HTML5 - Sandbox für mehr Sicherheit

Einsperren eingebetteter Inhalte wird noch kaum unterstützt

Das Sandbox-Attribut soll in HTML5 für mehr Sicherheit sorgen. Damit können Webseitenbetreiber per Iframe eingebundene Inhalte von Dritten in ihren Möglichkeiten einschränken.

Anzeige

Um die eigenen Nutzer vor Angriffen durch eingebettete Werbung oder Widgets von Dritten besser zu schützen, sollen Websitebetreiber deren Möglichkeiten mittels Sandboxing einschränken können.

Iframes, die mit dem Attribut Sandbox versehen sind, erhalten keinen Zugriff auf das DOM der sie einbettenden Website, dürfen keine Scripte ausführen oder eigene Formulare einbetten beziehungsweise Formulare per Script manipulieren und auch nicht auf Cookies oder lokal beim Client gespeicherte Daten zugreifen. Ausnahmen sind allerdings möglich. So kann die einbettende Website einzelne dieser Beschränkungen gezielt aufheben.

Die Sicherheitsvorteile, die ein solches Sandboxing bietet, greifen allerdings nur in neuen Browsern, die diese Funktion explizit unterstützen. Für alte Browser ändert sich nichts. Das Einbetten fremder Inhalte birgt die gleichen Gefahren wie bisher.

Um Nutzer dennoch besser zu schützen, werden derzeit verschiedene Ansätze diskutiert. Einer davon sieht vor, einzubettende Inhalte mit dem Mimetype text/html-sandboxed auszuliefern. Browser, die das Sandboxing unterstützen, würden die Inhalte dann rendern, während alte Browser, die damit nichts anfangen können, die Inhalte zum Download anbieten, aber nicht darstellen. Das bietet zwar mehr Sicherheit für die Nutzer, ist aber aus Sicht der Usability keine gute Lösung.

Ein anderer Ansatz besteht darin, die externen Inhalte in ein Attribut namens srcdoc zu packen. Alte Browser würden die Inhalte dann einfach ignorieren und nicht anzeigen, doch Markup in ein Attribut einzubetten, gilt nicht als guter Stil.

Derzeit wird Sandboxing nur in einfacher Form von aktuellen Entwicklerversionen von Google Chrome unterstützt. Wirklich nutzbar ist die Technik daher noch nicht und das wird wohl auch noch eine Weile so bleiben, schätzt Google-Mitarbeiter Mark Pilgrim in einem Eintrag im WHATWG-Blog.

Kommentarübersicht
Re: Web2
Der Kaiser! 27. Jan 2010

Ich weiss auch nicht was die Leute haben. Es ist eine sehr einfache Art und Weise eine...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. JAVA-Entwickler/in
    über Schlagheck Radtke Oldiges Executive Consultants GmbH, Süddeutschland
  2. Softwareentwickler Vernetzung (m/w)
    Miele & Cie. KG, Gütersloh
  3. Softwareentwickler (m/w)
    DMG Automation GmbH, Hüfingen
  4. Produktmanager / Produktmanagerin
    econda GmbH, Karlsruhe

 

Detailsuche

Folgen Sie uns
       
Videos
PS Vita und PS3 Cross Play - Trailer PS Vita und PS3 Cross Play - Trailer
Meistgelesen
  1. Tablet-Nachfolger

    iPad-3-Teile aufgetaucht
  2. Tim Schafer

    40.000 US-Dollar für einen Konsolenpatch
  3. Gema-Vermerk

    Youtube sperrt irrtümlich Acta-Video von Bruno Kramm
  4. ProLiant Gen8

    HP macht Server unabhängig
  5. Abmahnabzocke

    Maximal 100 Euro Abmahngebühr für Urheberrechtsverstöße
Meistkommentiert
  1. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 270 | letzter Beitrag 13.02. 23:28

  2. Gerüchte: Apple will alle Notebooks dünner machen

    Kommentare: 194 | letzter Beitrag 13:50 Uhr

  3. Paypal: Nutzern von Kino.to drohen Strafverfahren

    Kommentare: 187 | letzter Beitrag 17:46 Uhr

  4. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 121 | letzter Beitrag 17:55 Uhr

  5. Spielebranche: Diskussion über "stinkende Gamer"

    Kommentare: 100 | letzter Beitrag 18:09 Uhr

Mehr

Ticker
  1. Youporn-Betreiber

    Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

  2. TZ77XE4

    Biostar zeigt Mainboard für Ivy Bridge und Sandy Bridge

  3. Unity Technologies

    Bessere Grafik und KI mit Unity 3.5 verfügbar

  4. Fifa Street

    Last Man Standing auf dem Bolzplatz

  5. Isis Web Browser

    Neuer Browser für HPs WebOS

  6. Nortel Networks

    Nortel war fast zehn Jahre lang gehackt

  7. Thermosensor

    Schmetterlingsflügel macht Wärme sichtbar

  8. Deutsche Gamestage

    Call for Papers der Quo Vadis verlängert

  9. Vodafone

    LTE auf dem Smartphone kostet monatlich 10 Euro mehr

  10. Abmahnabzocke

    Maximal 100 Euro Abmahngebühr für Urheberrechtsverstöße

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Apple
Apple: Apple-Aktie erreicht neuen Höchststand
Apple
Apple-Aktie erreicht neuen Höchststand

Seit der Bekanntgabe der letzten Quartalsergebnisse legt die Aktie von Apple fast täglich zu. Das Wachstum ist so stark, dass es den gesamten Aktienindex Standard & Poor's 500 nach oben zieht.

  1. Patentantrag Magsafe-Kabel für iPhone und iPad
  2. Tim Cook "Apple hat erstaunliche neue Produkte in Vorbereitung"
  3. Apple Massive Kritik an iBooks-Lizenzbedingungen
Windows 8
IMHO: Windows 8 - Microsofts Befreiungsschlag
IMHO
Windows 8 - Microsofts Befreiungsschlag

"Windows Reimagined", so bezeichnet Microsoft Windows 8. Es ist die größte Veränderung von Microsofts Betriebssystem seit Windows 95 und soll mit neuem UI und dem neuen API WinRT zum großen Befreiungsschlag für Microsoft werden.

  1. Beta Consumer Preview von Windows 8 am 29. Februar 2012
  2. Windows Explorer Windows 8 Beta mit weiteren Verbesserungen
  3. Sensor-Fusion Windows 8 soll Sensornutzung vereinfachen
Kino.to
Paypal: Nutzern von Kino.to drohen Strafverfahren
Paypal
Nutzern von Kino.to drohen Strafverfahren

Zahlenden Nutzern der im Juni 2011 geschlossenen Filmplattform Kino.to drohen dem Nachrichtenmagazin Focus zufolge Strafverfahren. Rechtsanwalt Udo Vetter befürchtet sogar Hausdurchsuchungen, "wenn die Strafverfolger sich auf glattes Parkett begeben". Noch im Februar 2012 will die GVU zudem gegen den Kino.to-Nachfolger Kinox.to Strafanzeige erstatten.

  1. Kino.to-Prozess Kein Unterschied zwischen Streaming und Herunterladen
  2. Kino.to Drei Jahre Haft wegen Links auf illegale Filmkopien
  3. Kino.to Haftstrafe wegen gewerbsmäßiger Urheberrechtsverletzung
Forumsbeiträge »
  1. Youporn-Betreiber Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

    Re: danke golem :)

    schnitti | 19:16

  2. Samsung Fernseher mit Gesichtserkennung für Zuschauer

    Re: Panik?

    razer | 19:13

  3. Appmenu Runner Head-Up Display auch in KDE

    Re: Ich bin zu alt für diese Welt...?

    SoniX | 19:11

  4. Paypal Nutzern von Kino.to drohen Strafverfahren

    Re: Auch Streamen kann gegen das Urheberrecht...

    razer | 19:10

  5. Pegatron Übt Apple Druck auf OEM-Hersteller von Ultrabooks aus?

    Re: Ist das legal?

    NIKB | 19:10

Ticker »
  1. Youporn-Betreiber Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

    18:20

  2. TZ77XE4 Biostar zeigt Mainboard für Ivy Bridge und Sandy Bridge

    18:13

  3. Unity Technologies Bessere Grafik und KI mit Unity 3.5 verfügbar

    17:41

  4. Fifa Street Last Man Standing auf dem Bolzplatz

    17:36

  5. Isis Web Browser Neuer Browser für HPs WebOS

    16:57

  6. Nortel Networks Nortel war fast zehn Jahre lang gehackt

    16:51

  7. Thermosensor Schmetterlingsflügel macht Wärme sichtbar

    15:59

  8. Deutsche Gamestage Call for Papers der Quo Vadis verlängert

    15:24

Zum Artikel