Abo
  • Services:
Anzeige
Eingeschränkter Zugriff auf localhost und das interne Netzwerk sollen Chrome absichern.
Eingeschränkter Zugriff auf localhost und das interne Netzwerk sollen Chrome absichern. (Bild: Google)

Google: Chrome soll Localhost-Zugriffe einschränken

Eingeschränkter Zugriff auf localhost und das interne Netzwerk sollen Chrome absichern.
Eingeschränkter Zugriff auf localhost und das interne Netzwerk sollen Chrome absichern. (Bild: Google)

Der Zugriff auf localhost und andere interne Netzwerkadressen über Chrome soll eingeschränkt werden. Das betrifft weniger lokale Webserver, sondern vielmehr Webanwendungen, die wohl umgeschrieben werden müssen.

Anzeige

Die Chrome-Entwickler erarbeiten eine Funktion, die das Laden sogenannter Subressourcen aus dem Web auf 127.0.0.1 alias localhost verhindern soll. Von den Veränderungen ebenfalls betroffen sein sollen bestimmte IP-Adressen, die von der Iana für den internen Netzwerkgebrauch bestimmt sind.

Von dieser Änderung nicht betroffen sind wohl Zugriffe aus dem internen Netzwerk auf einen lokal laufenden Webserver, der zum Beispiel als Entwicklungsumgebung dient oder die Schnittstelle zur Routerkonfiguration bereithält. Verhindert werden sollen aber Zugriffe von öffentlichen Webseiten oder Web-Apps auf eben diese Adressräume. Entwickler derartiger Apps müssen diese also anpassen.

Web-Apps betroffen

In dem Bugreport, der den Fortschritt der Arbeiten dokumentiert, wird etwa auf die Funktionsweise von Dropbox eingegangen. So nutze der Dienst einen Websocket-Server auf localhost mit einem TLS-Zertifikat für www.dropboxlocalhost.com. Diese Domain wird nach 127.0.0.1 aufgelöst. Die Web-App verwende demnach den sicheren Websocket zur Verbindung mit dem lokal laufenden Dienst. Darüber wird etwa die Möglichkeit umgesetzt, die lokal gespeicherten Dateien aus der Web-App heraus im nativen Dateimanager zu öffnen. Derartiges Verhalten würde Chrome künftig unterbinden.

Für eine Übergangszeit sollen eine Kommandozeilenoption sowie eine Enterprise-Richtlinie erhalten bleiben, die das alte Verhalten weiter ermöglicht. Diese soll aber mittelfristig zugunsten der neuen Funktion abgeschafft werden. Immerhin verspricht sich Google davon eine höhere Sicherheit gegenüber bestimmten Brute-Force- und XSRF-Angriffen.

Als Alternative, um weiterhin von einer Web-App mit lokalen Anwendungen zu kommunizieren, empfiehlt Google das Chrome Message Passing. Diese Funktion ist aber nicht browserübergreifend verfügbar. Betroffene Entwickler stehen damit vor der Frage, wie Chrome und andere Browser weiter unterstützt werden können.


eye home zur Startseite
Kaffeetasse 20. Mär 2015

Kann dann auch am Hoster liegen. Dieser Ratgeber über http://www.besterwebhoster.net...

Felix_Keyway 18. Mär 2015

Das habe ich sogar so eingerichtet: Requests werden ausschließ akzeptiert, wenn sie von...

Kernel der Frosch 17. Mär 2015

Cooles Teil :-)

christian.wengel 17. Mär 2015

Im Gegenteil, das Chromium-Projekt denkt sogar viel darüber nach. Du kannst dich sogar...

christian.wengel 17. Mär 2015

Meine 7490 löst das auf. Und das ist auch keine Alternative zu dem Vorhaben aus dem...



Anzeige

Stellenmarkt
  1. über Robert Half Technology, Raum Krefeld
  2. Synectic Systems GmbH, München
  3. ERDINGER Weißbräu, Erding Raum München
  4. Travian Games GmbH, München


Anzeige
Top-Angebote
  1. 110,00€
  2. 599,00€

Folgen Sie uns
       


  1. Apple

    iPhone-Event findet am 7. September 2016 statt

  2. Fitbit

    Ausatmen mit dem Charge 2

  3. Sony

    Playstation 4 Slim bietet 5-GHz-WLAN

  4. Exploits

    Treiber der Android-Hersteller verursachen Kernel-Lücken

  5. Nike+

    Social-Media-Wirrwarr statt "Just do it"

  6. OxygenOS vs. Cyanogenmod im Test

    Ein Oneplus Three, zwei Systeme

  7. ProSiebenSat.1

    Sechs neue Apps mit kostenlosem Live-Streaming

  8. Raumfahrt

    Juno überfliegt Jupiter in geringer Distanz

  9. Epic Loot

    Ubisoft schließt sechs größere Free-to-Play-Spiele

  10. Smart Home

    Philips-Hue-Bewegungsmelder und neue Leuchten angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
­Cybersyn: Chiles Traum von der computergesteuerten Planwirtschaft
­Cybersyn
Chiles Traum von der computergesteuerten Planwirtschaft
  1. Power9 IBMs 24-Kern-Chip kann 8 TByte RAM pro Sockel nutzen
  2. Princeton Piton Open-Source-Chip soll System mit 200.000 Kernen ermöglichen
  3. Adecco IBM will Helpdesk-Geschäft in Erfurt und Leipzig loswerden

Thinkpad X1 Carbon 2013 vs 2016: Drei Jahre, zwei Ultrabooks, eine Erkenntnis
Thinkpad X1 Carbon 2013 vs 2016
Drei Jahre, zwei Ultrabooks, eine Erkenntnis
  1. Huawei Matebook im Test Guter Laptop-Ersatz mit zu starker Konkurrenz
  2. iPad Pro Case Razer zeigt flache mechanische Switches
  3. Thinkpwn Lenovo warnt vor mysteriöser Bios-Schwachstelle

Asus PG248Q im Test: 180 Hertz erkannt, 180 Hertz gebannt
Asus PG248Q im Test
180 Hertz erkannt, 180 Hertz gebannt
  1. Raspberry Pi 3 Booten über USB oder per Ethernet
  2. Autonomes Fahren Mercedes stoppt Werbespot wegen überzogener Versprechen
  3. Radeon RX 480 Dank DX12 und Vulkan reicht auch eine Mittelklasse-CPU

  1. Re: Wahrscheinlich sind Windowstreiber mindestens...

    nille02 | 06:29

  2. Re: Betrug am Kunden und "Neuland"

    serra.avatar | 06:27

  3. Interessant wäre für mich Sailfish OS

    DY | 06:23

  4. Re: Immer dieser Drahtlos Mist

    DY | 06:20

  5. Re: Das ist genau der Punkt, warum das Problem...

    nille02 | 06:19


  1. 22:34

  2. 18:16

  3. 16:26

  4. 14:08

  5. 12:30

  6. 12:02

  7. 12:00

  8. 11:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel