Menü
iX Magazin

Chrome 13 mit mehr Sicherheit bei WebGL

vorlesen Drucken Kommentare lesen 66 Beiträge

Google hat in Version 13 seines Chrome-Browsers das Laden von WebGL-Texturen von anderen Domains unterbunden. Einen ähnlichen Schritt waren schon die Mozilla-Entwickler mit Firefox 5 gegangen. Diese "Cross-Domain-Textures" könnten Angreifern ermöglichen, mit speziellen Shadern Informationen aus einer Webseite auszulesen. Die Technik dafür ist zwar recht aufwendig, es gibt jedoch bereits eine Beispielanwendung.

Um einerseits mehr Sicherheit vor Angreifern zu bieten, andererseits aber die Nutzung von Medien anderer Domains zu ermöglichen, haben die Entwickler in Chrome 13 gleichzeitig eine Unterstützung der W3C-Idee CORS (Cross-origin Resource Sharing) umgesetzt. Dabei kooperiert das DOM-Attribut crossOrigin mit einem CORS-fähigen Server und erlaubt so der Anwendung, etwa Bilder von einem weiteren Server zu laden. In Übereinstimmung mit der aktuellen WebGL-Spezifikation behandelt der Browser solche Daten so, als ob sie von derselben Domain stammten wie die Webseite selbst.

Mit WebGL sollen Browser 3D-Grafiken mit Hardware-Beschleunigung und ohne Plug-in darstellen können. Microsoft will die Technik jedoch in seinem Internet Explorer nicht einsetzen, da sie zu unsicher sei. Neben den Angriffen durch Cross-Domain-Texturen sind auch Denial-of-Service-Attacken möglich, da Anwendungen eigenen Code auf Grafikkarten laden können. Zurzeit ist WebGL in Firefox (ab Version 4), Chrome 9 und seinen Nachfolgern sowie den Nightly-Builds von Webkit verfügbar. (ck)