In der Technologie WebGL gibt es eine Sicherheitslücke, die es unter Umständen ermöglich durch Einbindung externer Ressourcen Informationen an Dritte zu senden. Mit Chrome 13 werden die Cross-Domain-Texturen gesperrt. Ähnliches hat Mozilla bereits mit dem Firefox gemacht.
Nach der angepassten Spezifikation von WebGL werden Cross-Domain-Bildern nicht mehr als Texturen für WebGL zugelassen. Das Laden von Grafiken von anderen Servern ist aber nicht ganz verschwunden. Das sogenannte CORS soll es wieder ermöglichen, was Google in Chrome 13 bereits aktiviert hat. Dabei wird eine Anfrage an einen Server gestellt, der die gewünschten Bilder zur Verfügung stellt.
Google hat bereits CORS bei Picasa Web aktiviert und damit können Entwickler Picasa als Quelle für Grafiken in WebGL nutzen. Mit anderen Anbietern wie Flickr arbeitet man derzeit zusamen und will das Feature bald aktivieren.
CORS lässt sich derzeit mit der Dev-Version von Chrome aktivieren und wird aber wohl auch in Chrome 13 landen, der nach unserer Rechnung ungefähr zwei Wochen um den 20. Juli erscheinen müsste. Damit haben zwei große Browser ein sicheres WebGL in den Browser integriert. Microsoft lehnt es zwar ab, aber es gibt auch Kritik von Mitarbeitern, dass man dann eben WebGL sicher in den Internet Explorer integrieren müsste, wenn es in der Spezifikation Sicherheitsprobleme und -bedenken gebe.
Details dazu gibt es in der Ankündigung vom Chromium-Team.