パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「WebGL」にセキュリティ問題、規格自体の大規模な修正が必要に?」記事へのコメント

  • by s02222 (20350) on 2011年05月12日 18時54分 (#1951182)
    具体的に仕様上の特定のここが危ない、って話ではないのか。出来ることが増えたけど、増えた部分のセキュリティはどうなってんのよ? みたいな。

    変な例えだけど、圧縮された画像を展開するライブラリを下手に作ると、 「ある種の細工が施された偽JPEGファイル」を読み込ませたら任意のコードが実行されてしまうようなバグを盛り込んじゃうこともあり得る (実際に、解凍ソフトやTrueTypeのレンダリングエンジンにバッファオーバーランの脆弱性が見つかった例とかもある)。 もちろん、ブラウザにはそんな下手なライブラリは採用されない。 どんなに悪意を持ったページを開いても安全、と保証するためには、 正しい物から間違った物までどんなデータを食わせても、変なことが起こらないというのを徹底的にチェックする必要があるし、(多分)されている。

    WebGLでは画像データに加えて、「3次元のジオメトリデータ」をWebページ上に配置すれば、 ブラウザはそれをGPUのアクセラレーションを最大限使って画面に表示してくれる。 この「GPUのアクセラレーションを最大限使って」というのが、上の画像の例での画像表示ライブラリの部分に当たる。 つまり、GPUのアクセラレーションの部分が、ブラウザ並みにセキュアでバグ無しになってないと困るけど現状はまだまだバグらだけ・・・と言うのが大きな問題。

    GPUメーカーは、高速化には熱心でも、「どんなデータを食わせても安全」という方向性のセキュリティ確保には熱心では無い。 何せ今までは悪意を持って細工されたデータを食わされる可能性は考える必要が無かったから。 どっちかというと、データの方は、どんなGPUでも動くようにとゲームメーカーが誠心誠意、丁寧に調整してくれてたような世界。

    あと、仮にバグが完全に無くなっても、GPU内部でプログラムを動かせるという仕様上DoS攻撃にも使えてしまうやら、クロスサイトで画像の中身を取得する攻撃に使えるやらと、セキュリティを今まで考えていた水準に戻すのは大変、という話っぽい。

    とりあえずは完全にOFFにするか、「WebGLを検出しました。ONにしますか?」とか「このサイトからのWebGLを常に信用する」みたいな昔ながらの対処しか無いんじゃ無いかな。
    • by Anonymous Coward

      なんかGPUとか洋ゲーは今動いてればそれでよしって感が強いよね
      ローカルでチートとか使って遊んでるとゲームエンジンの仕様の範囲内のはずなのに表示がメチャクチャになったり
      異常系のテストしてないっていうのかな

      • ゲームなんて、当たり判定用の設定や
        カメラのパラメータがほんの少し狂うだけで未定義の世界へようこそ状態ですよ…

        おかしな絵が見える所が残ってないか、
        角度を変えながらひたすらキャラに体当たりさせたり
        右スティックぐるんぐるん振り回したりして自分が飽きて死にそうになる事はあっても
        絵が崩壊したときに実際どんな現象が起きるかなんてのはどうでもいい事なのです。

        # ゲームエンジンの仕様とチートで何してるかわからんから適当だけど

    • by Anonymous Coward

      もうひとつ「CPUでレンダリングする」という手もありますよ。
      最近のCPUでならそう非現実的な話でもないでしょう。

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...