Abo
  • IT-Karriere:

HTML5 - Sandbox für mehr Sicherheit

Einsperren eingebetteter Inhalte wird noch kaum unterstützt

Das Sandbox-Attribut soll in HTML5 für mehr Sicherheit sorgen. Damit können Webseitenbetreiber per Iframe eingebundene Inhalte von Dritten in ihren Möglichkeiten einschränken.

Artikel veröffentlicht am ,

Um die eigenen Nutzer vor Angriffen durch eingebettete Werbung oder Widgets von Dritten besser zu schützen, sollen Websitebetreiber deren Möglichkeiten mittels Sandboxing einschränken können.

Stellenmarkt
  1. mWGmy World Germany GmbH, Köln
  2. Landkreis Märkisch-Oderland, Seelow

Iframes, die mit dem Attribut Sandbox versehen sind, erhalten keinen Zugriff auf das DOM der sie einbettenden Website, dürfen keine Scripte ausführen oder eigene Formulare einbetten beziehungsweise Formulare per Script manipulieren und auch nicht auf Cookies oder lokal beim Client gespeicherte Daten zugreifen. Ausnahmen sind allerdings möglich. So kann die einbettende Website einzelne dieser Beschränkungen gezielt aufheben.

Die Sicherheitsvorteile, die ein solches Sandboxing bietet, greifen allerdings nur in neuen Browsern, die diese Funktion explizit unterstützen. Für alte Browser ändert sich nichts. Das Einbetten fremder Inhalte birgt die gleichen Gefahren wie bisher.

Um Nutzer dennoch besser zu schützen, werden derzeit verschiedene Ansätze diskutiert. Einer davon sieht vor, einzubettende Inhalte mit dem Mimetype text/html-sandboxed auszuliefern. Browser, die das Sandboxing unterstützen, würden die Inhalte dann rendern, während alte Browser, die damit nichts anfangen können, die Inhalte zum Download anbieten, aber nicht darstellen. Das bietet zwar mehr Sicherheit für die Nutzer, ist aber aus Sicht der Usability keine gute Lösung.

Ein anderer Ansatz besteht darin, die externen Inhalte in ein Attribut namens srcdoc zu packen. Alte Browser würden die Inhalte dann einfach ignorieren und nicht anzeigen, doch Markup in ein Attribut einzubetten, gilt nicht als guter Stil.

Derzeit wird Sandboxing nur in einfacher Form von aktuellen Entwicklerversionen von Google Chrome unterstützt. Wirklich nutzbar ist die Technik daher noch nicht und das wird wohl auch noch eine Weile so bleiben, schätzt Google-Mitarbeiter Mark Pilgrim in einem Eintrag im WHATWG-Blog.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 64,90€ (Bestpreis!)
  3. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)

Der Kaiser! 27. Jan 2010

Ich weiss auch nicht was die Leute haben. Es ist eine sehr einfache Art und Weise eine...


Folgen Sie uns
       


VW-Elektroautos aus Zwickau - Bericht

Der Volkswagen-Konzern will ab 2020 in Zwickau nur noch Elektroautos bauen - wir haben uns die Umstellung angesehen.

VW-Elektroautos aus Zwickau - Bericht Video aufrufen
Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

    •  /