• IT-Karriere:
  • Services:

HTML5 - Sandbox für mehr Sicherheit

Einsperren eingebetteter Inhalte wird noch kaum unterstützt

Das Sandbox-Attribut soll in HTML5 für mehr Sicherheit sorgen. Damit können Webseitenbetreiber per Iframe eingebundene Inhalte von Dritten in ihren Möglichkeiten einschränken.

Artikel veröffentlicht am ,

Um die eigenen Nutzer vor Angriffen durch eingebettete Werbung oder Widgets von Dritten besser zu schützen, sollen Websitebetreiber deren Möglichkeiten mittels Sandboxing einschränken können.

Stellenmarkt
  1. meinemarkenmode.de GmbH, Münster
  2. neam IT-Services GmbH, Paderborn

Iframes, die mit dem Attribut Sandbox versehen sind, erhalten keinen Zugriff auf das DOM der sie einbettenden Website, dürfen keine Scripte ausführen oder eigene Formulare einbetten beziehungsweise Formulare per Script manipulieren und auch nicht auf Cookies oder lokal beim Client gespeicherte Daten zugreifen. Ausnahmen sind allerdings möglich. So kann die einbettende Website einzelne dieser Beschränkungen gezielt aufheben.

Die Sicherheitsvorteile, die ein solches Sandboxing bietet, greifen allerdings nur in neuen Browsern, die diese Funktion explizit unterstützen. Für alte Browser ändert sich nichts. Das Einbetten fremder Inhalte birgt die gleichen Gefahren wie bisher.

Um Nutzer dennoch besser zu schützen, werden derzeit verschiedene Ansätze diskutiert. Einer davon sieht vor, einzubettende Inhalte mit dem Mimetype text/html-sandboxed auszuliefern. Browser, die das Sandboxing unterstützen, würden die Inhalte dann rendern, während alte Browser, die damit nichts anfangen können, die Inhalte zum Download anbieten, aber nicht darstellen. Das bietet zwar mehr Sicherheit für die Nutzer, ist aber aus Sicht der Usability keine gute Lösung.

Ein anderer Ansatz besteht darin, die externen Inhalte in ein Attribut namens srcdoc zu packen. Alte Browser würden die Inhalte dann einfach ignorieren und nicht anzeigen, doch Markup in ein Attribut einzubetten, gilt nicht als guter Stil.

Derzeit wird Sandboxing nur in einfacher Form von aktuellen Entwicklerversionen von Google Chrome unterstützt. Wirklich nutzbar ist die Technik daher noch nicht und das wird wohl auch noch eine Weile so bleiben, schätzt Google-Mitarbeiter Mark Pilgrim in einem Eintrag im WHATWG-Blog.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 279,99€ (Bestpreis)
  2. (u. a. Galaxy S21 mit Galaxy Buds Pro In-Ears und Galaxy Smart Tag für 849€)
  3. 189,99€ (Bestpreis)

Der Kaiser! 27. Jan 2010

Ich weiss auch nicht was die Leute haben. Es ist eine sehr einfache Art und Weise eine...


Folgen Sie uns
       


Viewsonic M2 - Test

Der kleine LED-Projektor eignet sich für Präsentationen und als flexibles Kino für unterwegs.

Viewsonic M2 - Test Video aufrufen
Moodle: Was den Lernraum Berlin in die Knie zwang
Moodle
Was den Lernraum Berlin in die Knie zwang

Eine übermäßig große Datenbank und schlecht optimierte Abfragen in Moodle führten zu Ausfällen in der Online-Lernsoftware.
Eine Recherche von Hanno Böck


    20 Jahre Wikipedia: Verlässliches Wissen rettet noch nicht die Welt
    20 Jahre Wikipedia
    Verlässliches Wissen rettet noch nicht die Welt

    Noch nie war es so einfach, per Wikipedia an enzyklopädisches Wissen zu gelangen. Doch scheint es viele Menschen gar nicht mehr zu interessieren.
    Ein IMHO von Friedhelm Greis

    1. Desktop-Version Wikipedia überarbeitet "klobiges" Design

    Westküste 100: Wie die Energiewende an der Küste aussehen soll
    Westküste 100
    Wie die Energiewende an der Küste aussehen soll

    An der Nordseeküste stehen die Windräder auch bei einer frischen Brise oft still. Besser ist, mit dem Strom Wasserstoff zu erzeugen. Das Reallabor Westküste 100 testet das.
    Ein Bericht von Werner Pluta

    1. 450 MHz Energiewirtschaft gewinnt Streit um Funkfrequenzen
    2. Energiewende Statkraft baut Schwungradspeicher in Schottland

      •  /