WebRTC

WebRTC (Web Real-Time Communication, deutsch „Web-Echtzeitkommunikation“) ist ein offener Standard, der eine Sammlung von Kommunikationsprotokollen und Programmierschnittstellen (API) definiert, die Echtzeitkommunikation über Rechner-Rechner-Verbindungen ermöglichen. Damit können Webbrowser nicht mehr nur Datenressourcen von Backend-Servern abrufen, sondern auch Echtzeitinformationen von Browsern anderer Benutzer.

Dies ermöglicht Anwendungen wie Videokonferenz, Dateitransfer bzw. Datenübertragung, Chat und Desktopsharing. Für die Herstellung einer Verbindung zwischen den beteiligten Clients ist ein Webserver (mit oder ohne Benutzerverwaltung) erforderlich sowie im Fall von Clients in privaten IPv4-Adressbereichen hinter NAPT-Routern auch die Feststellung von deren öffentlichen IP-Adressen und Portnummern (zum Beispiel durch einen STUN-Server).

Die Referenzimplementierung wird als freie Software im Quellcode unter den Bedingungen einer BSD-artigen Lizenz verbreitet. OpenWebRTC stellt eine weitere freie Implementierung auf Basis des Multimedia-Frameworks GStreamer dar, das sich besonders für Browser-unabhängige, native Anwendungen eignen soll und auch H.264 unterstützt.

Geschichte

Im Mai 2010 kaufte Google Inc. die Firma Global IP Solutions (GIPS) auf und erwarb damit die Eigentumsrechte an der zugrundeliegenden Technik.[1] Seit Frühjahr 2011 beschäftigt sich eine Arbeitsgruppe des World Wide Web Consortium (W3C) mit der Standardisierung.[2] Eine weitere Arbeitsgruppe bei der Internet Engineering Task Force (IETF), die im Mai 2011 gebildet wurde, unterstützt die Standardisierungsarbeiten.[3] Am 1. Juni 2011 veröffentlichte Google Inc. das Referenz-Software-Framework als freie Software.[4] Die Ausgestaltung der Programmierschnittstelle stützt sich auf Vorarbeiten der Web Hypertext Application Technology Working Group (WHATWG).

WebRTC funktioniert bereits in stabilen Veröffentlichungen von Opera und Google Chrome sowie Mozilla Firefox,[5] teilweise sind noch Herstellerpräfixe notwendig.[6] Firefox bot für die Nutzung von WebRTC auch eine eingebaute Oberfläche namens Firefox Hello, die später entfernt wurde.[7] Microsoft arbeitet an einer Implementierung der Programmierschnittstellen im Internet Explorer.[8] WebRTC wird als Angriff auf das weitgehende Monopol von Skype bei Desktop-VoIP-Anwendungen gesehen,[9] wobei Microsoft mit Skype offenbar selbst auf WebRTC setzen wollte.[10] Nun will Microsoft den eigenen Standard CU-RTC als Standard bei dem Internet-Standardisierungsgremium W3C etablieren.[11] Im Februar 2017 hat Microsoft dem eigenen Browser Edge eine Unterstützung für WebRTC hinzugefügt.[12] Apple führte WebRTC im Juli 2017 in Safari 11.0 ein.[13]

Am 26. Januar 2021 wurde WebRTC Version 1.0 in einer gemeinsamen Presseerklärung vom W3C und IETF als offener Standard veröffentlicht.[14] Beide Standardisierungsorganisationen kündigten eine baldige gemeinsame Weiterentwicklung in drei Themenbereichen an:[14]

  • End-to-End-Verschlüsselung bei serververmittelten Videokonferenzen
  • Live-Verarbeitung von Audio- und Video-Feeds, auch über maschinelles Lernen
  • Minimierung des Stromverbrauch für das Einsatzfeld Internet der Dinge zum Beispiel als Sensor in einem Gerät.

Technik

Das Framework basiert auf HTML5 und JavaScript. Die Übertragung erfolgt mit (S)RTP über eine mittels der XMPP-Erweiterung Jingle in Verbindung mit dem neu eingeführten JavaScript Session Establishment Protocol (JSEP) ausgehandelte Direktverbindung (Peer-to-Peer).[15] Datenströme sind verpflichtend zu verschlüsseln. Dazu werden Verbindungen über DTLS verschlüsselt und Audio- und Videokommunikation zusätzlich durch SRTP geschützt.[16]

Neben einer Anzahl mindestens zu unterstützender, (lizenzkosten-)freier Multimedia-Codecs können standardkonforme Implementierungen beliebige weitere Verfahren unterstützen. Für Audio ist Opus als zu bevorzugendes Verfahren vorgesehen neben der für Kompatibilität zu herkömmlichen Telefonsystemen ebenfalls geforderten Unterstützung für A-law und µ-law.[17] Der neuere Internetstandard Opus ersetzt die zuvor verwendeten, von GIPS entwickelten iLBC und iSAC. Google setzt sich daneben für den selbst freigekauften Video-Codec VP8 als vorgeschriebenes Video-Format ein, das als alternativlos dargestellt wird.[18][5] Neben mitgelieferten Multimedia-Codecs liegen der Referenzimplementierung weiterhin Werkzeuge für unter anderem Nebengeräuschunterdrückung und die Software-Bibliothek libjingle bei.[9]

Sicherheitslücken

IP-Leak

In Verbindung mit WebRTC können private IP-Adressen trotz VPN-Verbindung über JavaScript ausgelesen werden.[19] Das Beispiel Firefox Hello schließt Rechner hinter einer Firewall und mit privaten IP-Adressen aus. Deshalb kann eine Website mit JavaScript einen STUN-Server nach der tatsächlichen IP-Adresse fragen lassen. Dies hat zur Folge, dass Anonymisierungsdienste ihren Zweck nicht mehr erfüllen und keinen Schutz mehr vor einem IP-Leak bieten können.

Gegenmaßnahmen

Zum Schutz vor einem IP-Leak bieten sich zwei Vorgehensweisen an. Eine Option bietet die Installation von Add-Ons/Plugins zur Verhinderung der Weitergabe der öffentlichen IP-Adresse, beispielsweise "WebRTC Leak Prevent"[20] oder "Easy WebRTC Block".[21][22]

Die andere Möglichkeit ist eine Änderung der Einstellungen im Browser. Im Firefox kann über about:config der Wert media.peerconnection.enabled auf false gesetzt werden, wodurch ein IP-Leak verhindert wird.[23]

In neueren Versionen von Firefox und Chromium-baiserten Webbrowsern werden IP-Leaks automatisch verhindert, indem lokale IP-Adressen durch zufällige mDNS-Hostnamen ersetzt werden. Dies hat gegenüber anderen Methoden den Vorteil, dass die Funktionalität innerhalb des gleichen lokalen Netzwerks nicht beeinträchtigt wird.[24]

Normen und Standards

WebRTC ist eine Standardisierung von W3C und IETF und wird gemeinsam weiterentwickelt.[14]

W3C:

IETF als Request for Comments:

  • RFC7742 – WebRTC Video Processing and Codec Requirements. 2016 (aktuell, englisch).
  • RFC7744 – WebRTC Audio Codec and Processing Requirements. 2016 (aktuell, englisch).
  • RFC8825 – Overview: Real-Time Protocols for Browser-Based Applications. 2021 (aktuell, englisch).
  • RFC8826 – Security Considerations for WebRTC. 2021 (aktuell, englisch).
  • RFC8827 – WebRTC Security Architecture. 2021 (aktuell, englisch).
  • RFC8828 – WebRTC IP Address Handling Requirements. 2021 (aktuell, englisch).
  • RFC8830 – WebRTC MediaStream Identification in the Session Description Protocol. 2021 (aktuell, englisch).
  • RFC8831 – WebRTC Data Channels. 2021 (aktuell, englisch).
  • RFC8832 – WebRTC Data Channel Establishment Protocol. 2021 (aktuell, englisch).
  • RFC8833 – Application-Layer Protocol Negotiation (ALPN) for WebRTC. 2021 (aktuell, englisch).
  • RFC8834 – Media Transport and Use of RTP in WebRTC. 2021 (aktuell, englisch).
  • RFC8835 – Transports for WebRTC. 2021 (aktuell, englisch).
  • RFC8836 – Congestion Control Requirements for Interactive Real-Time Media. 2021 (aktuell, englisch).
  • RFC8837 – Differentiated Services Code Point (DSCP) Packet Markings for WebRTC QoS. 2021 (aktuell, englisch).
  • RFC8854 – WebRTC Forward Error Correction Requirements. 2021 (aktuell, englisch).

Weblinks

  • webrtc.org – Google Developer über WebRTC u. a. mit Tutorial

Einzelnachweise

  1. Jens Ihlenfeld: Google kauft Spezialisten für Echtzeitkommunikation. golem.de, 18. Mai 2010
  2. lists.w3.org
  3. tools.ietf.org
  4. Harald Alvestrand (Google Inc.): Google release of WebRTC source code. public-webrtc@w3.org, 1. Juni 2011
  5. a b Fabian A. Scherschel: Google proposes VP8 and Opus for WebRTC standard. The H Open, 31. Juli 2012.
  6. WebRTC Peer-to-peer connections. In: Can I use. Abgerufen am 3. September 2016.
  7. Firefox Hello – Kostenlose, einfache Videogespräche. Mozilla, abgerufen am 15. November 2015.
  8. Archivlink (Memento vom 7. März 2016 im Internet Archive)
  9. a b Jörg Thoma: Freies HTML5-Framework zur Echtzeitkommunikation. golem.de, 1. Juni 2011.
  10. Janko Roettgers: Scoop: Microsoft bets on WebRTC for Skype’s browser future, GigaOM, 26. Juni 2012
  11. Formatkrieg beim Videochat: WebRTC gegen CU-RTC heise.de
  12. WebRTC im Microsoft Edge hinzugefügt Microsoft TechWiese
  13. WebRTC im Safari Browser What’s new in Safari
  14. a b c Web Real-Time Communications (WebRTC) transforms the communications landscape; becomes a World Wide Web Consortium (W3C) Recommendation and multiple Internet Engineering Task Force (IETF) standards. In: w3.org. 26. Januar 2021, abgerufen am 4. Februar 2021.
  15. Dele Olajide: Jingle WebRTC Transport Proto. igniterealtime.org/blogs, 17. Februar 2012
  16. Is WebRTC Secure? In: 3CX. Abgerufen am 15. November 2015 (amerikanisches Englisch).
  17. tools.ietf.org
  18. Jens Ihlenfeld: Google will VP8 und Opus zur Pflicht machen. golem.de, 30. Juli 2012.
  19. Wie sicher ist IP-Telefonie. In: golem.de. Abgerufen am 26. Februar 2016.
  20. Chrome Web Store, WebRTC Leak Prevent. Abgerufen am 16. Juni 2016 (englisch).
  21. Easy WebRTC Block (Google Chrome). Abgerufen am 25. Januar 2017.
  22. Easy WebRTC Block (Opera). Abgerufen am 25. Januar 2017 (englisch).
  23. WebRTC abschalten und weiter anonym surfen. In: blog.spyoff.com. Abgerufen am 26. Februar 2016.
  24. Using Multicast DNS to protect privacy when exposing ICE candidates. Abgerufen am 3. März 2023 (englisch).
  25. RFC8825 – Overview: Real-Time Protocols for Browser-Based Applications. 2021 (englisch).
  26. RFC8827 – WebRTC Security Architecture. 2021 (englisch).
  27. RFC8828 – WebRTC IP Address Handling Requirements. 2021 (englisch).