WebGL: Chrome blockiert externe Texturen und aktiviert CORS
(Bild: Khronos Group)

WebGL

Chrome blockiert externe Texturen und aktiviert CORS

Nach Firefox 5 unterbindet auch Googles Browser Chrome 13 die Nutzung von Cross-Domain-Texturen in WebGL aus Sicherheitsgründen. Zugleich aktiviert Google aber CORS-Support, um das Laden von externen Texturen wieder zu ermöglichen.

Anzeige

Google reagiert auf ein Sicherheitsproblem bei der Einbindung externer Ressourcen in WebGL und sperrt die Nutzung von Cross-Domain-Ressourcen für WebGL in Chrome 13. Es bestehe die Gefahr, dass durch die Einbindung externer Ressourcen Informationen an Dritte gesandt werden, heißt es. Das kann dazu führen, dass einige WebGL-Applikationen in Googles Browser nicht mehr funktionieren.

Werden Pixeldaten aus externen Bildern geladen, werden Canvas-Elemente, in denen auch WebGL-Inhalte dargestellt werden, für Scriptzugriffe gesperrt. So soll verhindert werden, dass das Canvas-Element als Proxy genutzt wird, um über ein Script an Bilder einer im gleichen Browser geöffneten Webseite heranzukommen. Denkbar wäre andernfalls, dass ein Script die Daten einer offenen Bankwebseite über das Canvas-Element ausliest.

Bereits im Oktober 2010 wies der Sicherheitsexperte Steve Baker darauf hin, dass es dennoch möglich ist, Pixel aus externen Bildern über WebGL-Texturen auszulesen. Dabei müssen die Pixel einzeln mit einem Fragment-Shader versehen werden, um zu messen, wie lange es dauert, die Helligkeit der Pixel zu verändern. Damit, so Baker, ließe sich ein ungefähres Abbild einer externen Grafik erstellen. War der Angriff anfangs noch recht komplex, hätten weitere Forschungen einen Proof-of-Concept hervorgebracht, was zeige, dass der Angriff praktisch möglich ist.

Als Reaktion darauf wurde die WebGL-Spezifikation angepasst und das Laden von Cross-Domain-Bildern als WebGL-Texturen verboten. Mozilla hat diese Änderung mit Firefox 5 umgesetzt, Google kündigte sie nun für Chrome 13 an.

Zugleich führt Google Cross-Origin Resource Sharing (CORS) für Mediaelemente ein. Darüber ist es dann wieder möglich, externe Texturen und Videos zu verwenden. Mittels Cors kann ein Server angeben, wann Scripte anderer Webseiten auf ein Bild zugreifen können. Dazu müssen die entsprechenden Websites aber die Nutzung ihrer Bildressourcen freigeben.

Google hat dies für Picasa bereits aktiviert, so dass Bilder aus Picasa in WebGL mittels CORS verwendet werden können. Testen lässt sich diese mit der aktuellen Entwicklerversion von Chrome, die im Chrome-Dev-Channel zum Download bereitsteht.


Kommentieren



Anzeige

  1. Prüfer / Prüferinnen IT-Systemprüfungen in der 'Erweiterten Einzel- und Gesamtrechnungsprüfung'
    Bundesrechnungshof, Berlin oder Frankfurt am Main
  2. Re­quire­ments-In­ge­nieur (m/w)
    S1nn GmbH & Co. KG, Stutt­gart
  3. Mitarbeiter / Mitarbeiterin für IT-Systemadministration
    Bundesvereinigung Lebenshilfe e. V., Marburg
  4. Teamleiter (m/w) im Software-Qualitätsmanagement
    Interhyp AG, München

 

Detailsuche


Folgen Sie uns
       


  1. Open Data

    Cern befreit LHC-Kollisionsdaten

  2. Multimediabibliothek

    FFmpeg dank Debian wieder in Ubuntu

  3. Valve Software

    Neue Richtlinien für Early Access

  4. US-Musiker

    Nikki Sixx kritisiert Labels für magere Streaming-Profite

  5. Telemonitoring

    Generali will Fitnessdaten von Versicherten

  6. 3D-NAND

    Intel entwickelt Speicherbausteine für 2-TByte-SSDs

  7. Amazon Travel

    Amazon bereitet Hotelbuchungen vor

  8. Technik-Test Assassin's Creed Unity

    Paris - die Stadt der Liebe zu Details

  9. Libuv

    I/O-Bibliothek für Node.js und andere wird stabil

  10. Next-Gen-Geburtstag

    Xbox One und Playstation 4 sind eins



Haben wir etwas übersehen?

E-Mail an news@golem.de



Zwei Mac Mini mit Haswell im Test: Der eine lahm, der andere teuer
Zwei Mac Mini mit Haswell im Test
Der eine lahm, der andere teuer
  1. Festgelötetes RAM Apple verhindert Aufrüstung des Mac Mini
  2. Apple Mac Mini Server wird eingestellt
  3. Apple Mac Mini wird fixer und teurer

Smart Home: Das vernetzte Zuhause hilft beim Energiesparen
Smart Home
Das vernetzte Zuhause hilft beim Energiesparen
  1. Leuchtmittel Die Leuchtdiode kommt aus dem 3D-Drucker
  2. Agora, Energy@home und EEBus Einheitliche Sprache für europäische Smart Homes
  3. Beon Home Schlaue Leuchten sollen Einbrecher vertreiben

Canon PowerShot G7 X im Test: Canons Konkurrenz zu Sonys 1-Zoll-Kamera
Canon PowerShot G7 X im Test
Canons Konkurrenz zu Sonys 1-Zoll-Kamera
  1. Systemkamera Sony Alpha 7 II mit 5-Achsen-Bildstabilisierung
  2. Interne Dokumente Neuer Sony-Sensor könnte Kameras kraftvoller machen
  3. Drift Stealth 2 Winzige Actionkamera ohne Sucher

    •  / 
    Zum Artikel