Mozilla réagit à la polémique produite par la récente déclaration assassine de Microsoft contre WebGL, le standard Web de production de graphiques 3D accélérés par la carte graphique.
Mike Shaver, vice-président de la stratégie technique de la fondation, rejette en bloc les critiques de Microsoft en raison desquelles l'entreprise annonce n'avoir aucune intention d'implémenter WebGL sur Internet Explorer (lire ci-devant pour plus de détails sur l'annonce de Microsoft)
Pour Shaver, la question relevée par Microsoft ne se pose même pas quant à la nécessité des capacités 3D pour Web. Il rappelle que c'est justement ce que font le plug-in Silverlight (dans sa version 5) et Molehill, le moteur 3D d'Adobe Flash, qui s'exposent aux mêmes risques que ceux soulevés par Microsoft en permettant au code téléchargé de manipuler des parties sensibles du système.
Mike Shaver estime que tout ajout de nouvelles fonctionnalités à une pile logicielle expose les parties existantes aux contenus potentiellement hostiles, un passage obligatoire qu'ont dû endurer selon lui les « moteurs des polices de caractères, les codecs vidéo, les bibliothèques [de rendus] des images... »
Le temps serait donc venu pour que les pilotes graphiques passent la même épreuve.
Ces risques inévitables seront par la suite « modélisés, compris et atténués » reprend-il, prenant pour exemple les stratégies employées par le navigateur Firefox qui se prive par exemple de l'utilisation de certains pilotes graphiques blacklistés.
L'implémentation de WebGL sur Mozilla Firefox, somme toute expérimentale, vérifie en outre la validité du code source des Shaders, et interdit depuis la version 5 le téléchargement des textures à partir d'un domaine autre que celui qui sert le JavaScript qui les appelle.
Des mesures appelées à être renforcées par d'autres en vue de rendre WebGL une « plateforme plus robuste », promet Mike Shaver qui invite Microsoft à s'engager dans le monde WebGL avant de sceller son sort.
Source : blog de Mike Shaver
Et vous ?
Que pensez-vous des contre arguments de Mike Shaver ? Quelle position vous convainc-t-elle le plus quand à WebGL ? Celle de Microsoft ou celle de Mozilla ?Microsoft rejette le standard WebGL jugé « dangereux »
Suite à la découverte de multiples failles critiques sur Firefox
L'avenir du standard WebGL sur Internet Explorer s'annonce très incertain.
Microsoft rejette ce standard d'affichage 3D pour le Web, au moins dans sa forme actuelle qu'il juge « dangereuse » dans une dépêche faisant suite à la découverte de plusieurs nouvelles failles critiques sur l'implémentation de Mozilla Firefox.
Des failles qui pourraient être présentes sur Google Chrome également.
Sur le blog de recherche en sécurité et défense, l'équipe MSRC de Redmond affirme que « le support de WebGL dans les navigateurs expose directement des fonctionnalités du hardware au Web d'une manière que nous considérons comme trop permissive ».
Concrètement, la principale critique de Microsoft à ce standard est qu'il risque de permettre aux pirates de s'attaquer aux faiblesses des pilotes graphiques d'une manière que les navigateurs ne pourront pas atténuer.
Microsoft prend à témoin un rapport de sécurité alarmant, publié hier par la firme de sécurité Context. Ce rapport identifie plusieurs failles de sécurité de ce standard initié par la fondation Mozilla et maintenu à présent par le groupe Khronos.
L'une de ces failles permet le vol de captures d'écran sur Firefox par corruption de mémoire :
Actuellement seuls Firefox et Chrome offrent un support avancé de WebGL, mais ces navigateurs « doivent exposer des parties de bas niveau du système d'exploitation, qui ne pouvaient pas être jusque-là directement exposées aux pages web potentiellement malicieuses », affirment les experts de Context James Forshaw, Paul Stone et Michael Jordon.
De son côté, le groupe Khronos tente de minimiser ces inquiétudes en affirmant que « tous les éditeurs de navigateurs travaillent actuellement pour réussir la suite [des tests] de conformité de WebGL », rejetant ainsi la faute sur les implémentations actuelles, encore immatures.
Khronos fait savoir en deuxième lieu que la faille des captures d'écran sus-citée provient d'un bug de l'implémentation de Firefox ayant été corrigé sur Firefox 5 qui sortira le 21 juin prochain.
Des arguments qui ne convainquent pas Microsoft qui refuse d'assumer un standard « qui deviendra une source permanente de vulnérabilités très difficiles à corriger ».
Microsoft doute de ce fait que WebGL puisse passer les exigences de sécurité de son cycle de développement.
Et prouve encore une fois à travers cette prise de position que le respect des standards n'est jamais sa priorité quand il menace la sécurité des utilisateurs.
Source : Microsoft, Context
Et vous ?
Que pensez-vous de cette décision de Microsoft ? L'avenir de WebGL est-il menacé d'après vous ? 
Envoyé par Neko
