HTML5 - Sandbox für mehr Sicherheit
Einsperren eingebetteter Inhalte wird noch kaum unterstützt
Das Sandbox-Attribut soll in HTML5 für mehr Sicherheit sorgen. Damit können Webseitenbetreiber per Iframe eingebundene Inhalte von Dritten in ihren Möglichkeiten einschränken.
Um die eigenen Nutzer vor Angriffen durch eingebettete Werbung oder Widgets von Dritten besser zu schützen, sollen Websitebetreiber deren Möglichkeiten mittels Sandboxing einschränken können.
Iframes, die mit dem Attribut Sandbox versehen sind, erhalten keinen Zugriff auf das DOM der sie einbettenden Website, dürfen keine Scripte ausführen oder eigene Formulare einbetten beziehungsweise Formulare per Script manipulieren und auch nicht auf Cookies oder lokal beim Client gespeicherte Daten zugreifen. Ausnahmen sind allerdings möglich. So kann die einbettende Website einzelne dieser Beschränkungen gezielt aufheben.
Die Sicherheitsvorteile, die ein solches Sandboxing bietet, greifen allerdings nur in neuen Browsern, die diese Funktion explizit unterstützen. Für alte Browser ändert sich nichts. Das Einbetten fremder Inhalte birgt die gleichen Gefahren wie bisher.
Um Nutzer dennoch besser zu schützen, werden derzeit verschiedene Ansätze diskutiert. Einer davon sieht vor, einzubettende Inhalte mit dem Mimetype text/html-sandboxed auszuliefern. Browser, die das Sandboxing unterstützen, würden die Inhalte dann rendern, während alte Browser, die damit nichts anfangen können, die Inhalte zum Download anbieten, aber nicht darstellen. Das bietet zwar mehr Sicherheit für die Nutzer, ist aber aus Sicht der Usability keine gute Lösung.
Ein anderer Ansatz besteht darin, die externen Inhalte in ein Attribut namens srcdoc zu packen. Alte Browser würden die Inhalte dann einfach ignorieren und nicht anzeigen, doch Markup in ein Attribut einzubetten, gilt nicht als guter Stil.
Derzeit wird Sandboxing nur in einfacher Form von aktuellen Entwicklerversionen von Google Chrome unterstützt. Wirklich nutzbar ist die Technik daher noch nicht und das wird wohl auch noch eine Weile so bleiben, schätzt Google-Mitarbeiter Mark Pilgrim in einem Eintrag im WHATWG-Blog.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Ich weiss auch nicht was die Leute haben. Es ist eine sehr einfache Art und Weise eine...