Abo
  • Services:
Anzeige
WebGL: Chrome blockiert externe Texturen und aktiviert CORS
(Bild: Khronos Group)

WebGL

Chrome blockiert externe Texturen und aktiviert CORS

WebGL: Chrome blockiert externe Texturen und aktiviert CORS
(Bild: Khronos Group)

Nach Firefox 5 unterbindet auch Googles Browser Chrome 13 die Nutzung von Cross-Domain-Texturen in WebGL aus Sicherheitsgründen. Zugleich aktiviert Google aber CORS-Support, um das Laden von externen Texturen wieder zu ermöglichen.

Google reagiert auf ein Sicherheitsproblem bei der Einbindung externer Ressourcen in WebGL und sperrt die Nutzung von Cross-Domain-Ressourcen für WebGL in Chrome 13. Es bestehe die Gefahr, dass durch die Einbindung externer Ressourcen Informationen an Dritte gesandt werden, heißt es. Das kann dazu führen, dass einige WebGL-Applikationen in Googles Browser nicht mehr funktionieren.

Anzeige

Werden Pixeldaten aus externen Bildern geladen, werden Canvas-Elemente, in denen auch WebGL-Inhalte dargestellt werden, für Scriptzugriffe gesperrt. So soll verhindert werden, dass das Canvas-Element als Proxy genutzt wird, um über ein Script an Bilder einer im gleichen Browser geöffneten Webseite heranzukommen. Denkbar wäre andernfalls, dass ein Script die Daten einer offenen Bankwebseite über das Canvas-Element ausliest.

Bereits im Oktober 2010 wies der Sicherheitsexperte Steve Baker darauf hin, dass es dennoch möglich ist, Pixel aus externen Bildern über WebGL-Texturen auszulesen. Dabei müssen die Pixel einzeln mit einem Fragment-Shader versehen werden, um zu messen, wie lange es dauert, die Helligkeit der Pixel zu verändern. Damit, so Baker, ließe sich ein ungefähres Abbild einer externen Grafik erstellen. War der Angriff anfangs noch recht komplex, hätten weitere Forschungen einen Proof-of-Concept hervorgebracht, was zeige, dass der Angriff praktisch möglich ist.

Als Reaktion darauf wurde die WebGL-Spezifikation angepasst und das Laden von Cross-Domain-Bildern als WebGL-Texturen verboten. Mozilla hat diese Änderung mit Firefox 5 umgesetzt, Google kündigte sie nun für Chrome 13 an.

Zugleich führt Google Cross-Origin Resource Sharing (CORS) für Mediaelemente ein. Darüber ist es dann wieder möglich, externe Texturen und Videos zu verwenden. Mittels Cors kann ein Server angeben, wann Scripte anderer Webseiten auf ein Bild zugreifen können. Dazu müssen die entsprechenden Websites aber die Nutzung ihrer Bildressourcen freigeben.

Google hat dies für Picasa bereits aktiviert, so dass Bilder aus Picasa in WebGL mittels CORS verwendet werden können. Testen lässt sich diese mit der aktuellen Entwicklerversion von Chrome, die im Chrome-Dev-Channel zum Download bereitsteht.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Regierungspräsidium Freiburg, Freiburg
  2. ALDI SÜD, Mülheim an der Ruhr
  3. Robert Bosch GmbH, Stuttgart-Vaihingen
  4. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 39,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Mobile-Games-Auslese

    Weltraumkartoffel und Bilderbuchwanderung für mobile Spieler

  2. Experten fordern Grenzen

    Smartphones können Kinder krank machen

  3. Wifi4EU

    EU will kostenlose WLAN-Hotspots fördern

  4. In eigener Sache

    Studentenrabatt für die große Quantenkonferenz von Golem.de

  5. Obsoleszenz

    Apple repariert zahlreiche Macbooks ab Mitte 2017 nicht mehr

  6. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  7. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt zur Pflicht

  8. Square Enix

    Neustart für das Final Fantasy 7 Remake

  9. Agesa 1006

    Ryzen unterstützt DDR4-4000

  10. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Wemo Belkin erweitert Smart-Home-System um Homekit-Bridge
  2. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  3. Tapdo Das Smart Home mit Fingerabdrücken steuern

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später

  1. Re: 2020!? Und die Personalien?

    Dwalinn | 09:25

  2. Re: Akkuproblem noch viel schlimmer als bei PKW!

    tomatentee | 09:25

  3. Was Hans schon nicht kann...

    AngryFrog | 09:23

  4. Brechend: Die Dosis macht das Gift

    MrHurz | 09:23

  5. Ich fänds gut

    dabbes | 09:21


  1. 09:25

  2. 09:08

  3. 08:30

  4. 08:21

  5. 07:17

  6. 18:08

  7. 17:37

  8. 16:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel