zurück zum Artikel

Chrome 13 mit mehr Sicherheit bei WebGL

Christian Kirsch

Ähnlich wie der aktuelle Firefox verhindert jetzt auch Chromes WebGL-Implementierung das Laden von Texturen von anderen Domains. Gleichzeitig implementiert Version 13 des freien Browsers eine neue Technik zur Nutzung von Cross-Domain-Daten.

Google hat in Version 13 seines Chrome-Browsers das Laden von WebGL-Texturen von anderen Domains unterbunden [1]. Einen ähnlichen Schritt waren schon die Mozilla-Entwickler mit Firefox 5 gegangen [2]. Diese "Cross-Domain-Textures" könnten Angreifern ermöglichen, mit speziellen Shadern Informationen aus einer Webseite auszulesen. Die Technik [3] dafür ist zwar recht aufwendig, es gibt jedoch bereits eine Beispielanwendung [4].

Um einerseits mehr Sicherheit vor Angreifern zu bieten, andererseits aber die Nutzung von Medien anderer Domains zu ermöglichen, haben die Entwickler in Chrome 13 gleichzeitig eine Unterstützung der W3C-Idee CORS [5] (Cross-origin Resource Sharing) umgesetzt. Dabei kooperiert das DOM-Attribut crossOrigin mit einem CORS-fähigen Server und erlaubt so der Anwendung, etwa Bilder von einem weiteren Server zu laden. In Übereinstimmung [6] mit der aktuellen WebGL-Spezifikation behandelt der Browser solche Daten so, als ob sie von derselben Domain stammten wie die Webseite selbst.

Mit WebGL sollen Browser 3D-Grafiken mit Hardware-Beschleunigung und ohne Plug-in darstellen können. Microsoft will die Technik jedoch in seinem Internet Explorer nicht einsetzen, da sie zu unsicher [7] sei. Neben den Angriffen durch Cross-Domain-Texturen sind auch Denial-of-Service-Attacken möglich, da Anwendungen eigenen Code auf Grafikkarten laden können. Zurzeit ist WebGL in Firefox (ab Version 4), Chrome 9 und seinen Nachfolgern sowie den Nightly-Builds von Webkit verfügbar. (ck [8])

URL dieses Artikels:
https://www.heise.de/-1274910

Links in diesem Artikel:
[1] http://blog.chromium.org/2011/07/using-cross-domain-images-in-webgl-and.html
[2] https://www.heise.de/news/Firefox-5-ohne-Unterstuetzung-fuer-Cross-Domain-WebGL-Texturen-1258146.html
[3] http://www.khronos.org/webgl/public-mailing-list/archives/1010/msg00034.html
[4] http://www.contextis.co.uk/resources/blog/webgl/poc/index.html
[5] http://www.w3.org/TR/cors/
[6] http://www.khronos.org/registry/webgl/specs/latest/#4.2
[7] https://www.heise.de/news/Microsoft-haelt-WebGL-fuer-zu-unsicher-1262166.html
[8] mailto:ck@ix.de

Copyright © 2011 Heise Medien