WebGL: Chrome blockiert externe Texturen und aktiviert CORS
(Bild: Khronos Group)

WebGL

Chrome blockiert externe Texturen und aktiviert CORS

Nach Firefox 5 unterbindet auch Googles Browser Chrome 13 die Nutzung von Cross-Domain-Texturen in WebGL aus Sicherheitsgründen. Zugleich aktiviert Google aber CORS-Support, um das Laden von externen Texturen wieder zu ermöglichen.

Anzeige

Google reagiert auf ein Sicherheitsproblem bei der Einbindung externer Ressourcen in WebGL und sperrt die Nutzung von Cross-Domain-Ressourcen für WebGL in Chrome 13. Es bestehe die Gefahr, dass durch die Einbindung externer Ressourcen Informationen an Dritte gesandt werden, heißt es. Das kann dazu führen, dass einige WebGL-Applikationen in Googles Browser nicht mehr funktionieren.

Werden Pixeldaten aus externen Bildern geladen, werden Canvas-Elemente, in denen auch WebGL-Inhalte dargestellt werden, für Scriptzugriffe gesperrt. So soll verhindert werden, dass das Canvas-Element als Proxy genutzt wird, um über ein Script an Bilder einer im gleichen Browser geöffneten Webseite heranzukommen. Denkbar wäre andernfalls, dass ein Script die Daten einer offenen Bankwebseite über das Canvas-Element ausliest.

Bereits im Oktober 2010 wies der Sicherheitsexperte Steve Baker darauf hin, dass es dennoch möglich ist, Pixel aus externen Bildern über WebGL-Texturen auszulesen. Dabei müssen die Pixel einzeln mit einem Fragment-Shader versehen werden, um zu messen, wie lange es dauert, die Helligkeit der Pixel zu verändern. Damit, so Baker, ließe sich ein ungefähres Abbild einer externen Grafik erstellen. War der Angriff anfangs noch recht komplex, hätten weitere Forschungen einen Proof-of-Concept hervorgebracht, was zeige, dass der Angriff praktisch möglich ist.

Als Reaktion darauf wurde die WebGL-Spezifikation angepasst und das Laden von Cross-Domain-Bildern als WebGL-Texturen verboten. Mozilla hat diese Änderung mit Firefox 5 umgesetzt, Google kündigte sie nun für Chrome 13 an.

Zugleich führt Google Cross-Origin Resource Sharing (CORS) für Mediaelemente ein. Darüber ist es dann wieder möglich, externe Texturen und Videos zu verwenden. Mittels Cors kann ein Server angeben, wann Scripte anderer Webseiten auf ein Bild zugreifen können. Dazu müssen die entsprechenden Websites aber die Nutzung ihrer Bildressourcen freigeben.

Google hat dies für Picasa bereits aktiviert, so dass Bilder aus Picasa in WebGL mittels CORS verwendet werden können. Testen lässt sich diese mit der aktuellen Entwicklerversion von Chrome, die im Chrome-Dev-Channel zum Download bereitsteht.


Kommentieren



Anzeige

  1. Softwareentwickler / Software Developer (m/w) .NET
    Omniga GmbH & Co. KG, Regensburg
  2. Senior Softwareentwickler - Medizingeräte (m/w)
    SORIN GROUP Deutschland GmbH, München
  3. Softwareentwickler C++, CAD / CAE, EDA (m/w)
    CST AG - Computer Simulation Technology, Darmstadt
  4. Applikationsingenieur/in PTC Windchill PDM Link
    Robert Bosch GmbH, Stuttgart-Feuerbach

 

Detailsuche


Blu-ray-Angebote
  1. Der Hobbit: Die Schlacht der fünf Heere (Steelbook) [Blu-ray] [Limited Edition]
    32,99€ (Release 23.04.)
  2. Iron Man 3 (Steelbook) [Blu-ray] [Limited Edition]
    7,97€
  3. The Dark Knight (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    14,99€ (Release 31.3.)

 

Weitere Angebote


Folgen Sie uns
       


  1. Wiko

    Neue LTE-Smartphones sollen um die 300 Euro kosten

  2. Near Field Magnetic Induction Hands on

    Drahtlos-Ohrhörer noch drahtloser

  3. LG

    Neue Android-Smartphones kosten ab 100 Euro

  4. Browserhersteller

    Firefox und Chrome erzwingen HTTP/2-Verschlüsselung

  5. Powerspy

    Stalking über den Akkuverbrauch

  6. LTE + Super Vectoring

    Hybridrouter der Telekom soll künftig 550 MBit/s bringen

  7. Huawei Mediapad T1 7.0

    7-Zoll-Tablet mit UMTS-Modem kostet 130 Euro

  8. Steam Machines

    Von A wie Alienware bis Z wie Zotac

  9. Steam Controller ausprobiert

    Konkurrenz für WASD und Maus

  10. Fujitsu Laboratories

    Software wertet Bewegungen auf schlechten Videos aus



Haben wir etwas übersehen?

E-Mail an news@golem.de



Galaxy S6 und S6 Edge im Hands on: Rund, schnell, teuer
Galaxy S6 und S6 Edge im Hands on
Rund, schnell, teuer
  1. Galaxy S6 und Edge-Variante Samsungs neue Top-Smartphones im Glaskleid
  2. Exynos 7 Octa Schneller Prozessor des Galaxy S6 wird in 14 nm gefertigt
  3. Qualcomm-Prozessor LG widerspricht Hitzeproblemen beim Snapdragon 810

Star Citizen: Grafiktricks und galaktisch zerstörte Toiletten
Star Citizen
Grafiktricks und galaktisch zerstörte Toiletten
  1. Squadron 42 Kampagne von Star Citizen startet im Herbst 2015
  2. Star Citizen Galaktisches Update mit Lobby, Raketen und Cockpits

JAP-Netzwerk: Anonymes Surfen für Geduldige
JAP-Netzwerk
Anonymes Surfen für Geduldige
  1. Android 5 Google verzichtet (noch) auf Verschlüsselungszwang
  2. Geheimdienstchef Clapper Cyber-Armageddeon ist nicht zu befürchten
  3. Zertifizierungspflicht Die Übergangsfrist für ISO 27000 läuft ab

  1. Re: Ansatz löblich, aber wer bezahlt mein Zertifikat?

    Schnarchnase | 16:58

  2. Re: Abstand zwischen den Ohren

    jayrworthington | 16:58

  3. Re: Soll doch O2 auch Glasfaser ausbauen

    bplhkp | 16:58

  4. Re: Moto E für 89 ¤

    nille02 | 16:57

  5. Re: BMW i3, so wie man es NICHT machen sollte

    azeu | 16:54


  1. 16:45

  2. 16:19

  3. 15:11

  4. 15:09

  5. 15:00

  6. 14:45

  7. 14:15

  8. 12:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel