Abo
  • Services:

HTML5 - Sandbox für mehr Sicherheit

Einsperren eingebetteter Inhalte wird noch kaum unterstützt

Das Sandbox-Attribut soll in HTML5 für mehr Sicherheit sorgen. Damit können Webseitenbetreiber per Iframe eingebundene Inhalte von Dritten in ihren Möglichkeiten einschränken.

Artikel veröffentlicht am ,

Um die eigenen Nutzer vor Angriffen durch eingebettete Werbung oder Widgets von Dritten besser zu schützen, sollen Websitebetreiber deren Möglichkeiten mittels Sandboxing einschränken können.

Stellenmarkt
  1. ARBURG GmbH + Co KG, Loßburg
  2. Bosch Gruppe, Reutlingen

Iframes, die mit dem Attribut Sandbox versehen sind, erhalten keinen Zugriff auf das DOM der sie einbettenden Website, dürfen keine Scripte ausführen oder eigene Formulare einbetten beziehungsweise Formulare per Script manipulieren und auch nicht auf Cookies oder lokal beim Client gespeicherte Daten zugreifen. Ausnahmen sind allerdings möglich. So kann die einbettende Website einzelne dieser Beschränkungen gezielt aufheben.

Die Sicherheitsvorteile, die ein solches Sandboxing bietet, greifen allerdings nur in neuen Browsern, die diese Funktion explizit unterstützen. Für alte Browser ändert sich nichts. Das Einbetten fremder Inhalte birgt die gleichen Gefahren wie bisher.

Um Nutzer dennoch besser zu schützen, werden derzeit verschiedene Ansätze diskutiert. Einer davon sieht vor, einzubettende Inhalte mit dem Mimetype text/html-sandboxed auszuliefern. Browser, die das Sandboxing unterstützen, würden die Inhalte dann rendern, während alte Browser, die damit nichts anfangen können, die Inhalte zum Download anbieten, aber nicht darstellen. Das bietet zwar mehr Sicherheit für die Nutzer, ist aber aus Sicht der Usability keine gute Lösung.

Ein anderer Ansatz besteht darin, die externen Inhalte in ein Attribut namens srcdoc zu packen. Alte Browser würden die Inhalte dann einfach ignorieren und nicht anzeigen, doch Markup in ein Attribut einzubetten, gilt nicht als guter Stil.

Derzeit wird Sandboxing nur in einfacher Form von aktuellen Entwicklerversionen von Google Chrome unterstützt. Wirklich nutzbar ist die Technik daher noch nicht und das wird wohl auch noch eine Weile so bleiben, schätzt Google-Mitarbeiter Mark Pilgrim in einem Eintrag im WHATWG-Blog.



Anzeige
Spiele-Angebote
  1. (-85%) 8,99€
  2. (-83%) 3,33€

Der Kaiser! 27. Jan 2010

Ich weiss auch nicht was die Leute haben. Es ist eine sehr einfache Art und Weise eine...


Folgen Sie uns
       


HP Spectre Folio - Test

Das HP Spectre Folio sieht außergewöhnlich aus, riecht gut und fühlt sich weich an. Das liegt an dem Echtleder, welches das Gehäuse einhüllt. Allerdings zeigen sich im Test die Nachteile des Materials.

HP Spectre Folio - Test Video aufrufen
Sailfish X im Test: Die Android-Alternative mit ein bisschen Android
Sailfish X im Test
Die Android-Alternative mit ein bisschen Android

Seit kurzem ist Sailfish OS mit Android-Unterstützung für weitere Xperia-Smartphones von Sony verfügbar. Fünf Jahre nach unserem letzten Test wird es Zeit, dass wir uns das alternative Mobile-Betriebssystem wieder einmal anschauen und testen, wie es auf einem ursprünglichen Android-Gerät läuft.
Ein Test von Tobias Költzsch


    Gesetzesinitiative des Bundesrates: Neuer Straftatbestand Handelsplattform-Betreiber im Darknet
    Gesetzesinitiative des Bundesrates
    Neuer Straftatbestand Handelsplattform-Betreiber im Darknet

    Eine Gesetzesinitiative des Bundesrates soll den Betrieb von Handelsplattformen im Darknet unter Strafe stellen, wenn sie Illegales fördern. Das war auch bisher schon strafbar, das Gesetz könnte jedoch vor allem der Überwachung dienen, kritisieren Juristen.
    Von Moritz Tremmel

    1. Security Onionshare 2 ermöglicht einfachen Dateiaustausch per Tor
    2. Tor-Netzwerk Britischer Kleinstprovider testet Tor-SIM-Karte
    3. Tor-Netzwerk Sicherheitslücke für Tor Browser 7 veröffentlicht

    Stadia ausprobiert: Um die Grafikoptionen kümmert sich Google
    Stadia ausprobiert
    Um die Grafikoptionen kümmert sich Google

    GDC 2019 Beim Ausprobieren und im Gespräch mit Entwicklern wird immer klarer: Stadia von Google ist als eigenständige Plattform zu verstehen und nicht als simpler Streamingdienst. Momentan kommt für das Bild noch der Codec VP9 zum Einsatz.
    Von Peter Steinlechner


        •  /