, Context

Et vous ?

Que pensez-vous de cette décision de Microsoft ?
L'avenir de WebGL est-il menacé d'après vous ?


 Poster une réponse

Avatar de Sergejack Sergejack
Membre émérite
le 23/06/2011 17:29
"Attention le site que [blablabla...] technologie webGl [blablabla...] potentiellement dangereux [blablabla...] si vous faites confiance [blablabla...] cliquez [blablabla...] ne plus poser cette question [blablabla...]"

Rien de neuf dans ce qui peut être entreprit en toute simplicité par les développeurs de navigateur sinon le terme webGL.
Il ne leur reste plus qu'à y songer.

C'est pas pire qu'une applet java ou qu'un https dont le certificat n'est pas/plus valide/vérifiable.
Avatar de oxyde356 oxyde356
Membre émérite
le 24/06/2011 10:19
Au premier abord cet article m'a fait sourire, bien que n'ayant rien contre les stratégies de M$ qui font quand même pas mal bouger les lignes (sans directx, opengl serait surement encore à la version 2.0 et encore), j'ai quand même cru à de la mauvaise fois au début sur leur propos de WebGL pour favoriser leur solution SilverLight. En y pensant mieux il est vrai que c'est vraiment très dangereux de laisser un accès au matériel, un shader mal codé, une boucle infini et vous êtes bon pour redémarrer votre machine, et même si ce shader marche sur la plupart des machines il fera peut-être planter la votre.
Quelqu'un a parler plus loin, du fait que les constructeurs devront d'abord sécuriser les drivers, ce qui n'est pas possible, il n'est pas possible de savoir si un shader fera planter la carte graphique tant qu'il ne l'aura pas réellement fait planter, et le drivers ne va pas émuler la carte graphique pour vérifier cette hypothèse. Ajouter une couche sécurité c'est quasiment perdre l'intérêt d'avoir une carte graphique si on peut dire.
En conclusion il est vrai que le seul moyen viable est d'avoir une surcouche qui elle est sécurisé, mais forcément bien plus limitée, une sorte de silverlight en gros :s même s'ils peuvent aller se fai... pour que je l'installe
Avatar de sylvain230 sylvain230

le 24/06/2011 11:16
Cela vient de sortir. Silverlight 5 n'est pas du tout sécurisé pour WebGL.

http://www.readwriteweb.com/hack/201...ht-has-the.php

A lire ^^
Avatar de stardeath stardeath
Expert Confirmé
le 24/06/2011 11:36
c'est marqué comme résolu:

http://connect.microsoft.com/VisualS...-vulnerability
Avatar de Djakisback Djakisback
Membre Expert
le 14/07/2011 1:00
Salut Don Quiche,
je reviens sur ton post car je ne vois toujours pas la différence entre WebGL et des plugs comme Flash ou autres au niveau secu.

Ce que tu veux dire c'est que par exemple pour Flash, seule Adobe touche aux parties sensibles alors que pour WebGL n'importe qui a un accès pratiquement direct aux fonctions GL ?
Avatar de DonQuiche DonQuiche
Expert Confirmé
le 14/07/2011 6:29
Citation Envoyé par Djakisback  Voir le message
Salut Don Quiche,
je reviens sur ton post car je ne vois toujours pas la différence entre WebGL et des plugs comme Flash ou autres au niveau secu.

Ce que tu veux dire c'est que par exemple pour Flash, seule Adobe touche aux parties sensibles alors que pour WebGL n'importe qui a un accès pratiquement direct aux fonctions GL ?

Salut. Oui, en gros, c'est bien résumé.

C'est un peu la même différence qu'entre
* Dessine-moi un mouton <ci-joint mouton.3ds contenant la liste des points, leur coordonnées de textures et les textures>
* Active le flag bidule, désactive le flag machin, tiens crée-moi un VBO de 700 sommets, puis...

Du moins c'est vrai pour Flash 10. Mais Flash 11 prévoit de changer la donne en fournissant un accès de plus bas-niveau pour de la "vraie 3d". Qu'on les pende ! Et qu'on intègre FlashBlock à tous les navigateurs.
Avatar de Djakisback Djakisback
Membre Expert
le 14/07/2011 13:04
Ok, on s'est compris donc
Avatar de wax78 wax78
Modérateur
le 14/07/2011 16:15
Citation Envoyé par oxyde356  Voir le message
En y pensant mieux il est vrai que c'est vraiment très dangereux de laisser un accès au matériel, un shader mal codé, une boucle infini et vous êtes bon pour redémarrer votre machine, et même si ce shader marche sur la plupart des machines il fera peut-être planter la votre.

Certes, j'entends souvent cette histoire de reboot a cause d'un shader qui bouclerait ou mettrais trop de temps, chez nvidia (je ne sais pas les autres), il y'a un watchdog qui interdit a un shader de ne pas pouvoir se terminer, qui tue ton application et qui t'affiche un joli message systeme si jamais celui bloque plus de 2 seconde sans donner de retour.

Bon après c'est juste pour le shader mal codé ou "trop gourmand".
Avatar de GCSX_ GCSX_
Membre expérimenté
le 22/07/2011 13:30
Citation Envoyé par stardeath  Voir le message

Sur ce site Microsoft répond que c'est résolu, mais que ce sera dispo que dans la version RTM de SL5. La beta serai donc vulnérable. J'ai testé, et là surprise! Pas de plantage! À la place j'ai une ligne de texte en blanc sur fond noir :

Render Mode: Unavailable Reason: SecurityBlocked

Il semblerai donc que la beta soit déjà sécurisé, ou alors c'est un reglage sur mon PC, mystère.

Pour ce qui est de mon avis, je pense comme beaucoup ici qu'il est dangereux de laisser une page Web accéder au matériel (quel qu'il soit) sans avoir au moins averti l'utilisateur.

Je pense à une solution (qui serai implémenté dans les navigateurs) qui ferai que, quand la page se charge, le contenu de ce type ne s'exécute pas automatiquement, mais après un clic de l'utilisateur dessus.

Pour ce qui est du blocage des plug-ins, il pourrai être interessant de proposer la même solution. (Il me semble avoir déjà vu ça pour Flash et les applets Java)
Avatar de DonQuiche DonQuiche
Expert Confirmé
le 22/07/2011 13:51
Citation Envoyé par GCSX_  Voir le message
Pour ce qui est du blocage des plug-ins, il pourrai être interessant de proposer la même solution. (Il me semble avoir déjà vu ça pour Flash et les applets Java)

Peut-être pensais-tu à FlashBlock, un excellent add-on pour Chrome et Firefox. Un de ces deux navigateurs va d'ailleurs ajouter ce comportement en standard.
Offres d'emploi IT
CDI: Developpeur Front HTML5/CSS3 (H/F)
CDI
TRAVELFACTORY - Ile de France - Clichy (92110)
Parue le 03/04/2014
Alternant Tech. d'ntervention HTA (BTS Electrotech)-Rueil92-H/F
Alternance
Schneider Electric - Ile de France - Rueil-Malmaison
Parue le 08/04/2014
TRAFIC MANAGER h/f
CDI
JOB ME UP - Nord Pas-de-Calais - Carvin (62220)
Parue le 26/03/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula