Microsoft respinge WebGL: è troppo pericoloso

WebGL rappresenta uno dei più importanti tentativi di esportare la grafica 3D nel mondo del web, fornendo agli sviluppatori apposite API per la programmazione di animazioni tridimensionali in grado di essere visualizzate mediante l’ausilio di un comune browser. Nel tempo sono state diverse le software house che ne hanno apprezzato le potenzialità, Mozilla e Google in primis. Dello stesso avviso non sembra invece essere Microsoft, che dopo un’attenta analisi da parte dei propri ingegneri ha individuato in WebGL un serio pericolo per gli utenti.

La critica a WebGL da parte del gigante di Redmond poggia le sue fondamenta su tre punti cruciali: eccessiva esposizione di componenti di sistema, dipendenza dal codice sviluppato da terzi e maggiore possibilità di trasformare attacchi DoS in vere ecatombi. Per ciascuno di questi punti Microsoft ha esposto le proprie ragioni, giustificando di fatto ampiamente la propria scelta di non integrare nelle future versioni di Internet Explorer una tecnologia che rischia di diventare «una continua fonte di vulnerabilità di difficile risoluzione».

Punto primo: l’utilizzo di WebGL aumenta notevolmente la superficie di sistema esposta ad attacchi esterni. Essendo studiato per offrire funzionalità di grafica 3D, WebGL necessita dell’accesso a risorse hardware e software di primaria importanza: concedere l’autorizzazione ad un’applicazione web di utilizzare WebGL significa spalancarle le porte verso i driver di sistema che governano l’utilizzo della scheda video, i quali non di rado risultano essere afflitti da bug e vulnerabilità, sfruttabili dunque in maniera piuttosto semplice da eventuali malintenzionati. Nonostante siano disponibili tecniche in grado di confinare il problema entro certi limiti, quale ad esempio l’utilizzo delle sandbox, il tutto non risulta essere sufficientemente affidabile al punto di spingere gli ingegneri Microsoft ad approvare la tecnologia che vuole portare il 3D nel web.

Punto secondo: l’implementazione di WebGL non dipende solo dagli sviluppatori dei browser, ma anche dai produttori di schede video. L’esistenza sul mercato di un ampio ventaglio di scelte per gli utenti, con nomi quali Intel, NVIDIA e ATI che sfornano costantemente nuove soluzioni, significa dover considerare un numero eccessivamente elevato di variabili che potrebbero compromettere l’utilizzo del browser. Il secondo punto della condanna a WebGL da parte di Microsoft è dunque fortemente collegato al primo: sebbene gli attacchi che sfruttano WebGL provengano dal browser, il problema in numerosi casi non risiede nell’implementazione in sé, quanto piuttosto nei driver sviluppati da altre società. I tempi di rilascio da parte di alcune aziende, in molte occasioni superiori anche ad un anno per le nuove versioni dei driver, risulterebbero di fatto un ulteriore ostacolo sulla strada di un sicuro utilizzo di WebGL.

Punto terzo: il pericolo di attacchi Denial of Service è troppo elevato. Lo stadio attuale dello sviluppo dei principali browser vive una situazione di leggero stallo: l’implementazione di tecniche in grado di irrobustire i software per la navigazione in Rete, quali ad esempio le estensioni ARB_robustness e ARB_robustness_2, non è ancora del tutto ultimata, ed anche al termine dei lavori non assicurano una completa protezione dagli attacchi. Per questo motivo l’utilizzo di WebGL rende un utente eccessivamente vulnerabile ad attacchi di questo tipo, compromettendone seriamente la sicurezza.

Snocciolando questi tre capi d’accusa nei confronti di una tecnologia che ha ancora molta strada dinanzi a sé, Microsoft intende dunque bocciarne l’utilizzo all’interno dei propri software, a causa dell’impossibilità da parte di questi di superare i test di sicurezza effettuati nei laboratori di Redmond prima di essere lanciati sul mercato. La promessa della società, d’altro canto, è quella di studiare una soluzione in grado di proporsi come valida alternativa nel campo del 3D in salsa Web: una soluzione che sia sicura, affidabile e robusta, permettendo di usufruire al meglio delle potenzialità delle componenti hardware attualmente in commercio senza che l’utente possa esser messo in pericolo.