Sicherheits-Risiko WebGL: Kein Support durch MS

Der Software-Konzern Microsoft sieht den neuen 3D-Grafikstandard WebGL als Hort zahlreicher neuer Sicherheitslücken an. Das Unternehmen wolle ihn daher in seinen Produkten nicht unterstützen. Das geht aus einem aktuellen Blog-Posting eines ... mehr... Webgl, Webstandard, Khronos Group Bildquelle: Khronos Group Webgl, Webstandard, Khronos Group Webgl, Webstandard, Khronos Group Khronos Group

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Lang lebe der Adobe Flash Player als Datenschleuder.
Naja brüder teilen halt auch alles :=)
 
@micronix: eher Werbung für Silverlight. Dort will Microsoft doch Grafik-Schnittstellen implementieren.
 
@sibbl: ..... die aber genau die selben Probleme haben...., ein Schelm wer böses denkt ;)
 
naja, damit haben die nicht ganz unrecht. Bin mal gespannt was die anderne Browserhersteller dazu sagen.
 
@Sam Fisher: Firefox kann schon teilweise WebGL, allerdings wurde die Funktion von Mozilla aufgrund der oben genannten Sicherheitsrisiken deaktiviert.
 
@Sam Fisher: Mozilla sagt z.B., dass die 3D Implementierung in Silverlight die selben Probleme hat. http://www.golem.de/1106/84275.html
 
Recht haben sie. EDIT: Passend dazu: http://goo.gl/WzjhL
 
Eine solche Äußerung von Microsoft klingt in erster Linie danach, daß hier lieber was eigenes eingeführt werden sollte. Besser wäre es doch aber, sich an WebGL usw. zu beteiligen und es so sicher wie möglich hinzubekommen.
Und: Bitte keine automatisch aktualisierten Grafiktreiber! Mit professioneller Software läuft oft nur ein ganz spezieller Treiber mit einer Version korrekt zusammen. Und selbst die WHQL-Treiber haben oft grausame Bugs; wirklich getestet scheinen die eher nicht zu sein.
Leider ist die Grafikkarten und -treiberentwicklung durch die blöden Ballerspiele in die falsche Richtung abgedriftet. Wo könnten wissenschaftliche Anwendungen heute schon sein...
 
@Luxo: Seit wann hat MS Interesse daran an etwas Plattform übergreifendem mit zu arbeiten? MS hat bereits eine 3D Technik in Silverlight, die aber genau die selben Probleme aufweist, Link siehe O2/re2.
 
Stellt sich für mich, zum wiederholten Male, die Frage, warum erst wieder MS kommen muss, bevor so etwas erkannt wird. Das ist nicht das erste Mal, dass irgendetwas an "HTML 5 & Co" nicht stimmt, es von anderen Herstellern aber nicht erkannt oder ignoriert wird. Laut Wikipedia wurde im April 2009 begonnen WebGL zu entwickeln.
 
@Lastwebpage: Tja - Wenn der Rechner dann wieder Befallen ist von Malware ists ja klar wer daran schuld ist
 
@Lastwebpage: Wer sagt denn, dass die anderen es ignorieren? MS ignoriert ja auch, dass ihr XNA 3D in Microsofts Silverlight 5 die selben Probleme hat. WebGL ist MS ein Dorn im Auge, weil es Plattformunabhängig ist.
 
@OttONormalUser: MS hat besonders das Problem daß es dank seines Marktanteils zu fast 90% betroffen ist, ganz gleich welcher Browser jetzt für diese Lücke gesorgt hat. Und wenn dann jemand fragt warum sie es nicht im OS abgefangen haben sind sie auch die Dummen, selbst wenn sie in diesem Fall nichts dafür können.
 
@Johnny Cache: Aha, deshalb ignoriert man einen Standard und baut exakt das selbe in sein eigenes Produkt ein, damit man am Ende auch die Schuld auf sich nehmen kann? Leuchtet ein.... ;)
 
@OttONormalUser: Das Problem ist dann aber wenigstens auch auf ihrem eigenen Mist gewachsen. Das ist immer noch gerechter als für fremde Probleme den Arsch hinhalten zu müssen. ;)
 
@Lastwebpage: Weil die anderen vllt einfach nur Hipp sein wollen. Und alles immer schnell machen wollen. MS wird immer nachgesagt, dass sie zu lahm seien, aber genau sowas ist der Grund, wieso MS so "langsam" ist. Sie lassen sich eben genügend Zeit um überprüfen alles und bauen nicht blind irgendwelche Funktionen, ggf. noch ohne sie zu testen, in ihre Produkte ein. Das ist aber auch das allgemeine Problem von OpenSource. Alles, was neu und hip ist, muss sofort mit aller Gewalt eingebaut werden, damit man ja der erste ist und damit man ja wieder ein tolles neues Feature hat. Dass die Qualität darunter leidet, merken die aber nicht.
 
