Anzeige
WebGL: Chrome blockiert externe Texturen und aktiviert CORS
(Bild: Khronos Group)

WebGL

Chrome blockiert externe Texturen und aktiviert CORS

Nach Firefox 5 unterbindet auch Googles Browser Chrome 13 die Nutzung von Cross-Domain-Texturen in WebGL aus Sicherheitsgründen. Zugleich aktiviert Google aber CORS-Support, um das Laden von externen Texturen wieder zu ermöglichen.

Anzeige

Google reagiert auf ein Sicherheitsproblem bei der Einbindung externer Ressourcen in WebGL und sperrt die Nutzung von Cross-Domain-Ressourcen für WebGL in Chrome 13. Es bestehe die Gefahr, dass durch die Einbindung externer Ressourcen Informationen an Dritte gesandt werden, heißt es. Das kann dazu führen, dass einige WebGL-Applikationen in Googles Browser nicht mehr funktionieren.

Werden Pixeldaten aus externen Bildern geladen, werden Canvas-Elemente, in denen auch WebGL-Inhalte dargestellt werden, für Scriptzugriffe gesperrt. So soll verhindert werden, dass das Canvas-Element als Proxy genutzt wird, um über ein Script an Bilder einer im gleichen Browser geöffneten Webseite heranzukommen. Denkbar wäre andernfalls, dass ein Script die Daten einer offenen Bankwebseite über das Canvas-Element ausliest.

Bereits im Oktober 2010 wies der Sicherheitsexperte Steve Baker darauf hin, dass es dennoch möglich ist, Pixel aus externen Bildern über WebGL-Texturen auszulesen. Dabei müssen die Pixel einzeln mit einem Fragment-Shader versehen werden, um zu messen, wie lange es dauert, die Helligkeit der Pixel zu verändern. Damit, so Baker, ließe sich ein ungefähres Abbild einer externen Grafik erstellen. War der Angriff anfangs noch recht komplex, hätten weitere Forschungen einen Proof-of-Concept hervorgebracht, was zeige, dass der Angriff praktisch möglich ist.

Als Reaktion darauf wurde die WebGL-Spezifikation angepasst und das Laden von Cross-Domain-Bildern als WebGL-Texturen verboten. Mozilla hat diese Änderung mit Firefox 5 umgesetzt, Google kündigte sie nun für Chrome 13 an.

Zugleich führt Google Cross-Origin Resource Sharing (CORS) für Mediaelemente ein. Darüber ist es dann wieder möglich, externe Texturen und Videos zu verwenden. Mittels Cors kann ein Server angeben, wann Scripte anderer Webseiten auf ein Bild zugreifen können. Dazu müssen die entsprechenden Websites aber die Nutzung ihrer Bildressourcen freigeben.

Google hat dies für Picasa bereits aktiviert, so dass Bilder aus Picasa in WebGL mittels CORS verwendet werden können. Testen lässt sich diese mit der aktuellen Entwicklerversion von Chrome, die im Chrome-Dev-Channel zum Download bereitsteht.


Kommentieren



Anzeige

  1. Softwareentwickler/-in Prozesse
    Robert Bosch GmbH, Schwieberdingen
  2. Business Consultant / Project Manager (m/w) - Connected Mobility (Fleet Soloutions)
    Bosch Software Innovations GmbH, Waiblingen bei Stuttgart
  3. IT-Anwendungsbetreuer SAP FI/CO (m/w)
    SICK AG, Waldkirch bei Freiburg im Breisgau
  4. Datenbankadministratorin / Datenbankadministrator
    Landesbetrieb IT.Niedersachsen, Hannover

Detailsuche


Hardware-Angebote
  1. Google Nexus 6P
    549,00€ statt 649,00€
  2. Wintersale im Microsoft Store
  3. TIPP: Amazon-Sale
    (reduzierte Überstände, Restposten & Co.)

Weitere Angebote


Folgen Sie uns
       


  1. Recht auf Vergessenwerden

    Google sperrt Links für alle europäischen Nutzer

  2. Abodienst

    Humble Bundle finanziert neue Indiegames

  3. 28HPCU-Fertigung

    ARM und UMC machen Smartphone-Chips günstiger

  4. Poseidon-Gruppe

    Über ein Jahrzehnt internationale Cyberattacken

  5. EU-Datenschützer

    Ein langer böser Brief an Facebook

  6. Graphite-Bibliothek

    Wenn Schriftarten zur Sicherheitslücke werden

  7. Verizon

    AOL-Eigner wollen Yahoo kaufen

  8. Imagination Technologies

    CEO tritt nach fast 20 Jahren zurück

  9. IMHO

    Amazon krempelt den Spielemarkt um

  10. Marshmallow und Lollipop

    HTC, Samsung und Sony verteilen Android-Updates



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Time Lab: Großes Kino
Time Lab
Großes Kino
  1. Forscher des IIS Sensoren am Körper bald ganz selbstverständlich
  2. Arbeitsschutz Deutscher Roboter schlägt absichtlich Menschen

Lockdown befürchtet: Die EU verbietet freie Router-Software - oder doch nicht?
Lockdown befürchtet
Die EU verbietet freie Router-Software - oder doch nicht?
  1. Captive Portals Ein Workaround, der bald nicht mehr funktionieren wird
  2. Die Woche im Video Mensch verliert gegen Maschine und iPhone verliert Wachstum
  3. WLAN-Störerhaftung Freifunker machen gegen Vorschaltseite mobil

Time Machine VR angespielt: Wir tauchen mit den Monstern der Tiefe
Time Machine VR angespielt
Wir tauchen mit den Monstern der Tiefe
  1. Unreal Engine4 Epic baut virtuelle Welt in virtueller Welt
  2. Unmandelboxing Markus Persson fliegt durch VR-Fraktaltunnel
  3. Spectrevision Elijah Wood macht Horror-VR mit Ubisoft

  1. Re: Einschätzung basiert auf ...?

    Trockenobst | 16:53

  2. Re: Overclocker müsste sich doch Zen herbeisehnen

    cicero | 16:53

  3. Re: GNOME 3 ist toll, die Anwendungs-"Updates...

    CalebR | 16:51

  4. Re: Kein Android

    pythoneer | 16:51

  5. Re: Finde ich in Ordnung

    Hotohori | 16:48


  1. 16:51

  2. 16:23

  3. 15:54

  4. 15:19

  5. 15:07

  6. 14:36

  7. 13:43

  8. 13:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel