The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Firefox 5 будет отключена поддержка междоменных текстур WebGL

10.06.2011 11:36

Разработчики Mozilla приняли решение отключить в будущем выпуске Firefox 5 возможность использовать функцию междоменной загрузки текстур WebGL, что приведет к нарушению работоспособности некоторых WebGL-приложений. Причиной такого решения послужило появление в сети прототипа эксплоита, демонстрирующего возможность атаки через WebGL на GPU и видеодрайвер. Суть атаки в возможности попиксельной реконструкции содержимого изображения, к которому нет прямого доступа (например, изображение загружено в другой вкладке браузера), используя особенность отображения текстур.

Курирующий развитие стандарта WebGL консорциум Khronos Group предложил внести в спецификацию WebGL дополнительные ограничения, недопускающие загрузку текстур с внешних сайтов без подтверждения от пользователя (текстуры можно загружать только с сайта, с которого выполняется WebGL-приложение). Соответствующие изменения уже внесены в черновой вариант стандарта WebGL. Дополнительно ведется работа по реализации спецификации Cross Origin Resource Sharing (CORS), определяющей способ организации доступа к ресурсам с внешних источников.

  1. Главная ссылка к новости (http://hacks.mozilla.org/2011/...)
  2. OpenNews: В Firefox 4 и Opera 11 будет заблокирована поддержка протокола WebSockets
  3. OpenNews: Началось бета-тестирование настольной и мобильной версий Firefоx 5
  4. OpenNews: Сформирована Aurora-ветка Firefox 6
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/30838-security
Ключевые слова: security, webgl, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:01, 10/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Замечательно, может ещё по https всё грузить с доверенных сайтов?
     
     
  • 2.21, EuPhobos (ok), 17:20, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Замечательно, может ещё по https всё грузить с доверенных сайтов?

    Сразу видно человека, который не пробовал писать даже элементарную и простейшую страничку, на html и javascript ...

     

  • 1.2, Аноним (-), 12:16, 10/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    Ограничивать возможности для обеспечения безопасности - сомнительное решение
     
     
  • 2.4, tavaaver (?), 12:24, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы знаете, есть такие операционные системы класса unix — сам unix, linux, bsd-системы. Да и множество других систем.
    В них можно и нужно ограничивать возможности пользователей для обеспечения безопасности.
     
     
  • 3.8, Одмин (?), 13:09, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Смотря о каких возможностях идёт речь. Одно дело не давать пользователю системные библиотеки обновлять, совсем другое, например, не давать пользоваться интернетом.

    Вот ограничивать _полезные_ возможности это плохой подход. А иначе можно тупо отключить сервера от сети и питания и будет очень безопасно. Только бесполезно.

     
     
  • 4.15, Mike Lee (?), 13:42, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. обновление библиотек это вредная возможность? или бесполезная?
     
     
  • 5.23, K (?), 19:13, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Обновление библиотек пользователем - архивредная возможность.
     
     
  • 6.26, szh (ok), 01:10, 11/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    улыбнуло, как будто от того кто именно нажмет на кнопку "install updates" что-то зависит.
     
     
  • 7.28, Одмин (?), 23:58, 11/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Только для определённых приложений и только из доверенных репозиториев. Зачем, например, давать браузеру все права на управления системой?

    Грубо говоря, поэтому и придумали sudo итп.

     
  • 3.11, Антоним (?), 13:31, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Тут немного другая ситуация, будет как с антивирусами в мастдае. На каждый чих пользователя будет вспылвать окно типа 'программа хочет почесать яйца, разрешить?'. Идиотизм в технологии снова лечат костылями.
     
     
  • 4.18, Аноним123321 (ok), 15:55, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Тут немного другая ситуация, будет как с антивирусами в мастдае. На каждый
    > чих пользователя будет вспылвать окно типа 'программа хочет почесать яйца, разрешить?'.
    > Идиотизм в технологии снова лечат костылями.

    +1

    кстате такие всплывающие-вопросы ИМЕННО идиотизм! и бред, полнейший!

    Google на одной конференции (посвёщённой NaCl) правильно разжевали эту тематику

    суть в том что пользователя спрашивают <чтото>... НО ВЕДЬ ПОЛЬЗОВАТЕЛЮТО ОТКУДА ЗНАТЬ ЧТО МОЖНО А ЧТО НЕЛЬЗЯ(?)... пользователь вообще может компьтер 20 раз в жизни видит и ответ "да" или "нет" будет руководствоваться смелостью да и только

    а нужно просто НЕ разрешать вот-и-всё... если чтото опасно . (какой смысл спрашивать разрешение на опасное действие? запретить и всё!)

    пример тому ActiveX-вирусы ... там ведь как раз пользователя и спрашивают :-)

     
     
  • 5.22, EuPhobos (ok), 17:28, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > кстате такие всплывающие-вопросы ИМЕННО идиотизм! и бред, полнейший!

