www.MegaLab.it

La posizione espressa nel post pubblicato dal blog ufficiale Microsoft Security Research & Defense è difficilmente fraintendibile: "Nella forma attuale, WebGL non è una tecnologia che Microsoft può appoggiare dal punto di vista della sicurezza", si legge chiaramente.

L'articolo chiarificatore arriva in seguito alla conclusione di una serie di studi e valutazioni che il colosso ha compiuto sulla nascente tecnologia WebGL, insieme di specifiche ed Application program interface (API) candidate a a divenire il punto di riferimento per la creazione di applicazioni 3D erogate tramite browser web.

WebGL è, attualmente, supportato da Google Chrome 9 e Firefox 4, ma anche Apple è al lavoro per introdurlo sul proprio Safari ed Opera Software nel proprio prodotto di punta.

Internet Explorer, al contrario, continua a rimanerne sprovvisto sia sull'attuale generazione, sia sulla prossima.

Il post di Microsoft spiega con dovizia di particolari le motivazioni della scelta: sostanzialmente, gli ingegneri del software di Redmond reputano che l'esposizione su web delle funzionalità di basso livello indispensabili a WebGL per accedere all'accelerazione hardware fornita dalla GPU sia troppo rischiosa: falle nei driver della scheda grafica o in un qualsiasi altro componente software veicolato dagli assemblatori potrebbero infatti essere sfruttate dai cracker per confezionare scenari 3D malformati, sufficienti a scatenare l'esecuzione di codice da remoto semplicemente visualizzando una singola pagina web studiata ad hoc.

Realizzare contromisure senza impattare negativamente sull'usabilità dello strumento potrebbe risultare non facile da realizzare e molti update finirebbero per compromettere la compatibilità con il codice già in circolazione, con tutti i problemi di affidabilità e ritardi nell'installazione delle patch che questo comporterebbe.

La posizione di Microsoft è sicuramente comprensibile: le API 3D dei driver video, in particolar modo, sono stati realizzati fino ad ora per essere utilizzati da applicazioni locali, espressamente installate in maniera consapevole dall'utente. Esporre tali funzioni su web significa renderle accessibili anche da risorse potenzialmente malevole: uno scenario per affrontare il quale tali software non sono stati progettati, con tutti i rischi di sicurezza che questo comporta.

Qualche sospetto potrebbe nascere ricordando che Microsoft ha dotato Internet Explorer di una propria tecnologia di accelerazione basata su Direct3D (parte del pacchetto di API proprietarie DirectX disponibili solo per Windows). Ostacolare una nascente tecnologia multi-piattaforma come WebGL potrebbe quindi essere vista anche come una strategia per incentivare gli sviluppatori a realizzare soluzioni compatibili solamente con Direct3D, indebolendo sia le piattaforme alternative, sia il prestigio dei sempre popolarissimi Windows XP e Windows Vista.

Sebbene la tesi possa aver senso, le argomentazioni di Microsoft Security Research & Defense appaiono piuttosto valide. Inoltre, l'azienda ha già espresso più volte l'intenzione di supportare il più possibile gli standard web: Internet Explorer 9 è stato un chiaro segnale in tal senso, ed il fatto che le nuove applicazioni touch per Windows 8 prevedano l'uso di HTML e Javascript pare essere un'ulteriore riconferma della buona fede del gigante.

Scoperta una falla in WebGL

Parallelamente, forse in maniera non tutto accidentale, è emersa una debolezza piuttosto seria proprio nell'implementazione di WebGL presente in Firefox 4.

Un team di esperti ha infatti portato alla luce un difetto che, se sfruttato a dovere, consente ad una web application ostile di recuperare "istantanee" delle altre pagine visualizzate dall'utente tramite il browser.

Il risultato, hanno spiegato gli abili ricercatori, è ottenuto "immortalando", in un modo non previsto dal consorzio che promuove WebGL, le informazioni non ancora eliminate dalla memoria.

Mozilla ha riconosciuto prontamente l'esistenza della vulnerabilità, correggendo l'errore nel nuovo Firefox 5.0.