Abo
  • Services:
Anzeige
Sicherheit: Firefox 5 erlaubt keine externen Texturen bei WebGL mehr
(Bild: Khronos Group)

Sicherheit

Firefox 5 erlaubt keine externen Texturen bei WebGL mehr

Sicherheit: Firefox 5 erlaubt keine externen Texturen bei WebGL mehr
(Bild: Khronos Group)

Mozilla wird die Nutzung von Cross-Domain-Texturen in WebGL in Firefox 5 deaktivieren. Texturen können dann aus Sicherheitsgründen nicht mehr von externen Seiten geladen werden.

Mozilla reagiert auf Sicherheitsbedenken in Bezug auf die Einbindung externer Ressourcen in WebGL und sperrt die Nutzung von Cross-Domain-Ressourcen für WebGL in Firefox 5. Es bestehe die Gefahr, dass durch die Einbindung externer Ressourcen Informationen an Dritte gesandt werden, heißt es.

Webseiten, die WebGL mit externen Texturen verwenden, werden dadurch in Firefox nicht mehr funktionieren. Mozilla arbeitet nach eigenen Angaben zusammen mit der WebGL-Arbeitsgruppe an einer Lösung, die sicherstellen soll, dass auch solche Seiten wieder funktionieren.

Anzeige

Werden Pixeldaten aus externen Bildern geladen, werden Canvas-Elemente, in denen auch WebGL-Inhalte dargestellt werden, für Scriptzugriffe gesperrt. So soll verhindert werden, dass das Canvas-Element als Proxy genutzt wird, um über ein Script an Bilder einer im gleichen Browser geöffneten Webseite heranzukommen. Denkbar wäre andernfalls, dass ein Script die Daten einer offenen Bankwebseite über das Canvas-Element ausliest.

Bereits im Oktober 2010 wies aber der Sicherheitsexperte Steve Baker darauf hin, dass es dennoch möglich ist, Pixel aus externen Bildern über WebGL-Texturen auszulesen. Dabei müssen die Pixel einzeln mit einem Fragment-Shader versehen werden, um zu messen, wie lange es dauert, die Helligkeit der Pixel zu verändern. Damit, so Baker, ließe sich ein ungefähres Abbild einer externen Grafik erstellen.

War der Angriff anfangs noch recht komplex, hätten weitere Forschungen einen Proof-of-Concept hervorgebracht, was zeige, dass der Angriff praktisch möglich ist.

Als Reaktion darauf wurde die WebGL-Spezifikation angepasst und das Laden von Cross-Domain-Bildern als WebGL-Texturen verboten. Mozilla wird diese Änderung in Firefox 5 integrieren.

Abhilfe schaffen soll "Cross-Origin Resource Sharing", kurz Cors, das Mozilla schnellstmöglich implementieren will. Mittels Cors kann ein Server angeben, wann Scripte anderer Webseiten auf ein Bild zugreifen können.

Details zu den Änderungen sind einem Blogeintrag bei Mozilla zu entnehmen.


eye home zur Startseite
teleborian 10. Jun 2011

erinnert mich an Freenet


Antary / 15. Jun 2011



Anzeige

Stellenmarkt
  1. Bankhaus Metzler, Frankfurt
  2. Landeshauptstadt München, München
  3. über Robert Half Technology, Stuttgart
  4. THOMAS SABO GmbH & Co. KG, Lauf an der Pegnitz


Anzeige
Top-Angebote
  1. Um den 15-Prozent-Gutschein in Anspruch nehmen zu können, kaufen die Nutzer einfach ihren...
  2. (u. a. Jurassic World, Creed, Die Unfassbaren, Kingsman, John Wick, Interstellar, Mad Max)
  3. 99,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Project Catapult

    Microsoft setzt massiv auf FPGAs

  2. Kabel

    Vodafone deckt mit 400 MBit/s fünf Millionen Haushalte ab

  3. Session Recovery

    Firefox und Chrome schreiben sehr viele Daten

  4. Windows 10 Enterprise

    Edge-Browser soll bald in virtueller Umgebung laufen

  5. Valve

    Oberfläche von Steam wird überarbeitet

  6. Tintenstrahldrucker

    Anbieter umgehen HPs Patronensperre

  7. UTM

    Nokia lässt Drohnen am Flughafen steigen

  8. Swift Playgrounds im Test

    Apple infiziert Kinder mit Programmiertalent

  9. Gedrosselt

    Congstar bringt Hardware WLAN Cube mit Datentarif

  10. Messenger

    Datenschützer verbietet Facebook und Whatsapp Datenabgleich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Recruiting: Uni-Abschluss ist nicht mehr das Wichtigste
Recruiting
Uni-Abschluss ist nicht mehr das Wichtigste
  1. Friends Conrad vermittelt Studenten für Serviceleistungen
  2. IT-Jobs Bayerische Firmen finden nicht genügend Programmierer
  3. Fest angestellt Wie viele Informatiker es in Deutschland gibt

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  2. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  3. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus

Mi Notebook Air im Test: Xiaomis geglückte Notebook-Premiere
Mi Notebook Air im Test
Xiaomis geglückte Notebook-Premiere
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App
  3. Xiaomi Hugo Barra verkündet Premium-Smartphone

  1. Re: Wie bei jeder neuen Version. Was nutzt das...

    bofhl | 14:05

  2. Re: Das wirkliche Problem ist IPv6 mit Dual-Stack...

    registrierungen... | 14:05

  3. Re: Und wieder wird gelogen...

    Dino13 | 14:05

  4. Re: Unter welchen Umständen hat man auch wirklich...

    AngryFrog | 14:04

  5. Re: Warum kein komplettes Refresh?

    Ingwar | 14:04


  1. 13:54

  2. 13:24

  3. 13:15

  4. 13:00

  5. 12:45

  6. 12:30

  7. 12:15

  8. 11:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel