WebGL: Chrome blockiert externe Texturen und aktiviert CORS
(Bild: Khronos Group)

WebGL

Chrome blockiert externe Texturen und aktiviert CORS

Nach Firefox 5 unterbindet auch Googles Browser Chrome 13 die Nutzung von Cross-Domain-Texturen in WebGL aus Sicherheitsgründen. Zugleich aktiviert Google aber CORS-Support, um das Laden von externen Texturen wieder zu ermöglichen.

Anzeige

Google reagiert auf ein Sicherheitsproblem bei der Einbindung externer Ressourcen in WebGL und sperrt die Nutzung von Cross-Domain-Ressourcen für WebGL in Chrome 13. Es bestehe die Gefahr, dass durch die Einbindung externer Ressourcen Informationen an Dritte gesandt werden, heißt es. Das kann dazu führen, dass einige WebGL-Applikationen in Googles Browser nicht mehr funktionieren.

Werden Pixeldaten aus externen Bildern geladen, werden Canvas-Elemente, in denen auch WebGL-Inhalte dargestellt werden, für Scriptzugriffe gesperrt. So soll verhindert werden, dass das Canvas-Element als Proxy genutzt wird, um über ein Script an Bilder einer im gleichen Browser geöffneten Webseite heranzukommen. Denkbar wäre andernfalls, dass ein Script die Daten einer offenen Bankwebseite über das Canvas-Element ausliest.

Bereits im Oktober 2010 wies der Sicherheitsexperte Steve Baker darauf hin, dass es dennoch möglich ist, Pixel aus externen Bildern über WebGL-Texturen auszulesen. Dabei müssen die Pixel einzeln mit einem Fragment-Shader versehen werden, um zu messen, wie lange es dauert, die Helligkeit der Pixel zu verändern. Damit, so Baker, ließe sich ein ungefähres Abbild einer externen Grafik erstellen. War der Angriff anfangs noch recht komplex, hätten weitere Forschungen einen Proof-of-Concept hervorgebracht, was zeige, dass der Angriff praktisch möglich ist.

Als Reaktion darauf wurde die WebGL-Spezifikation angepasst und das Laden von Cross-Domain-Bildern als WebGL-Texturen verboten. Mozilla hat diese Änderung mit Firefox 5 umgesetzt, Google kündigte sie nun für Chrome 13 an.

Zugleich führt Google Cross-Origin Resource Sharing (CORS) für Mediaelemente ein. Darüber ist es dann wieder möglich, externe Texturen und Videos zu verwenden. Mittels Cors kann ein Server angeben, wann Scripte anderer Webseiten auf ein Bild zugreifen können. Dazu müssen die entsprechenden Websites aber die Nutzung ihrer Bildressourcen freigeben.

Google hat dies für Picasa bereits aktiviert, so dass Bilder aus Picasa in WebGL mittels CORS verwendet werden können. Testen lässt sich diese mit der aktuellen Entwicklerversion von Chrome, die im Chrome-Dev-Channel zum Download bereitsteht.


Kommentieren



Anzeige

  1. Ingenieur (m/w) Informationstechnik
    Netze BW GmbH, Stuttgart
  2. Web-Entwickler (m/w) mit Schwerpunkt PHP
    LLG Media GmbH, Bonn
  3. SAP Business Process Expert (m/w)
    Brüel & Kjaer Vibro GmbH, Darmstadt
  4. Softwareentwickler (m/w)
    TRUMPF GmbH + Co. KG, Ditzingen

 

Detailsuche


Folgen Sie uns
       


  1. Hoverboard

    Schweben wie Marty McFly

  2. Nepton 120XL und 240M

    Cooler Master macht Wasserkühlungen leiser

  3. Deutsche Telekom

    Umstellung auf VoIP oder Kündigung erst ab 2017

  4. HTC

    Desire 820 Mini mit Quad-Core-Prozessor und 5-Zoll-Display

  5. Merkel auf IT-Gipfel

    Netzneutralität wird erst im Glasfasernetz wichtig

  6. Elektromobilität

    Die Chipkarte für die Ladesäule

  7. Next Century Cities

    32 US-Städte wollen Glasfaserausbau selbst machen

  8. Azure-Server

    Microsoft und Dell bringen Cloud in a Box

  9. GNU

    Emacs 24.4 mit integriertem Browser

  10. IT-Gipfel 2014

    De Maizière nennt De-Mail "nicht ganz zufriedenstellend"



Haben wir etwas übersehen?

E-Mail an news@golem.de



Schenker XMG P505 im Test: Flaches Gaming-Notebook mit überraschender GTX 970M
Schenker XMG P505 im Test
Flaches Gaming-Notebook mit überraschender GTX 970M
  1. Geforce GTX 980M und 970M Maxwell verdoppelt Spielgeschwindigkeit von Notebooks
  2. Toughbook CF-LX3 Panasonics leichtes Notebook mit der Lizenz zum Runterfallen
  3. Entwicklung vorerst eingestellt Notebooks mit Touch-Displays sind nicht gefragt

Dell Latitude 12 Rugged Extreme im Test: Convertible zum Fallenlassen
Dell Latitude 12 Rugged Extreme im Test
Convertible zum Fallenlassen
  1. Lenovo Neues Thinkpad Helix wird dank Core M lüfterlos
  2. PLA, ABS und Primalloy 3D-Druckermaterial und M-Discs von Verbatim
  3. Samsung Curved Display Gebogener 21:9-Monitor für PCs

Kazam Tornado 348 ausprobiert: Das dünnste Smartphone der Welt hat ein versichertes Display
Kazam Tornado 348 ausprobiert
Das dünnste Smartphone der Welt hat ein versichertes Display

    •  / 
    Zum Artikel