image

Tor waarschuwt voor risico WebGL

maandag 13 augustus 2012, 10:15 door Redactie, 0 reacties

Het Tor Project heeft een nieuwe browserbundel om anoniem te kunnen internetten uitgebracht, waarbij het ook WebGL ondersteunt. Gebruikers die de technologie willen gebruiken moeten hiervoor wel een extra keer klikken. In eerste instantie maakte het Tor Project zich zorgen over het privacyrisico van WebGL. Via de technologie is het mogelijk om interactieve 2D en 3D afbeeldingen weer te geven. Het is echter ook mogelijk om gebruikers via WebGL te 'fingerprinten'.

In de Tor Browser Bundle wordt een aangepaste Firefox-versie gebruikt, waarin de opties webgl.min_capability_mode en webgl.disable-extensions zijn ingesteld, waardoor dit het privacyrisico zou verkleinen.

Risico
Toch maakt Tor-ontwikkelaar Mike Perry zich zorgen over de kwetsbaarheden die WebGL op een systeem introduceert. De techniek communiceert met de driver van de videokaart. Veel van de code bevindt zich in de kernel of heeft UID 0-rechten. "Daardoor is het erg lastig om te sandboxen. Erger nog, veel drivers zijn niet netwerk-beveiligd of ontworpen om met onbetrouwbare input om te gaan."

Perry stelt dat WebGL voor de nabije toekomst een "click-to-play" technologie blijft, "zelfs als het is 'ingeschakeld'", aldus de Tor-ontwikkelaar. Onderzoekers demonstreerden vorig jaar al dat WebGL een beveiligingsrisico kan zijn.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.