    Скорее всего разработчик хочет оградить себя от ответственности таким способом, если что - всегда можно сказать пользователю: "Ну так вы ведь нажали ДА, и сами словили!"
    А диологи до того начинают раздражать обычных людей, что народ уже не читая нажимают "ДА" - как банальная привычка.
    Стоило всё же запретить опасности по умолчанию, а не диалогами лепить. И сделать конфиг в котором всё же можно включить те или иные опасные фитчи для особых экстрималов.
    Но нет же.. Похвастаться функционалом всем хочется, "так что нажимайте "ДА" что бы всё работало без ограничений, но не нажимайте "ДА" на опасных сайтах!" - "А где опасные и безопасные сайты?" - "А думайте сами!"
    PS это сказано скорее в сторону M$ =)

    А по сути.. Даже подписанные сертификаты не спасают =)

     
     
  • 6.25, Crazy Alex (??), 20:41, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    С тем же успехом можно вообще разработчику руки связать и не разрешать ничего. Сиди себе, формочки рисуй да на свой сайт отправляй. На примере айофна это отлично видно - когда даже не определишь, в роуминге ли человек, не говоря о том, что никакую CRM-систему не сделаешь. И получается вместо инструмента гламурная игрушка.
     
     
  • 7.27, EuPhobos (ok), 10:26, 11/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > С тем же успехом можно вообще разработчику руки связать и не разрешать
    > ничего. Сиди себе, формочки рисуй да на свой сайт отправляй. На
    > примере айофна это отлично видно - когда даже не определишь, в
    > роуминге ли человек, не говоря о том, что никакую CRM-систему не
    > сделаешь. И получается вместо инструмента гламурная игрушка.

    Хоть яблофон и гламурная монолитная игрушка. Это не спасло его от способов заразится вирусами для iOS-ов.. Причём таких банальных и даже не скрывающих себя скриптов.
    Вычищал только заразу которая удаляла sshd и заразу которая сканировала wifi сети, брутофорсила отвечающие IP.
    Брутофорсить таким процессором как у яблофона это ж смех. Да и батарея из-за этой заразы долго не жила.
    А n900 я уже практически весь перекопал, и никаких признаков заразы. Единственное огорчает, какой в маэмо хаос творится, как изуродовали дебиан..

     
  • 2.5, Аноним (-), 12:26, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    расскажи это тем, кто придумал делить пользователей на uid=0 и остальных. С ограничением последних по возможностям, в целях обеспечения общей безопасности.
     
  • 2.6, brother anon (?), 12:36, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Welcome в Windows 98 ;-)
     
  • 2.13, Аноним (-), 13:35, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Ограничивать возможности для обеспечения безопасности - сомнительное решение

    Ну тогда выложите ваш номер креды и все логины и пароли, если на безопасность вам плевать. Это обеспечит широчайшие возможности :)

     
  • 2.17, Аноним (-), 13:56, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы в своём уме?
     

  • 1.3, Аноним (-), 12:19, 10/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Просто не нужно всё подряд тащить в браузер, тогда и не будет проблем с безопасностью.

    А то давайте, например, в postfix встроим поддержку flash, pdf и javascript, вот бы я посмотрел на того админа, кто согласится это держать у себя на серваке.

     
     
  • 2.7, szh (ok), 12:37, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Просто не нужно подключать компьютер к интернету, тогда и не будет проблем с безопасностью.
     
     
  • 3.14, Аноним (-), 13:37, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Просто не нужно подключать компьютер к интернету, тогда и не будет проблем
    > с безопасностью.

    Капитан, перелогиньтесь! Кстати а если еще и питающую сеть отключить, обломаются даже локальные злоумышленники :)


     
  • 2.10, Аноним (-), 13:16, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А то давайте, например, в postfix встроим поддержку flash, pdf и javascript,
    > вот бы я посмотрел на того админа, кто согласится это держать
    > у себя на серваке.

    Сюрприз, в ClamAV и прочие антивирусы давно встроены парсеры Flash и PDF, и в них регулярно находят дыры, через которые можно запустить код, допустим, отправив специально оформленный PDF-файл.

    http://secunia.com/advisories/search/?search=clamav

     
     
  • 3.12, Антоним (?), 13:33, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ClamAV и прочая ерунда не работает в MTA, для этого делают специальные chroot окружения. В прочем, парсеров flash там всё равно нет.
     
     
  • 4.19, Аноним123321 (ok), 15:57, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > ClamAV и прочая ерунда не работает в MTA, для этого делают специальные
    > chroot окружения. В прочем, парсеров flash там всё равно нет.

    Chroot это не "Тюрьма" и не виртуальная машина..

    ...побег из Chroot -- тривиальное действие (что не является багом)

     
     
  • 5.20, szh (ok), 17:15, 10/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    в словах
    > специальные chroot окружения

    очевидно имелось в виду СПЕЦИАЛЬНОЕ chroot окружение, а не процесс с рутовыми правами и примонтированным /dev

     

  • 1.9, Аноним (-), 13:12, 10/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ну и правильно. доработают эту фичу и мозиловцы вернут. лучше тише да дальше, чем громче до первого столба.
     
  • 1.16, Онаним (?), 13:48, 10/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Всё зло в IT - от погони за красивостями.
     
  • 1.24, gegMOPO4 (ok), 19:56, 10/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в это время другие пионеры пытаются перенести на GPU ядерные вычисления.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру