Anzeige
Sicherheit: Firefox 5 erlaubt keine externen Texturen bei WebGL mehr
(Bild: Khronos Group)

Sicherheit

Firefox 5 erlaubt keine externen Texturen bei WebGL mehr

Mozilla wird die Nutzung von Cross-Domain-Texturen in WebGL in Firefox 5 deaktivieren. Texturen können dann aus Sicherheitsgründen nicht mehr von externen Seiten geladen werden.

Anzeige

Mozilla reagiert auf Sicherheitsbedenken in Bezug auf die Einbindung externer Ressourcen in WebGL und sperrt die Nutzung von Cross-Domain-Ressourcen für WebGL in Firefox 5. Es bestehe die Gefahr, dass durch die Einbindung externer Ressourcen Informationen an Dritte gesandt werden, heißt es.

Webseiten, die WebGL mit externen Texturen verwenden, werden dadurch in Firefox nicht mehr funktionieren. Mozilla arbeitet nach eigenen Angaben zusammen mit der WebGL-Arbeitsgruppe an einer Lösung, die sicherstellen soll, dass auch solche Seiten wieder funktionieren.

Werden Pixeldaten aus externen Bildern geladen, werden Canvas-Elemente, in denen auch WebGL-Inhalte dargestellt werden, für Scriptzugriffe gesperrt. So soll verhindert werden, dass das Canvas-Element als Proxy genutzt wird, um über ein Script an Bilder einer im gleichen Browser geöffneten Webseite heranzukommen. Denkbar wäre andernfalls, dass ein Script die Daten einer offenen Bankwebseite über das Canvas-Element ausliest.

Bereits im Oktober 2010 wies aber der Sicherheitsexperte Steve Baker darauf hin, dass es dennoch möglich ist, Pixel aus externen Bildern über WebGL-Texturen auszulesen. Dabei müssen die Pixel einzeln mit einem Fragment-Shader versehen werden, um zu messen, wie lange es dauert, die Helligkeit der Pixel zu verändern. Damit, so Baker, ließe sich ein ungefähres Abbild einer externen Grafik erstellen.

War der Angriff anfangs noch recht komplex, hätten weitere Forschungen einen Proof-of-Concept hervorgebracht, was zeige, dass der Angriff praktisch möglich ist.

Als Reaktion darauf wurde die WebGL-Spezifikation angepasst und das Laden von Cross-Domain-Bildern als WebGL-Texturen verboten. Mozilla wird diese Änderung in Firefox 5 integrieren.

Abhilfe schaffen soll "Cross-Origin Resource Sharing", kurz Cors, das Mozilla schnellstmöglich implementieren will. Mittels Cors kann ein Server angeben, wann Scripte anderer Webseiten auf ein Bild zugreifen können.

Details zu den Änderungen sind einem Blogeintrag bei Mozilla zu entnehmen.


eye home zur Startseite
teleborian 10. Jun 2011

erinnert mich an Freenet

Kommentieren


Antary / 15. Jun 2011



Anzeige

  1. Software Ingenieur (m/w)
    über JOB AG Technology Service GmbH, Stuttgart
  2. System Engineer (m/w) Citrix
    DATAGROUP Köln GmbH, Frankfurt am Main
  3. Mitarbeiter/-in Automatisierte Softwareverteilung
    Dataport, Hamburg, Altenholz bei Kiel, Bremen, Magdeburg
  4. IT-Netzwerkadministrator (m/w)
    SYNLAB Holding Deutschland GmbH, Leverkusen

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Hyperloop

    HTT will seine Rohrpostzüge aus Marvel-Material bauen

  2. Smartwatches

    Pebble 2 und Pebble Time 2 mit Pulsmesser

  3. Kickstarter

    Pebble Core als GPS-Anhänger für Hacker und Sportler

  4. Virtual Reality

    Facebook kauft Two Big Ears für 360-Grad-Sound

  5. Wirtschaftsminister Olaf Lies

    Beirat der Bundesnetzagentur gegen exklusives Vectoring

  6. Smartphone-Betriebssystem

    Microsoft verliert stark gegenüber Google und Apple

  7. Onlinehandel

    Amazon startet eigenen Paketdienst in Berlin

  8. Pastejacking im Browser

    Codeausführung per Copy and Paste

  9. Manuela Schwesig

    Familienministerin will den Jugendschutz im Netz neu regeln

  10. Intels Compute Stick im Test

    Der mit dem Lüfter streamt (2)



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Business-Notebooks im Überblick: Voll ausgestattet, dockingtauglich und trotzdem klein
Business-Notebooks im Überblick
Voll ausgestattet, dockingtauglich und trotzdem klein
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten
  2. Windows 7 und 8.1 Microsoft verlängert den Skylake-Support
  3. Intel Authenticate Fingerabdruck und Bluetooth-Smartphone entsperren PC

Unternehmens-IT: Von Kabelsalat und längst überfälligen Upgrades
Unternehmens-IT
Von Kabelsalat und längst überfälligen Upgrades
  1. Revive Update hebelt Oculus VRs Kopierschutz aus
  2. LizardFS Software-defined Storage, wie es sein soll
  3. HPE Hyper Converged 380 Kleines System für das schnelle Erstellen von VMs

Googles Neuvorstellungen: Alles nur geklaut?
Googles Neuvorstellungen
Alles nur geklaut?
  1. Google I/O Android Auto wird eine eigenständige App
  2. Jacquard und Soli Google bringt smarte Jacke und verbessert Radar-Chip
  3. Modulares Smartphone Project Ara soll 2017 kommen - nur noch teilweise modular

  1. Re: Endlich einmal positive Nachrichten.

    AIM-9 Sidewinder | 05:00

  2. Re: Microsoft hat zwei Fehler gemacht

    AIM-9 Sidewinder | 04:50

  3. Der war gut...

    HelpbotDeluxe | 03:49

  4. Re: "Vectoring ist Glasfaser"

    bombinho | 03:21

  5. Re: So müßte Open Pandora aussehen ...

    Lightkey | 03:10


  1. 19:01

  2. 18:03

  3. 17:17

  4. 17:03

  5. 16:58

  6. 14:57

  7. 14:31

  8. 13:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel