Abo
  • Services:
Anzeige
WebGL: Chrome blockiert externe Texturen und aktiviert CORS
(Bild: Khronos Group)

WebGL

Chrome blockiert externe Texturen und aktiviert CORS

WebGL: Chrome blockiert externe Texturen und aktiviert CORS
(Bild: Khronos Group)

Nach Firefox 5 unterbindet auch Googles Browser Chrome 13 die Nutzung von Cross-Domain-Texturen in WebGL aus Sicherheitsgründen. Zugleich aktiviert Google aber CORS-Support, um das Laden von externen Texturen wieder zu ermöglichen.

Google reagiert auf ein Sicherheitsproblem bei der Einbindung externer Ressourcen in WebGL und sperrt die Nutzung von Cross-Domain-Ressourcen für WebGL in Chrome 13. Es bestehe die Gefahr, dass durch die Einbindung externer Ressourcen Informationen an Dritte gesandt werden, heißt es. Das kann dazu führen, dass einige WebGL-Applikationen in Googles Browser nicht mehr funktionieren.

Anzeige

Werden Pixeldaten aus externen Bildern geladen, werden Canvas-Elemente, in denen auch WebGL-Inhalte dargestellt werden, für Scriptzugriffe gesperrt. So soll verhindert werden, dass das Canvas-Element als Proxy genutzt wird, um über ein Script an Bilder einer im gleichen Browser geöffneten Webseite heranzukommen. Denkbar wäre andernfalls, dass ein Script die Daten einer offenen Bankwebseite über das Canvas-Element ausliest.

Bereits im Oktober 2010 wies der Sicherheitsexperte Steve Baker darauf hin, dass es dennoch möglich ist, Pixel aus externen Bildern über WebGL-Texturen auszulesen. Dabei müssen die Pixel einzeln mit einem Fragment-Shader versehen werden, um zu messen, wie lange es dauert, die Helligkeit der Pixel zu verändern. Damit, so Baker, ließe sich ein ungefähres Abbild einer externen Grafik erstellen. War der Angriff anfangs noch recht komplex, hätten weitere Forschungen einen Proof-of-Concept hervorgebracht, was zeige, dass der Angriff praktisch möglich ist.

Als Reaktion darauf wurde die WebGL-Spezifikation angepasst und das Laden von Cross-Domain-Bildern als WebGL-Texturen verboten. Mozilla hat diese Änderung mit Firefox 5 umgesetzt, Google kündigte sie nun für Chrome 13 an.

Zugleich führt Google Cross-Origin Resource Sharing (CORS) für Mediaelemente ein. Darüber ist es dann wieder möglich, externe Texturen und Videos zu verwenden. Mittels Cors kann ein Server angeben, wann Scripte anderer Webseiten auf ein Bild zugreifen können. Dazu müssen die entsprechenden Websites aber die Nutzung ihrer Bildressourcen freigeben.

Google hat dies für Picasa bereits aktiviert, so dass Bilder aus Picasa in WebGL mittels CORS verwendet werden können. Testen lässt sich diese mit der aktuellen Entwicklerversion von Chrome, die im Chrome-Dev-Channel zum Download bereitsteht.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. medac GmbH, Wedel bei Hamburg
  2. Comline AG, Oldenburg
  3. Unitymedia GmbH, Köln
  4. Friedrich-Alexander-Universität Erlangen-Nürnberg, Erlangen


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 2,99€
  3. 24,99€

Folgen Sie uns
       


  1. Aufsteckbar

    Kugelkamera für Android-Smartphones filmt 360-Grad-Videos

  2. Panamera Turbo S E-Hybrid

    Porsche kombiniert V8-Motor und E-Antrieb

  3. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  4. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  5. Deep Learning

    Wenn die KI besser prügelt als Menschen

  6. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  7. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  8. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  9. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  10. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Re: Panamera ist schon eine perverse Karre

    david_rieger | 08:53

  2. Re: Wofür, was soll das sein ...

    Reci | 08:53

  3. Re: Erklärung für einen Kryptodepp

    Randalmaker | 08:53

  4. 16,2 kWh / 100 km

    M.P. | 08:50

  5. Re: Schmeißt Bittorrent an :D

    dp2419 | 08:45


  1. 07:23

  2. 07:14

  3. 17:37

  4. 17:26

  5. 16:41

  6. 16:28

  7. 15:45

  8. 15:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel