WebGL: Chrome blockiert externe Texturen und aktiviert CORS
(Bild: Khronos Group)

WebGL

Chrome blockiert externe Texturen und aktiviert CORS

Nach Firefox 5 unterbindet auch Googles Browser Chrome 13 die Nutzung von Cross-Domain-Texturen in WebGL aus Sicherheitsgründen. Zugleich aktiviert Google aber CORS-Support, um das Laden von externen Texturen wieder zu ermöglichen.

Anzeige

Google reagiert auf ein Sicherheitsproblem bei der Einbindung externer Ressourcen in WebGL und sperrt die Nutzung von Cross-Domain-Ressourcen für WebGL in Chrome 13. Es bestehe die Gefahr, dass durch die Einbindung externer Ressourcen Informationen an Dritte gesandt werden, heißt es. Das kann dazu führen, dass einige WebGL-Applikationen in Googles Browser nicht mehr funktionieren.

Werden Pixeldaten aus externen Bildern geladen, werden Canvas-Elemente, in denen auch WebGL-Inhalte dargestellt werden, für Scriptzugriffe gesperrt. So soll verhindert werden, dass das Canvas-Element als Proxy genutzt wird, um über ein Script an Bilder einer im gleichen Browser geöffneten Webseite heranzukommen. Denkbar wäre andernfalls, dass ein Script die Daten einer offenen Bankwebseite über das Canvas-Element ausliest.

Bereits im Oktober 2010 wies der Sicherheitsexperte Steve Baker darauf hin, dass es dennoch möglich ist, Pixel aus externen Bildern über WebGL-Texturen auszulesen. Dabei müssen die Pixel einzeln mit einem Fragment-Shader versehen werden, um zu messen, wie lange es dauert, die Helligkeit der Pixel zu verändern. Damit, so Baker, ließe sich ein ungefähres Abbild einer externen Grafik erstellen. War der Angriff anfangs noch recht komplex, hätten weitere Forschungen einen Proof-of-Concept hervorgebracht, was zeige, dass der Angriff praktisch möglich ist.

Als Reaktion darauf wurde die WebGL-Spezifikation angepasst und das Laden von Cross-Domain-Bildern als WebGL-Texturen verboten. Mozilla hat diese Änderung mit Firefox 5 umgesetzt, Google kündigte sie nun für Chrome 13 an.

Zugleich führt Google Cross-Origin Resource Sharing (CORS) für Mediaelemente ein. Darüber ist es dann wieder möglich, externe Texturen und Videos zu verwenden. Mittels Cors kann ein Server angeben, wann Scripte anderer Webseiten auf ein Bild zugreifen können. Dazu müssen die entsprechenden Websites aber die Nutzung ihrer Bildressourcen freigeben.

Google hat dies für Picasa bereits aktiviert, so dass Bilder aus Picasa in WebGL mittels CORS verwendet werden können. Testen lässt sich diese mit der aktuellen Entwicklerversion von Chrome, die im Chrome-Dev-Channel zum Download bereitsteht.


Kommentieren



Anzeige

  1. Anwendungsentwickler CAD-Datenmanagement (m/w)
    ZF Friedrichshafen AG, Schweinfurt
  2. IT-Projektmanager (m/w)
    ckc ag, Braunschweig/Wolfsburg
  3. Administratoren / -innen IT-Netze, IT-Sicherheit
    Bundesstelle für Informationstechnik (BIT), Wiesbaden
  4. Referent (m/w) IT (Projekt- und Portfoliomanagement)
    Amprion GmbH, Dortmund

 

Detailsuche


Blu-ray-Angebote
  1. Erbarmungslos (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    14,99€ - Release 28.05.
  2. Fast & Furious 7 [Blu-ray]
    21,99€ mit Vorbesteller-Preisgarantie
  3. Der Hobbit: Die Schlacht der fünf Heere (Steelbook) [Blu-ray] [Limited Edition]
    32,99€ - Release 23.04.

 

Weitere Angebote


Folgen Sie uns
       


  1. Die Woche im Video

    Ein Zombie, Insekten und Lollipop

  2. Star Wars Battlefront

    Planetenkampf vor dem Erwachen der Macht

  3. Geodaten

    200 Beschäftigte verpixelten Google-Street-View-Häuser

  4. Windkraftwerke

    Kletterroboter überprüft Windräder

  5. Inside Abbey Road

    Mit Google durch das berühmteste Musikstudio der Welt

  6. ÖBB

    WLAN im Spaceshuttle einfacher zu machen als im Zug

  7. Google

    Chrome unterstützt Windows XP bis Ende 2015

  8. Kernel

    GNU Hurd 0.6 erschienen

  9. Highway Star

    Wikos Alu-Smartphone kostet 370 Euro

  10. MM1

    VR-Stuhl mit Fünf-Punkte-Gurt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Roboter: Festos Falter fliegen fleißig
Roboter
Festos Falter fliegen fleißig
  1. Care-O-bot Der Gentleman-Roboter gibt sich die Ehre
  2. Festo Ameisenroboter krabbeln koordiniert
  3. Moley Robotics Heute kocht der Roboter

GTA 5: Es ist doch nicht 2004!
GTA 5
Es ist doch nicht 2004!
  1. GTA 5 auf dem PC Erst beschränkter Zugriff, dann mehr Freiheit
  2. GTA 5 PC Rockstar Games gibt Systemanforderungen für Ultra-HD bekannt
  3. GTA 5 PC angespielt Los Santos ohne Staubschleier

Google Handschrifteingabe im Hands on: App erkennt sogar krakelige Handschriften
Google Handschrifteingabe im Hands on
App erkennt sogar krakelige Handschriften
  1. MTCast für Android Mediathek-Cast-App kehrt nicht in den Play Store zurück
  2. Parkpocket App hilft bei der Parkplatzsuche
  3. Screenpop Neuer Messenger schickt Fotos direkt auf Sperrbildschirm

  1. Re: Version 1.0 ist dann ca 2030 fertig.

    ArneBab | 09:12

  2. Re: Neuland

    YarYar | 09:10

  3. Re: Einfach ein Windows Phone kaufen

    SchmuseTigger | 09:06

  4. Re: Auch wenn ich kein Star Wars Fan bin...

    exxo | 09:05

  5. 'Smart' ist das neue Dumm

    miauwww | 09:04


  1. 09:01

  2. 20:53

  3. 19:22

  4. 18:52

  5. 16:49

  6. 16:35

  7. 15:14

  8. 14:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel