HTML5 - Sandbox für mehr Sicherheit

Einsperren eingebetteter Inhalte wird noch kaum unterstützt

Das Sandbox-Attribut soll in HTML5 für mehr Sicherheit sorgen. Damit können Webseitenbetreiber per Iframe eingebundene Inhalte von Dritten in ihren Möglichkeiten einschränken.

Anzeige

Um die eigenen Nutzer vor Angriffen durch eingebettete Werbung oder Widgets von Dritten besser zu schützen, sollen Websitebetreiber deren Möglichkeiten mittels Sandboxing einschränken können.

Iframes, die mit dem Attribut Sandbox versehen sind, erhalten keinen Zugriff auf das DOM der sie einbettenden Website, dürfen keine Scripte ausführen oder eigene Formulare einbetten beziehungsweise Formulare per Script manipulieren und auch nicht auf Cookies oder lokal beim Client gespeicherte Daten zugreifen. Ausnahmen sind allerdings möglich. So kann die einbettende Website einzelne dieser Beschränkungen gezielt aufheben.

Die Sicherheitsvorteile, die ein solches Sandboxing bietet, greifen allerdings nur in neuen Browsern, die diese Funktion explizit unterstützen. Für alte Browser ändert sich nichts. Das Einbetten fremder Inhalte birgt die gleichen Gefahren wie bisher.

Um Nutzer dennoch besser zu schützen, werden derzeit verschiedene Ansätze diskutiert. Einer davon sieht vor, einzubettende Inhalte mit dem Mimetype text/html-sandboxed auszuliefern. Browser, die das Sandboxing unterstützen, würden die Inhalte dann rendern, während alte Browser, die damit nichts anfangen können, die Inhalte zum Download anbieten, aber nicht darstellen. Das bietet zwar mehr Sicherheit für die Nutzer, ist aber aus Sicht der Usability keine gute Lösung.

Ein anderer Ansatz besteht darin, die externen Inhalte in ein Attribut namens srcdoc zu packen. Alte Browser würden die Inhalte dann einfach ignorieren und nicht anzeigen, doch Markup in ein Attribut einzubetten, gilt nicht als guter Stil.

Derzeit wird Sandboxing nur in einfacher Form von aktuellen Entwicklerversionen von Google Chrome unterstützt. Wirklich nutzbar ist die Technik daher noch nicht und das wird wohl auch noch eine Weile so bleiben, schätzt Google-Mitarbeiter Mark Pilgrim in einem Eintrag im WHATWG-Blog.

Kommentarübersicht
Re: Web2
Der Kaiser! 27. Jan 2010

Ich weiss auch nicht was die Leute haben. Es ist eine sehr einfache Art und Weise eine...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. SAP-Entwickler/in
    Dataport, Hamburg
  2. SAP-Applikationsberater (m/w) Module: SD und LES
    SÜDSALZ GMBH, Heilbronn
  3. Projektmanager (m/w)
    Fresenius Netcare GmbH, Bad Homburg
  4. Webentwickler (m/w)
    Global Group Dialog Solutions AG, Idstein

 

Detailsuche

Folgen Sie uns
       
Videos
X-47B startet auf einem Flugzeugträger X-47B startet auf einem Flugzeugträger
Ticker
  1. Antifeatures

    Freie Software gegen Bevormundung

  2. Video

    Yahoo gibt Angebot für Hulu ab

  3. Google X

    Google baut mobiles Internet in Afrika und Südostasien

  4. Xbox One

    Handel muss Gebrauchtspiele de-registrieren

  5. Lenovo

    "Wir können uns jede Übernahme leisten"

  6. Bundesdatenschützer

    Jobcenter sollen nicht bei Facebook recherchieren

  7. Navigation

    Google Maps erhält Routenplanung per Fahrrad

  8. Test Call of Juarez Gunslinger

    Hör-Spiel im Wilden Westen

  9. Fonic All-Net Flat

    Telefon-, SMS- und Datenflatrate für 25 Euro

  10. Drosselung

    Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Xbox One
Xbox One: Big Brother im Wohnzimmer
Xbox One
Big Brother im Wohnzimmer

Die Xbox One beobachtet den Spieler zwingend per Kinect - und könnte die Daten zumindest zum Teil an Microsoft weiterreichen. Sie hat eine 500-GByte-Festplatte und muss zum Spielen nicht immer mit dem Internet verbunden sein.

  1. Xbox One Hauseigene Halo-Konkurrenz und neues Altes von Rage
  2. Xbox One Forza 5 und Halo-Serie von Spielberg kommen für Xbox One
  3. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk
Need for Speed
Need for Speed Rivals: Verfolgungsjagden zwischen Cops und Rasern
Need for Speed Rivals
Verfolgungsjagden zwischen Cops und Rasern

Eine offene Spielumgebung, sehr schnelle Autos und spannende Verfolgungsjagden kündigt EA für Need for Speed Rivals an. Das Rennspiel auf Basis der Frostbite-3-Engine erscheint auch für die Next-Gen-Konsole.

DSL
Telekom: Bundestagspetition gegen Drosselung erreicht 50.000
Telekom
Bundestagspetition gegen Drosselung erreicht 50.000

In nur vier Tagen hat eine Petition für Netzneutralität und gegen DSL-Drosselung die nötige Zahl der Mitzeichner gefunden. Jetzt will der Petent 100.000 erreichen.

  1. Telekom Bundestagspetition gegen Drosselung gestartet
  2. Drosselung Piratenchef fordert Verstaatlichung der Netze der Telekom
  3. Vectoring der Telekom Bundesnetzagentur genehmigt VDSL mit 100 MBit/s
Forumsbeiträge »
  1. Lenovo "Wir können uns jede Übernahme leisten"

    Re: Eigentor

    Tzven | 01:19

  2. Antifeatures Freie Software gegen Bevormundung

    Re: Die Unterschiede bei Windows haben Gründe.

    ManInTheMiddle | 01:05

  3. Video Yahoo gibt Angebot für Hulu ab

    Re: Woher kommt das Geld?

    IpToux | 00:40

  4. Displayserver Fast alle X.org-Bibliotheken mit Sicherheitslücken

    Re: Kommt drauf an

    posix | 00:35

  5. Xbox One Handel muss Gebrauchtspiele de-registrieren

    Re: Nur weil Sony in dieser Sache noch nichts...

    elitezocker | 00:32

Ticker »
  1. Antifeatures Freie Software gegen Bevormundung

    17:14

  2. Video Yahoo gibt Angebot für Hulu ab

    13:18

  3. Google X Google baut mobiles Internet in Afrika und Südostasien

    11:44

  4. Xbox One Handel muss Gebrauchtspiele de-registrieren

    17:34

  5. Lenovo "Wir können uns jede Übernahme leisten"

    16:22

  6. Bundesdatenschützer Jobcenter sollen nicht bei Facebook recherchieren

    14:55

  7. Navigation Google Maps erhält Routenplanung per Fahrrad

    14:37

  8. Test Call of Juarez Gunslinger Hör-Spiel im Wilden Westen

    14:00

Zum Artikel