Abo
  • IT-Karriere:

Sicherheit

Firefox 5 erlaubt keine externen Texturen bei WebGL mehr

Mozilla wird die Nutzung von Cross-Domain-Texturen in WebGL in Firefox 5 deaktivieren. Texturen können dann aus Sicherheitsgründen nicht mehr von externen Seiten geladen werden.

Artikel veröffentlicht am ,
Sicherheit: Firefox 5 erlaubt keine externen Texturen bei WebGL mehr
(Bild: Khronos Group)

Mozilla reagiert auf Sicherheitsbedenken in Bezug auf die Einbindung externer Ressourcen in WebGL und sperrt die Nutzung von Cross-Domain-Ressourcen für WebGL in Firefox 5. Es bestehe die Gefahr, dass durch die Einbindung externer Ressourcen Informationen an Dritte gesandt werden, heißt es.

Stellenmarkt
  1. Vodafone GmbH, Ratingen
  2. SBS seebauer business solutions GmbH, Weyarn

Webseiten, die WebGL mit externen Texturen verwenden, werden dadurch in Firefox nicht mehr funktionieren. Mozilla arbeitet nach eigenen Angaben zusammen mit der WebGL-Arbeitsgruppe an einer Lösung, die sicherstellen soll, dass auch solche Seiten wieder funktionieren.

Werden Pixeldaten aus externen Bildern geladen, werden Canvas-Elemente, in denen auch WebGL-Inhalte dargestellt werden, für Scriptzugriffe gesperrt. So soll verhindert werden, dass das Canvas-Element als Proxy genutzt wird, um über ein Script an Bilder einer im gleichen Browser geöffneten Webseite heranzukommen. Denkbar wäre andernfalls, dass ein Script die Daten einer offenen Bankwebseite über das Canvas-Element ausliest.

Bereits im Oktober 2010 wies aber der Sicherheitsexperte Steve Baker darauf hin, dass es dennoch möglich ist, Pixel aus externen Bildern über WebGL-Texturen auszulesen. Dabei müssen die Pixel einzeln mit einem Fragment-Shader versehen werden, um zu messen, wie lange es dauert, die Helligkeit der Pixel zu verändern. Damit, so Baker, ließe sich ein ungefähres Abbild einer externen Grafik erstellen.

War der Angriff anfangs noch recht komplex, hätten weitere Forschungen einen Proof-of-Concept hervorgebracht, was zeige, dass der Angriff praktisch möglich ist.

Als Reaktion darauf wurde die WebGL-Spezifikation angepasst und das Laden von Cross-Domain-Bildern als WebGL-Texturen verboten. Mozilla wird diese Änderung in Firefox 5 integrieren.

Abhilfe schaffen soll "Cross-Origin Resource Sharing", kurz Cors, das Mozilla schnellstmöglich implementieren will. Mittels Cors kann ein Server angeben, wann Scripte anderer Webseiten auf ein Bild zugreifen können.

Details zu den Änderungen sind einem Blogeintrag bei Mozilla zu entnehmen.



Anzeige
Top-Angebote
  1. 86,99€ (Bestpreis!)
  2. 19,99€ (Bestpreis!)

teleborian 10. Jun 2011

erinnert mich an Freenet


Folgen Sie uns
       


Cepton Lidar angesehen

So funktioniert der Laserscanner des US-Startups Cepton.

Cepton Lidar angesehen Video aufrufen
Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Insiderprogramm Microsoft bietet Vorversionen von Edge für den Mac an
  2. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  3. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

    •  /