Abo
  • Services:
Anzeige
Sicherheit: Firefox 5 erlaubt keine externen Texturen bei WebGL mehr
(Bild: Khronos Group)

Sicherheit

Firefox 5 erlaubt keine externen Texturen bei WebGL mehr

Sicherheit: Firefox 5 erlaubt keine externen Texturen bei WebGL mehr
(Bild: Khronos Group)

Mozilla wird die Nutzung von Cross-Domain-Texturen in WebGL in Firefox 5 deaktivieren. Texturen können dann aus Sicherheitsgründen nicht mehr von externen Seiten geladen werden.

Mozilla reagiert auf Sicherheitsbedenken in Bezug auf die Einbindung externer Ressourcen in WebGL und sperrt die Nutzung von Cross-Domain-Ressourcen für WebGL in Firefox 5. Es bestehe die Gefahr, dass durch die Einbindung externer Ressourcen Informationen an Dritte gesandt werden, heißt es.

Webseiten, die WebGL mit externen Texturen verwenden, werden dadurch in Firefox nicht mehr funktionieren. Mozilla arbeitet nach eigenen Angaben zusammen mit der WebGL-Arbeitsgruppe an einer Lösung, die sicherstellen soll, dass auch solche Seiten wieder funktionieren.

Anzeige

Werden Pixeldaten aus externen Bildern geladen, werden Canvas-Elemente, in denen auch WebGL-Inhalte dargestellt werden, für Scriptzugriffe gesperrt. So soll verhindert werden, dass das Canvas-Element als Proxy genutzt wird, um über ein Script an Bilder einer im gleichen Browser geöffneten Webseite heranzukommen. Denkbar wäre andernfalls, dass ein Script die Daten einer offenen Bankwebseite über das Canvas-Element ausliest.

Bereits im Oktober 2010 wies aber der Sicherheitsexperte Steve Baker darauf hin, dass es dennoch möglich ist, Pixel aus externen Bildern über WebGL-Texturen auszulesen. Dabei müssen die Pixel einzeln mit einem Fragment-Shader versehen werden, um zu messen, wie lange es dauert, die Helligkeit der Pixel zu verändern. Damit, so Baker, ließe sich ein ungefähres Abbild einer externen Grafik erstellen.

War der Angriff anfangs noch recht komplex, hätten weitere Forschungen einen Proof-of-Concept hervorgebracht, was zeige, dass der Angriff praktisch möglich ist.

Als Reaktion darauf wurde die WebGL-Spezifikation angepasst und das Laden von Cross-Domain-Bildern als WebGL-Texturen verboten. Mozilla wird diese Änderung in Firefox 5 integrieren.

Abhilfe schaffen soll "Cross-Origin Resource Sharing", kurz Cors, das Mozilla schnellstmöglich implementieren will. Mittels Cors kann ein Server angeben, wann Scripte anderer Webseiten auf ein Bild zugreifen können.

Details zu den Änderungen sind einem Blogeintrag bei Mozilla zu entnehmen.


eye home zur Startseite
teleborian 10. Jun 2011

erinnert mich an Freenet


Antary / 15. Jun 2011



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Chemnitz, Zwickau, Dresden
  2. Bundeskriminalamt, Wiesbaden
  3. Made in Office GmbH, Köln
  4. BG-Phoenics GmbH, Hannover


Anzeige
Blu-ray-Angebote
  1. (u. a. The Revenant, Batman v Superman, James Bond Spectre, Legend of Tarzan)
  2. (u. a. Fast & Furious 1-7 Blu-ray 24,29€, Indiana Jones Complete Blu-ray 14,76€, The Complete...
  3. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)

Folgen Sie uns
       


  1. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  2. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

  3. Square Enix

    Neustart für das Final Fantasy 7 Remake

  4. Agesa 1006

    Ryzen unterstützt DDR4-4000

  5. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz

  6. Star Trek Bridge Crew im Test

    Festgetackert im Holodeck

  7. Quantenalgorithmen

    "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

  8. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  9. Kubic

    Opensuse startet Projekt für Container-Plattform

  10. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Razer Core im Test: Grafikbox + Ultrabook = Gaming-System
Razer Core im Test
Grafikbox + Ultrabook = Gaming-System
  1. Gaming-Notebook Razer will das Blade per GTX 1070 aufrüsten
  2. Razer Lancehead Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang
  3. 17,3-Zoll-Notebook Razer aktualisiert das Blade Pro mit THX-Zertifizierung

Matebook X und E im Hands on: Huawei kann auch Notebooks
Matebook X und E im Hands on
Huawei kann auch Notebooks
  1. Matebook X Huawei stellt erstes Notebook vor
  2. Trotz eigener Geräte Huawei-Chef sieht keinen Sinn in Smartwatches
  3. Huawei Matebook Erste Infos zu kommenden Huawei-Notebooks aufgetaucht

Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Android-Apps Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte
  2. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  3. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten

  1. Re: Widerlegen?

    motzerator | 00:57

  2. Re: 2020!? Und die Personalien?

    packansack | 00:48

  3. Re: Mobilfunk + Festnetz-Anschluss meiner Eltern

    LordGurke | 00:47

  4. Könnte Akamai auch gerne machen

    LordGurke | 00:44

  5. Re: FF Remakes für Switch

    packansack | 00:38


  1. 18:08

  2. 17:37

  3. 16:55

  4. 16:46

  5. 16:06

  6. 16:00

  7. 14:21

  8. 13:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel