Chrome 13 blockiert Cross-Domain-Texturen in WebGL

Version 13 von Googles Browser Chrome unterbindet aus Sicherheitsgründen die Nutzung von Cross-Domain-Texturen in WebGL. Das bedeutet, dass Chrome 13 nicht länger auf anderen Domänen abgelegte Mediendateien als WebGL-Textur nutzt. Wenn es ein Problem gibt, bringt Chrome typischerweise die Fehlermeldung DOM_SECURITI_ERR, wie Entwicklerberater Eric Bidelman im Chromium-Blog festhält.

Gleichzeitig aktiviert Google aber die Unterstützung von Cross-Origin Resource Sharing (CORS), um das Laden externer Texturen zu ermöglichen. Dabei nutzt Chrome Bilder und Videos von anderen Domains – aber in Zusammenarbeit mit den Servern, auf denen die Dateien abgespeichert sind.

Die CORS-Unterstützung von Medienelementen wurde auch voll in WebKit implementiert, indem die Entwickler ein neues .crossOrigin-Attribut setzten. Damit können ausgefeilte Applikationen, die zuvor Cross-Origin-Texturen genutzt haben, das auch weiterhin tun – sofern der Host-Server mittels CORS die notwendige Erlaubnis erteilt.

Bilder aus Picasa lassen sich so bereits verwenden. Testen lässt sich das mit der aktuellen Entwicklerversion von Chrome, die im Dev-Channel zum Herunterladen bereitsteht.

Vergangenen Oktober hatte der Sicherheitsexperte Steve Baker darauf hingewiesen, dass sich Pixel aus externen Bildern über WebGL-Texturen auslesen lassen. „Man schreibe einen Shader, der die Farbe eines bestimmten Texels der Textur testet, um die benötigte Zeit in Beziehung zur Helligkeit des Texels zu setzen“, schreibt Baker. Damit ließe sich ein ungefähres Abbild einer Grafik erstellen. Ein Proof-of-Concept zeigt, dass dies praktisch möglich ist.

Microsoft äußerte Mitte Juni Sicherheitsbedenken gegenüber der im März vorgestellten Browsertechnik. „Wir glauben, dass WebGL zu einer Quelle für schwer zu schließende Sicherheitslücken wird“, heißt es in einem Blogeintrag.

Als Reaktion auf die Kritik deaktivierte Mozilla in Firefox 5 Cross-Domain-Elemente als Quelle für WebGL-Texturen. Als Folge werden einige Websites, die WebGL nutzen, nicht mehr korrekt dargestellt. Nach eigenen Angaben arbeitet der Firefox-Anbieter mit Webentwicklern an einer Lösung für das Problem.

WebGL wurde ursprünglich von Mozilla entworfen. Die Khronos Group – ein Non-Profit-Konsortium aus Firmen wie Google, Apple, Intel und Mozilla – entwickelte es zu einem Standard weiter. WebGL besteht aus einer Bibliothek für Grafiken, die die Funktionalität von JavaScript erweitert und ohne Plug-ins die Erstellung von 3D-Abbildungen innerhalb eines Browsers ermöglicht. Die Technik wird künftig nur noch von Apples Safari unterstützt.