Sicherheitsbedenken

Ist WebGL noch nicht reif fürs Web?

Donnerstag den 12.05.2011 um 16:41 Uhr

von Frank Ziemann

Einige Sicherheitsforscher haben bei WebGL, einer neuen Schnittstelle zwischen Browser und Grafikkarte zur 3D-Beschleunigung, Bedenken geäußert. Sie befürchten, der direkte Zugriff auf den Grafiktreiber könnte einen neuen Angriffsvektor eröffnen.
Demo: WebGL Earth
Vergrößern Demo: WebGL Earth
Browser-Hersteller, allen voran Google, schwärmen enthusiastisch von den neuen Möglichkeiten, die WebGL bieten soll. Ohne spezielle Plug-ins können animierte 3D-Darstellungen im Browser angezeigt werden und dabei die Fähigkeiten moderner Grafikkarten ausreizen. Doch es gibt auch Sicherheitsbedenken: eingeschleuster Code könnte, vorbei an allen Sicherheitsmechanismen, direkt auf den Grafiktreiber zugreifen und damit das System kompromittieren.

WebGL basiert auf OpenGL, einer Grafikschnittstelle, die vor allem aus dem CAD-Umfeld lange bekannt ist. Um die Hardware-gestützte 3D-Beschleunigung zu ermöglichen, muss WebGL mit dem Treiber der Grafikkarte zusammen arbeiten. Bislang ist WebGL bei Firefox ab 4.0  und Chrome ab Version 9  aktiviert, in Safari ist es standardmäßig deaktiviert. Außerdem sollte ein möglichst aktueller Grafiktreiber mit OpenGL-Unterstützung installiert sein. Google hat mit WebGL Experiments einige Demos zusammengestellt.

Das auf IT-Sicherheit spezialisierte britische Beratungsunternehmen Context IS hat allerdings eine Reihe von Bedenken geäußert, die potenzielle Sicherheitsprobleme mit WebGL betreffen. Sie reichen von DoS-Angriffen, die nicht den Browser sondern das ganze System zum Absturz bringen, bis zu Datenschutzfragen. So könnte ein Angreifer Code einschleusen, der alle Sicherheitsmechanismen von Browser wie Betriebssystem umgeht und Daten des Benutzers ausspioniert.

Die Khronos Group , ein Industriekonsortium, das die WebGL-Spezifikation entwickelt, hat auf die Veröffentlichung von Context reagiert und eine Stellungnahme veröffentlicht. Demnach sollen bestimmte Mechanismen, die bereits Teil der WebGL-Spezifikation sind oder noch entwickelt werden, Sicherheitsprobleme verhindern. Context erwidert darauf, die von Khronos genannten Verfahren würden allenfalls einen Teil der Probleme mindern. Die Sicherheit der Anwender läge damit jedoch in den Händen der Grafikkartenhersteller, die darauf nicht eingestellt seien.

Das US-CERT  (Computer Emergency Response Team) hat eine Warnung heraus gegeben und empfiehlt WebGL zu deaktivieren. Bei Firefox geben Sie dazu in der Adresszeile "about:config" ein, tippen im Filterfeld "webgl" ein und ändern im Eintrag "webgl.disabled" den Wert per Doppelklick darauf von "false" auf "true". Chrome muss per Kommandozeilenparameter dazu gebracht werden WebGL nicht laden. Der entsprechende Parameter lautet "--disable-webgl". Wer die Firefox-Erweiterung Noscript benutzt, kann zusammen mit Javascript und Flash auch WebGL fallweise erlauben.

Donnerstag den 12.05.2011 um 16:41 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
842463