Firefox 5 ohne Unterstützung für Cross-Domain-WebGL-Texturen

Mozilla wird die Unterstützung für "Cross Domain Texturen" in der WebGL-Implementierung der kommenden Firefox-Version 5 abschalten. Sicherheitsspezialisten hatten im Mai eine Möglichkeit aufgezeigt, anhand von Laufzeittests die aus externen Domains eingebetteten Bilder zu rekonstruieren, ohne direkten Zugriff darauf zu haben.

WebGL setzt auf das Canvas-Element von HTML5 zum Zeichnen im Browser, das ein Flag namens "origin-clean" besitzt. Solange dieses Flag gesetzt ist, kann die Webseite, aus der das WebGL-Skript stammt, den Inhalt des Canvas auslesen (getDataURL). Sobald jedoch Inhalte aus weiteren Domains wie Bilder oder Cliparts vom Anwender in das Canvas gezeichnet oder als Texturen geladen werden, wird das Flag zurückgesetzt. Somit sollte die Webseite das Canvas nicht mehr auslesen und nicht sehen können, welche Inhalte von weiteren Webseiten eingebettet wurden.

Die Khronos Group, federführend bei der WebGL-Spezifikation, hatte daraufhin vorgeschlagen, das Cross Origin Resource Sharing (CORS) standardmäßig zu deaktivieren. Doch auf eine endgültige Entscheidung der Khronos Group wollten die Firefox-Entwickler nicht warten. Stattdessen lassen sich Bilder von anderen Seiten nicht mehr als Texturen auf einem Canvas benutzen. Auch sogenannte Tainted Canvas lassen sich in Firefox 5 nicht als WebGL-Textur benutzen. Die Entwickler schlagen Anwendern vor, benötige Texturen einfach in die gleiche Domain zu verlagern. (dab)