Mozilla-Entwickler Jeff Muizelaar hält Microsofts Kritikpunkt für berechtigt, sieht darin aber keinen Grund, mit der Unterstützung von WebGL zu warten, bis perfekte Lösungen vorliegen. Und das, so Muizelaar, sehe auch Microsoft so. Er verweist dabei auf XNA 3D in Microsofts Silverlight 5. Die Technik habe exakt die gleichen Probleme wie WebGL und wird dennoch von Microsoft unterstützt.
 
@ouzo: "Wir glauben, dass WebGL eine dauerhafte Quelle schwer zu behebender Schwachstellen sein wird. In seiner gegenwärtigen Form ist es keine Technik, die Microsoft unter Sicherheitsaspekten befürworten kann." Allerdings will das Unternehmen in seinem kommenden Silverlight 5 ebenfalls direkt auf die Grafikkarten-Hardware zugreifen. Die Kritik an WebGL könnte also nicht nur durch Sicherheitsbedenken, sondern auch durch Marketing-Interessen begründet sein. http://goo.gl/Vdy6u ;)
 
@OttONormalUser: Das Thema ActiveX ist ebenfalls aufgekommen. Strotzt auch nicht gerade vor Sicherheit und Einschränkung von Möglichkeiten.
 
@ouzo: Vorallem die Aussage Software müsse "secure by design, secure by default, and secure in deployment" sein ... *Rofl*
 
@OttONormalUser: Aber wenigstens ist die Kritik an Microsofts PR Aussage diesmal schon sofort und ziemlich breit vorhanden.
 
@OttONormalUser: In Silverlight kann MS die Bugs aber selber "schnell" fixen und ist nicht auf Dritte angewiesen, dass eine Software nie 100% sicher sein wird, weiß auch Mircosoft. Die Frage ist nur wo man wie am besten reagieren kann und hier bietet Silverlight natürlich für MS die besseren Voraussetzungen. Trotzdem ist es natürlich wieder abseits vom Standard also ist es ein zweischneidiges Schwert.
 
"Angriffsvektor" - welch Wortspiel... :-D
 
@timmy: kommt sicher aus der biologie. dort wird ein vektor unter anderem verwendet um fremde dna (viren) in die "eigene" dna "einzupflanzen"
 
MS schiebt aus Faulheit die Sicherheit vor und bewegt sich daher lieber nicht, bis der Zug dann wieder mal abgefahren ist und Apple und andere denen wieder was vor machen. Immer das selbe. Bald können es alle Androids, iOSe, OSXe und Linuxe nur MS + IE wieder nicht...
 
nuja ich persönlich finde silverlight und webgl sehr unsicher. selbst java wird immer unsicher, von php und co mal ganz geschwiegen. der punkt ist, das die entwickler immer schlechtere qualität ihre software abgeben, da keine ordentlichen tests vorgenommen werden.
 
@MxH: PHP läuft ja auf dem Server, da braucht der User sich "nur" Sorgen um die Daten zu machen, die er im Internet bereits zur Verfügung gestellt hat. Der Rest bekommt meine Zustimmung: schlechte Software, fehlerhaft bis ultimo ... komischerweise sind es immer Kleinigkeiten, die sich störend auswirken, so dass es ganz offensichtlich ist, dass nichts getestet wurde. Aber auch kein Wunder: Softwareentwickler sitzen wie Vieh im Brutkasten und haben Leistung zu bringen. Zeit für Individualität und Tests gibt es da nicht.
 
Der Angriffsvektor existiert ja überall dort, wo es um Grafikhardwarebeschleunigung geht, auch bei Spielen. Nicht nur im Browser, nicht nur mit WebGL. Der ganze DirectX Kram ist ebenfalls angreifbar. Liegt einfach daran, das bei Code der auf der GPU läuft, nicht solche Sicherheitsvorkehrungen getroffen werden, wie bei Code der auf der CPU läuft.
 
@Feuerpferd: das ist so nicht ganz richtig. ist der Code erst einmal auf der GPU, kann er nichts mehr anstellen. jedoch alles, was vorher auf der CPU passiert, kann selbstverständlich Ärger machen.
 
@Der_da: Für Stack Protection auf der CPU wird viel Aufwand getrieben, auch einiges bereits in Hardware eingebaut, schau Dir nur mal eine genauere dmesg an, was moderne CPUs da heutzutage schon so alles eingebaut haben. MMU, NX, usw. Grafikhardware hat das alles nicht.
 
@Feuerpferd: Kann denn der Code, wenn er einmal in der GPU ist, auf den Arbeitsspeicher oder gar das Dateisystem zugreifen?
 
@Der_da: Shader führen kleine Programme aus, die aber mit jeder Shader Version umfangreichere Möglichkeiten bieten. Die GPU kann auf den Hauptspeicher des PCs
zugreifen, lesend und schreibend. Dabei werden Sicherheitsfeatures der CPU wie MMU, NX usw.
umgangen. Ausführbaren Code von der GPU aus in den Hauptspeicher zu schreiben ist wohl nicht so ganz ungefährlich.
 
@Feuerpferd: Sehr unrealistisches Szenario. Versuch mal mit GLSL sowas zu Bauen, du wirst kein erfolg haben es sei den der Compiler im GFX Treiber ist leicht "gestört" implementiert worden(Bug). Es ist praktisch unmöglich Shadercode was anderes machen zu lassen als Grafik zu berechnen. Versucht Shadercode etwas anderes oder verlässt den Kontext worauf er angewand wird, unterbricht GL den Vorgang und wirft einen Fehler raus. Das würde sich z.b. in Grafikfehlern bemerkbar machen. Ein Wandern von GPU Code auf die CPU ist faktisch in GL nicht möglich.
 
@ThreeM: Erinnerst Du dich noch an die Remote Sicherheitslücken in Microsofts DirectX? Da war schon mal was. Nur weil es zunächst nicht so ganz trivial sein mag einen Angriff zu realisieren, heißt das ja noch lange nicht, dass es einigen Begabten nicht doch gelingt. Damals wollten die Nutzer natürlich trotzdem nicht auf DirectX verzichten und das werden jetzt die WebGL Nutzer auch nicht wollen, aber sie werden sich so weit wie möglich vorsehen. Also die WebGL fähigen Webbrowser aktuell halten, um Sicherheitsrisiken zu minimieren. So wie das für jede Software beste Praxis ist, dass Aktualisierungen für Software zeitnah installiert werden.
 
@Feuerpferd: Der Webbrowser wird dir da nich helfen. Die Treiber müssen halt Bugfrei sein oder GL fehlerfrei implementirern. Das der Angrifsvektor da ist lässt sich nicht bestreiten, aber wie du schon sagtest trifft das auf jede Software zu die Hardware nutzt.
 
@Der_da: Würde ich so auch nicht sagen. Lies mal den Heiseartikel über das Thema, dort stehen mehr technische Details. Jedenfalls kann gerade der Code auf der GPU die Probleme machen. Der Shadercode auf der CPU kann im Gegenteil nix machen, ausser in die GPU geladen werden
 
wie ist das gemeint mit dem automatischen update-prozess der grafikkartentreiber... der treiber von nvidia zb. hat doch eine updatefunktion (das icon ist in der taskleiste sichtbar) oder verwechsel ich da etwas...

ps: "Das britische Unternehmen Context hat bei seiner Untersuchung von WebGL-Implementierungen eine Sicherheitslücke im freien Browser Firefox 4 entdeckt. Dadurch kann ein Angreifer mit einer geeigneten präparierten Webseite Screenshots jedes Bildschirmfensters anfertigen..."
 
An sich ist WebGL eh kein W3C-Standard. Hier richten sich Microsoft also voll nach dem Standard.
 
@Kirill: Ach und alles was kein W3C-Standard ist, ist kein Standard? Wer sagt denn, dass man ausschließlich W3C-Standards nutzen muss, aber keine anderen? Früher als MS nur ihre eigenen "Standards", die eigentlich gar nix waren, unterstützt haben, hieß es immer W3C-Standards wären sowieso nur Empfehlungen. MS handelt so wie immer, alles was ihnen Schaden könnte, wird so lange ignoriert, bis es nicht mehr anders geht, oder man das Rad wieder mal selbst neu erfunden hat, denn Silverlight ist noch weiter weg vom Standard als WebGL! Soviel zu MS richtet sich nach Standards, höchstens zu ihren eigenen proprietären Quasistandards, die sie immer wieder in den Markt drücken! Wenn Firefox dem IE nicht so massiv Anteile abgenommen hätte, würde MS nicht mal HTML5 unterstützen, heute prahlen sie damit, sie würden es am besten unterstützen!
 
@OttONormalUser: Webstandards, mein Freund. Wenn du alles als Standard bezeichnen willst, kann man kurzerhand auch H.264, ActiveX und alles andere, was du nicht magst, auch zum Standard erklären und Mozilla vorwerfen, es nicht zu unterstützen. Es braucht nunmal eine Standardbasis, mit der man was anfangen kann. Und in Sachen HTML5 gehört WebGL nicht dazu.
 
@Kirill: Mach dich erst mal schlau, was ein Standard ist, der wird nicht einfach so erklärt, weil irgendein Monopolist ihn in den Markt gedrückt hat und ihn dadurch viele nutzen!..... ActiveX, H264.... Selten so gelacht, und nenn mich nicht dein Freund, davon bist du so weit weg, wie MS von Standards! WebGL IST bereits ein offener Standard, auch wenn das für dich nicht gilt, weil es noch nicht W3C abgesegnet ist! Es sagt ja auch keiner, dass MS WebGL unterstützen muss, aber dann sollen sie nicht darüber herziehen, wenn sie vergleichbares bereits im Ärmel haben, was die selben Probleme ausweist, und noch dazu wieder mal nur auf MS-Premium -Standard-Software funktioniert!
 
@OttONormalUser: Nochmal: Man kann alles zum Standard erklären. H.264 wurde überdies nicht von einem Monopolisten reingedrückt, sondern von einer Gruppe entwickelt und steht überdies jedermann frei zur Verfügung. Also standard dich ins Knie. WebGL ist kein Teil vom HTML5-Standard und nur weil der offen ist, heißt es noch lange nicht, dass der sich im Web verbreiten sollte. Die MS-spezifischen HTML-Additionen kann ja auch jeder einbauen, der will, dennoch mögen viele Leute sie zurecht nicht, eben weil Zeug, was kein Teil des HTML-Standards ist, im Web nichts verloren hat.
 
@Kirill: WebGL ist Web-Standard, und hat mit HTML5 mal gar nix zu tun, was willst du also damit? Dein Unwissen verschleiern? H264 und ActiveX sind keine Standards. Geh lernen, und "Standard dich selbst ins Knie!!" Ich hab auch nicht gesagt, dass WebGL Standard ist weil es offen ist, das ist deine oberflächliche Interpretation! Ich hab auch nicht gesagt, dass sich WebGL verbreiten soll oder nicht, DU kamst an, das MS es richtig macht, weil es ja kein Standard wäre, das ist aber schlicht und ergreifend dummes Gelaber von dir, wie immer, denn selbst wenn MS WebGL einbaut, richten sich nach dem Standard, was von Silverlight mit 3D Unterstützung nicht behaupten kann, aber da würdest du jubeln!!
 
@OttONormalUser: Also nochmal: Man kann zwar alles mögliche zu einem Standard erklären. Aber im Web braucht's nunmal eine gemeinsame Standardplatform, damit man auch wirklich den selben Standard hat, wie der Rest der Welt. Und da zähl WebGL nunmal nicht dazu. Ach und, deine . Taste funktioniert nicht.
 
@Kirill: Es zählt eben doch dazu, sag mal bist du Lernresistent? Du brauchst es auch nicht 100mal wiederholen, davon wird es nicht richtiger! MS kann WebGL unterstützen oder es lassen, aber MS baut ja lieber was ein, was das selbe kann, aber kein Standard ist. WebGL ist Standard, und damit auch eine gemeinsame Basis für ALLE Plattformen. Glaubst du im ernst, dass nur das was das W3C "vorschlägt" die Basis, und damit allein gültige Standards sind? Und meine ...... Taste funktioniert, du kannst nur keine Satzzeichen deuten!
 
@Kirill: Das trifft auf WebGL zu, der WebGL Standard wird von Opera, Firefox und Chromium (aka. Chrome Browser) unterstützt, mehr über den Standard zu lesen gibt es hier: http://www.khronos.org/webgl/ Es gibt auch ein paar nette WebGL Demo Seiten und von Microsoft gibt es sogar ein Spielchen das in Browsern mit WebGL läuft. :-) http://goo.gl/fmREw Der Firefox stürzt bei "Pirates Love Daisies" übrigens nicht ab. Reporting for Duty! http://goo.gl/KSkFw
 
@OttONormalUser: WebGL zählt insofern nicht dazu, als dass es beim W3C nicht durchgekommen ist. Du kannst noch so lange sagen, es zählt dazu, ohne Gründe ist das Schwachsinn.
 
@Feuerpferd: Prates love daisies läuft ohne WebGL. Aber nur weil etwas an ein paar Stellen eingebaut ist, wird das noch lange kein Webstandard.
 
@Kirill: Was willst du als mit W3C? Wo steht, dass es da nicht durchgekommen ist, du phantasierst, wie immer! WebGL ist ein Webstandard, steht in der News, steht bei Heise, steht bei Golem und du kannst es googlen, man kann ihn nutzen oder eben nicht, das nutzen von nicht Standardisierten Techniken ist schlecht, nicht das nicht nutzen von Standards! Der einzige der Schwachsinn aus Unwissenheit verbreitet bist wieder mal du, nämlich dein Eingangspost. An welchen Standard würde sich denn MS NICHT halten, wenn sie WebGL einbauen? Oder sprichst du wieder von deiner begrenzten Realität, in der du Realist bist, oder doch Lernresistents?
 
@OttONormalUser: Du, ich habe bei Heise gelesen, dass WebGL kein Teil von HTML5 wird. Hast du ausm Stehgreif einen Link? Wenn ja, dann glaube ich dir gern.
 
@Kirill: WAS WILLST DU DENN ALS MIT HTML5? Meinst du das ist der einzige Standard den es gibt? Außerdem gibt es da keine Spezifikation für 3D im Browser, sonst könnte man das nutzen! GEH LERNEN! http://www.khronos.org/
 
@OttONormalUser: Kirill ist leider der inbegriff für Besserwisserrei ohne Substanz. Dabei ist es ganz einfach. WebGL ist keine Standardtechnologie von HTML5. Das hat aber weder was mit der News zu tun noch damit das WebGL ebenfalls ein Web Standard ist. Das es keine Teilmenge von HTML5 ist, spielt absolut keine Rolle. Aber das will der Kirill ja nicht verstehen.
 
@OttONormalUser: Ja, meine ich. Zumindest der einzige wichtige. Sonst hat man wieder einen Wildwuchs an Technologien, mit denen man sich als Webmaster auseinander setzen muss, anstatt mit einem einzigen gemeinsamen Nenner, der überall funktioniert.
 
@Kirill: Nenn doch endlich mal den gemeinsamen Nenner für 3D im Browser! Das wäre WebGL, weil es in HTML5 gar nicht spezifiziert ist, und alle anderen Technologieen wie Silverlight oder Direct X nur auf Premium MS-Schrott funktioniert! GEH LERNEN, und lebe deine krankhafte Besserwisserei nicht dauernd aus.
 
@ThreeM: ..... krankhafte Besserwisserei.......eigentlich müsste man ihm nur nen Fisch hinwerfen, nutzt aber leider auch nix.
 
@OttONormalUser: Er sieht glaub ich nicht das es durchaus mehrere Webstandards geben kann oder will es nicht sehen. Nur weil WebGL nicht im HTML5 Standard verifiziert ist bedeutet das ja nix. Aber wir sollen aufgeben damit der kleine zufriieden in die Woche starten kann.
 
Winfuture muss das sein? Hier fehlt doch wieder die Hälfte. Wo ist die Aussage das Microsofts tolles Silverlight 5 genau die selben Probleme hat und das ganze eher Marketing für Silverlight sein soll? Nirgends! Bei heise und Co stehts aber!
 
Selten so ein Blödsinn gelesen. Software die über den Treiber an die Hardware geschoben wird kann ein Sicherheitsrisiko sein.... NEin is nich war.....welch glorreiche Erkenntniss. Siverlight macht das übrigens genauso. Der Vorteil von WebGL ist quasi das es selbst eine Sandbox darstellt. Um einen Fehler unter WebGL so auszunutzen das der Treiber schwankt, einen Überlauf erzeugt und dann auch noch Code an die CPU schickt ist sowas von Unrealistisch und schwer das dies kein reales Szenario ist. Zumal es mit OpenGL Befehlen sehr schwer ist den Treiber überhaupt ins wanken zu bekommen. Ein erfolgreicher Angriff kann nur entstehen, wenn man 1. eine Treiberversion hat die sich reproduzierbar kompromittieren lässt (sprich bekannter Bug bei Implementation von GL, was wiederum sehr selten bis nie vorkommt. 2 muss der Angreifer die Attacke so gestallten das Treiber und GL gleichzeitig kompromitierbar ist. Der Angreifer müsste seine Attake auf verschiedene Treiberversionen zuschneiden. Dies macht WebGL für große Hacks unattraktiv. Die Abneigung seitens MS gegenüber kann ich aus wirtschaftlichen Gründen verstehen, aus technischer Sicht ist die aussage jedoch lächerlich. Das MS hier lieber einem eigenen Produkt den Vorzug geben möchte macht die Meldung jedenfalls mehr als deutlich.
 
@ThreeM: http://www.golem.de/1106/84352.html
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles