Chrome 13 mit mehr Sicherheit bei WebGL
Ähnlich wie der aktuelle Firefox verhindert jetzt auch Chromes WebGL-Implementierung das Laden von Texturen von anderen Domains. Gleichzeitig implementiert Version 13 des freien Browsers eine neue Technik zur Nutzung von Cross-Domain-Daten.
- Christian Kirsch
Google hat in Version 13 seines Chrome-Browsers das Laden von WebGL-Texturen von anderen Domains unterbunden. Einen ähnlichen Schritt waren schon die Mozilla-Entwickler mit Firefox 5 gegangen. Diese "Cross-Domain-Textures" könnten Angreifern ermöglichen, mit speziellen Shadern Informationen aus einer Webseite auszulesen. Die Technik dafür ist zwar recht aufwendig, es gibt jedoch bereits eine Beispielanwendung.
Um einerseits mehr Sicherheit vor Angreifern zu bieten, andererseits aber die Nutzung von Medien anderer Domains zu ermöglichen, haben die Entwickler in Chrome 13 gleichzeitig eine Unterstützung der W3C-Idee CORS (Cross-origin Resource Sharing) umgesetzt. Dabei kooperiert das DOM-Attribut crossOrigin mit einem CORS-fähigen Server und erlaubt so der Anwendung, etwa Bilder von einem weiteren Server zu laden. In Übereinstimmung mit der aktuellen WebGL-Spezifikation behandelt der Browser solche Daten so, als ob sie von derselben Domain stammten wie die Webseite selbst.
Mit WebGL sollen Browser 3D-Grafiken mit Hardware-Beschleunigung und ohne Plug-in darstellen können. Microsoft will die Technik jedoch in seinem Internet Explorer nicht einsetzen, da sie zu unsicher sei. Neben den Angriffen durch Cross-Domain-Texturen sind auch Denial-of-Service-Attacken möglich, da Anwendungen eigenen Code auf Grafikkarten laden können. Zurzeit ist WebGL in Firefox (ab Version 4), Chrome 9 und seinen Nachfolgern sowie den Nightly-Builds von Webkit verfügbar. (ck)
