WebGL: Chrome blockiert externe Texturen und aktiviert CORS
(Bild: Khronos Group)

WebGL

Chrome blockiert externe Texturen und aktiviert CORS

Nach Firefox 5 unterbindet auch Googles Browser Chrome 13 die Nutzung von Cross-Domain-Texturen in WebGL aus Sicherheitsgründen. Zugleich aktiviert Google aber CORS-Support, um das Laden von externen Texturen wieder zu ermöglichen.

Anzeige

Google reagiert auf ein Sicherheitsproblem bei der Einbindung externer Ressourcen in WebGL und sperrt die Nutzung von Cross-Domain-Ressourcen für WebGL in Chrome 13. Es bestehe die Gefahr, dass durch die Einbindung externer Ressourcen Informationen an Dritte gesandt werden, heißt es. Das kann dazu führen, dass einige WebGL-Applikationen in Googles Browser nicht mehr funktionieren.

Werden Pixeldaten aus externen Bildern geladen, werden Canvas-Elemente, in denen auch WebGL-Inhalte dargestellt werden, für Scriptzugriffe gesperrt. So soll verhindert werden, dass das Canvas-Element als Proxy genutzt wird, um über ein Script an Bilder einer im gleichen Browser geöffneten Webseite heranzukommen. Denkbar wäre andernfalls, dass ein Script die Daten einer offenen Bankwebseite über das Canvas-Element ausliest.

Bereits im Oktober 2010 wies der Sicherheitsexperte Steve Baker darauf hin, dass es dennoch möglich ist, Pixel aus externen Bildern über WebGL-Texturen auszulesen. Dabei müssen die Pixel einzeln mit einem Fragment-Shader versehen werden, um zu messen, wie lange es dauert, die Helligkeit der Pixel zu verändern. Damit, so Baker, ließe sich ein ungefähres Abbild einer externen Grafik erstellen. War der Angriff anfangs noch recht komplex, hätten weitere Forschungen einen Proof-of-Concept hervorgebracht, was zeige, dass der Angriff praktisch möglich ist.

Als Reaktion darauf wurde die WebGL-Spezifikation angepasst und das Laden von Cross-Domain-Bildern als WebGL-Texturen verboten. Mozilla hat diese Änderung mit Firefox 5 umgesetzt, Google kündigte sie nun für Chrome 13 an.

Zugleich führt Google Cross-Origin Resource Sharing (CORS) für Mediaelemente ein. Darüber ist es dann wieder möglich, externe Texturen und Videos zu verwenden. Mittels Cors kann ein Server angeben, wann Scripte anderer Webseiten auf ein Bild zugreifen können. Dazu müssen die entsprechenden Websites aber die Nutzung ihrer Bildressourcen freigeben.

Google hat dies für Picasa bereits aktiviert, so dass Bilder aus Picasa in WebGL mittels CORS verwendet werden können. Testen lässt sich diese mit der aktuellen Entwicklerversion von Chrome, die im Chrome-Dev-Channel zum Download bereitsteht.


Kommentieren



Anzeige

  1. SAP Functional Support FI CO (m/w)
    Faurecia Autositze GmbH, Stadthagen bei Hannover
  2. Big Data Expert (m/w) für den Bereich Industry & Logistics
    Bosch Software Innovations GmbH, Berlin, Immenstaad am Bodensee, Waiblingen
  3. Software Architect Microsoft.NET (m/w)
    QIAGEN GmbH, Hilden (bei Düsseldorf)
  4. Entwicklungsingenieur Embedded Software (m/w)
    SICK STEGMANN GmbH, Donaueschingen

Detailsuche


Spiele-Angebote
  1. Xbox One The Witcher: Wild Hunt Bundle
    399,00€
  2. Life is Strange Complete Season (Episodes 1-5) [PC Code - Steam]
    19,99€
  3. VORBESTELLBAR: PlayStation 4 - Konsole (1TB) Star Wars Battlefront Limited Edition
    499,00€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Me Pro im Hands on

    Gigasets Einstieg in den Smartphone-Markt

  2. iOS

    Jailbreak-Malware greift 225.000 Nutzerdaten ab

  3. Wettbewerbszentrale

    Abmahnung für Zalando wegen vorgetäuschter Knappheit

  4. Nextbit Robin angeschaut

    Das Smartphone mit der intelligenten Cloud

  5. Netzneutralität

    Bund will Spezialdienste für autonome Autos - egal wozu

  6. Streaming

    Amazon-Prime-Inhalte jetzt für alle herunterladbar

  7. Epic Games

    Unreal Engine 4.9 mit mehr Grafikeffekten auf Mobilegeräten

  8. Hypervisor

    OpenBSD bekommt native Virtualisierung

  9. Streamingbox

    Amazon bereitet wohl neues Fire TV vor

  10. Elliptische Umlaufbahn

    Galileo-Satelliten werden für die Forschung eingesetzt



Haben wir etwas übersehen?

E-Mail an news@golem.de



TempleOS im Test: Göttlicher Hardcore
TempleOS im Test
Göttlicher Hardcore
  1. Erste Probleme mit Zwangsupdates Windows-10-Patch bockt
  2. Windows 10 Microsoft gibt Enterprise-Version frei
  3. Microsoft Über 14 Millionen sind bereits auf Windows 10 gewechselt

Windows 10 IoT ausprobiert: Finales Windows auf dem Raspberry Pi 2
Windows 10 IoT ausprobiert
Finales Windows auf dem Raspberry Pi 2
  1. Orange Pi PC Bastelrechner für 15 US-Dollar
  2. Odroid C1+ Ausnahmsweise teurer, dafür praktischer und mit mehr Sound
  3. PiUSV+ angetestet Überarbeitete USV für das Raspberry Pi

Until Dawn im Test: Ich weiß, was du diesen Sommer spielen solltest
Until Dawn im Test
Ich weiß, was du diesen Sommer spielen solltest
  1. The Flock im Test Versteck spielen, bis alle tot sind
  2. Everybody's Gone to the Rapture im Test Spaziergang am Rande der Apokalypse
  3. Submerged im Test Einschläferndes Abenteuer

  1. Ich wollte nur nicht mehr von Apple getrackt werden

    DY | 00:11

  2. Re: Exakte Zahlen statt "mehr als 3"

    Slartie | 00:07

  3. Re: H.265 mit FireTV nicht moeglich

    ustas04 | 00:07

  4. Mit 'ner Blu-Ray wäre der Aufschrei noch größer

    Schrödinger's... | 00:03

  5. Re: Und im umgekehrten Fall?

    der_wahre_hannes | 01.09. 23:49


  1. 18:29

  2. 17:52

  3. 17:08

  4. 16:00

  5. 15:57

  6. 15:40

  7. 15:25

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel