Le WebGL serait une faille de sécurité à lui tout seul
Le 9 mai dernier, Context, une société spécialisée dans la sécurité informatique, publiait une note sur son site détaillant diverses failles se trouvant dans webGL. Elles permettent de faire planter une machine à distance ou de faire des captures d’écran à l’insu de l’utilisateur. Malgré les efforts de Khronos, l’éditeur de WebGL, c’est un avis qui est de plus en plus partagé.
Chrome et Firefox intègre l’API par défaut. Elle peut être activée sous Safari, mais demande une manipulation de l’utilisateur. Il semblerait que la plupart de ces problèmes soient inhérents aux webGL lui-même. Il ne s’agit pas d’une mauvaise intégration des éditeurs de navigateur, mais l’API qui serait trop permissive. Une vidéo publiée sur le site de la société montre l’exploitation de deux failles de sécurité. La première surcharge la carte graphique et provoque une erreur fatale. La seconde permet d’acquérir des données présentes sur l’ordinateur cible.
La réponse de Khronos ne s’est pas fait attendre, il a expliqué qu’il existe des fonctions contournant ces problèmes, comme la « GL_ARB_robustness » qui permet de prévenir la surcharge de GPU. Il faut néanmoins qu’elles soient utilisées par les fabricants de puces graphiques lors du développement de leurs pilotes. De plus, elle ne répond pas à tous les problèmes. Khronos en est conscient et a annoncé travailler sur d’autres solutions, mais affirme aussi que les failles de Context restent des proof-of-concept. Aucun site ne les exploite pour le moment.
Hier, c’est Microsoft qui a décidé de se joindre à la discussion et il semble pencher du côté de Context. Il dénonce le laxisme de l’API et la dépendance trop importante sur les pilotes des fabricants de cartes graphiques. Redmond s’est donc refusé à le soutenir.
Chris Marrin, un ingénieur chez Apple, a aussi fait savoir au début du mois sur la mailing-list de Khronos que WebGL ne sera pas disponible à tous les développeurs de iOS 5 et sera uniquement réservé au SDK de iAd, l’outil de développement qui permet de créer des publicités pour plateformes iOS. Il n’est donc pas question d’une version de Safari pour iOS intégrant le WebGL. Nous tenons néanmoins à souligner que l’entreprise n’a pas publié de communiqué à ce sujet et qu’elle n’a pas pris de position officielle, comme l’a fait Microsoft. C’est simplement le message d’un responsable sur une mailing-list.
Le webGL est une bibliothèque qui permet d’étendre les capacités du langage JavaScript pour exploiter les puces graphiques des systèmes. Le portage de Quake 2 et Doom sont de bons exemples de ce qu’il est possible de faire dans un navigateur, mais les nouveaux problèmes sécuritaires pourraient ralentir sa popularisation.
- Bonus (suite et fin) : les autres babes du Computex
- Une nouvelle ReRAM par Globalfoundries
- Des remaniements chez Globalfoundries
- Iiyama lance son ProLite B2008HDS (20")
- Les évolutions du x86 chez Intel, avec AVX2
- Adobe Air : universel, mais sans Linux
- Le disque HDPC-AU de I-O Data passe à 1 To
- L'AC700, le Chromebook d'Acer, repoussé
- Le clavier des hackers revient, plus silencieux
- Tom’s Guide : votre téléphone Android à 100%
- Inno 3D lance les iChill pour CPU
- Bientôt la fin des Phenom II X6 ?
- APU : que nous prépare AMD pour 2012 ?
- [Techno-génie] Le brevet Nokia le plus convoité par Apple
- L'AdS : quand la voiture envoie votre position sur le net
- TDJ : SSD Crucial M4
- Les pilotes et firmwares de la semaine
- Comparatif : 6 boîtiers silencieux
Quel opportunisme. En partant d'un constat factuel (l'API peut et doit être améliorée), Microsoft revient à ses vieux démons de refuser les standards et Apple en profite pour éviter que les jeux web ne puissent concurrencer les jeux de l'App Store.
Standard
Ca n'emane pas d'un organisme mais de sociétés concurentes réunies en consortium (khronos group) ...
C'est beau l'extrapolation ..
Et si c'était simplement des editeurs frileux a l'idée de voir une API tierce pourrir leur navigateur .. hein ?
A chaque fois que je tombe sur ce genre de nouvelle, je me pose 2 questions :
- ai-je besoin des fonctionnalités de cette API, ce plugin, cet add-on, ce bidule, ce truc ?
- Puis-je la/le désactiver si je n'en ai pas l'usage ?
Si j'ai deux "non" comme réponses, alors il y a un vrai problème.
Deux phrases, deux fautes. Joli score
A chaque fois que je tombe sur ce genre de nouvelle, je me pose 2 questions :- ai-je besoin des fonctionnalités de cette API, ce plugin, cet add-on, ce bidule, ce truc ?- Puis-je la/le désactiver si je n'en ai pas l'usage ?Si j'ai deux "non" comme réponses, alors il y a un vrai problème.
D'ailleurs, en furetant les options de FF 4.0, apparemment chez Mozilla qui se veut être l'éditeur d'un navigateur sécurisé, ils ne se fatiguent pas trop pour proposer de paramétrer l'API de WebGL... Il faut manifestement jouer avec le "about:config", où on peut effectivement la désactiver : il semblerait que ce soit simplement l'option "webgl.disabled" qu'il faut passer à "true".
Mais c'est "amusant" de voir des gens comme Mozilla intégrer manu-militari une technologie bancale et non vérifiée. Que Google intègre des trucs louche dans tous ses produits je comprends rien que par les intérêts commerciaux et financiers en jeu, mais Mozilla un peu moins (et hop, un bon gros troll velu à abattre !!!
je sais pas si c'est utile ou non, utilisé ou non par ff4, mais je viens de le désactiver
A chaque fois que je tombe sur ce genre de nouvelle, je me pose 2 questions :- ai-je besoin des fonctionnalités de cette API, ce plugin, cet add-on, ce bidule, ce truc ?- Puis-je la/le désactiver si je n'en ai pas l'usage ?Si j'ai deux "non" comme réponses, alors il y a un vrai problème.
on peut aussi se poser d'autres questions comme qui est à l'origine de ce petit programme, quelle sont ses objectifs avec celui-ci ...
A chaque fois que je tombe sur ce genre de nouvelle, je me pose 2 questions :
- ai-je besoin des fonctionnalités de cette API, ce plugin, cet add-on, ce bidule, ce truc ?
- Puis-je la/le désactiver si je n'en ai pas l'usage ?
Si j'ai deux "non" comme réponses, alors il y a un vrai problème.
Ce ne sont vraiment pas les bonnes questions à se poser.
WebGL permet aux développeurs web de proposer aux internautes une expérience web 3D exceptionnelle. Le web a trop longtemps été restreint à la page HTML et son contenu uniforme. Il y a eu les avancées du CSS, du Javascript, puis l'arrivée de Flash pour permettre aux webmestres de se démarquer et de proposer un site web original et aguicheur.
As-tu besoin de Flash ? Non, tu n'as peut-être même pas le plugin installé. Et de Javascript ? Pas confiance, peur des messages d'alerte et des popups, tu préfères peut-être le désactiver. C'est ton choix, il n'empêche que ton expérience sur le web s'en trouvera considérablement dégradée car le contenu évolue et pas toi. La question du "besoin" est totalement subjective, les utilisateurs ayant tous des attentes différentes. En revanche, les producteurs de contenu et les devs web comme moi se régalent avec WebGL.
Pour la deuxième question, tu es ancré dans un mode de pensée où tout ce qui n'est pas "désactivé" est consommateur de ressources, ou vient s'imposer contre ton gré à ton expérience utilisateur. Ce n'est pas le bon mode de pensée à adopter ici. L'API étant à intégrer au navigateur, aucune différence de performance ne devrait survenir sur les contenus non WebGL. De plus, si le contenu ne te plaît pas, libre à toi de quitter la page et d'aller surfer ailleurs. Mais au vu de ce que les gens font avec WebGL, je doute que tu ne sois pas enthousiasmé.
Un petit exemple de ce que peut donner le futur de la promotion produit sur Internet : http://www.ro.me
Il te faudra bien sûr un navigateur ultra-récent (Chrome 13 conseillé) pour une bonne expérience, mais cela donne un bon aperçu de l'avenir du web selon moi.
C'est toujours plus sûr que le Flash, qui permet de faire planter une machine ... toute seule !
Un petit exemple de ce que peut donner le futur de la promotion produit sur Internet : http://www.ro.me
Il te faudra bien sûr un navigateur ultra-récent (Chrome 13 conseillé) pour une bonne expérience, mais cela donne un bon aperçu de l'avenir du web selon moi.
et une carte graphique récente aussi. pas trop vieille, quoi.
Tu arrives à faire planter un OS avec un plug-in de navigateur ? Tu utilises quoi comme OS ? Windows 2.0 ?
La faille, c'est simplement le risque de faire planter le compilateur de shader du pilotes graphiques avec du shader code foireux.
La réponse de mozilla qui salut au passage la réalisation robuste des D3D shader sous windows7. Fort à parier que cette faille ne restera pas en l'état ... contrairement à d'autres failles windows (hop un ptit troll de plus ne fait pas de mal)