Google: Chrome soll Localhost-Zugriffe einschränken

Der Zugriff auf localhost und andere interne Netzwerkadressen über Chrome soll eingeschränkt werden. Das betrifft weniger lokale Webserver, sondern vielmehr Webanwendungen, die wohl umgeschrieben werden müssen.

Artikel veröffentlicht am ,
Eingeschränkter Zugriff auf localhost und das interne Netzwerk sollen Chrome absichern.
Eingeschränkter Zugriff auf localhost und das interne Netzwerk sollen Chrome absichern. (Bild: Google)

Die Chrome-Entwickler erarbeiten eine Funktion, die das Laden sogenannter Subressourcen aus dem Web auf 127.0.0.1 alias localhost verhindern soll. Von den Veränderungen ebenfalls betroffen sein sollen bestimmte IP-Adressen, die von der Iana für den internen Netzwerkgebrauch bestimmt sind.

Stellenmarkt
  1. Specialist (m/w/d) Software Support 3rd Level
    Dürr Systems AG, Bietigheim-Bissingen
  2. IT-Mitarbeiter für den 1-Level-Support (m/w/d)
    MVZ Labor Münster Hafenweg GmbH, Münster
Detailsuche

Von dieser Änderung nicht betroffen sind wohl Zugriffe aus dem internen Netzwerk auf einen lokal laufenden Webserver, der zum Beispiel als Entwicklungsumgebung dient oder die Schnittstelle zur Routerkonfiguration bereithält. Verhindert werden sollen aber Zugriffe von öffentlichen Webseiten oder Web-Apps auf eben diese Adressräume. Entwickler derartiger Apps müssen diese also anpassen.

Web-Apps betroffen

In dem Bugreport, der den Fortschritt der Arbeiten dokumentiert, wird etwa auf die Funktionsweise von Dropbox eingegangen. So nutze der Dienst einen Websocket-Server auf localhost mit einem TLS-Zertifikat für www.dropboxlocalhost.com. Diese Domain wird nach 127.0.0.1 aufgelöst. Die Web-App verwende demnach den sicheren Websocket zur Verbindung mit dem lokal laufenden Dienst. Darüber wird etwa die Möglichkeit umgesetzt, die lokal gespeicherten Dateien aus der Web-App heraus im nativen Dateimanager zu öffnen. Derartiges Verhalten würde Chrome künftig unterbinden.

Für eine Übergangszeit sollen eine Kommandozeilenoption sowie eine Enterprise-Richtlinie erhalten bleiben, die das alte Verhalten weiter ermöglicht. Diese soll aber mittelfristig zugunsten der neuen Funktion abgeschafft werden. Immerhin verspricht sich Google davon eine höhere Sicherheit gegenüber bestimmten Brute-Force- und XSRF-Angriffen.

Golem Akademie
  1. Microsoft Dynamics 365 Guides mit HoloLens 2: virtueller Ein-Tages-Workshop
    16. Februar 2022, Virtuell
  2. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
Weitere IT-Trainings

Als Alternative, um weiterhin von einer Web-App mit lokalen Anwendungen zu kommunizieren, empfiehlt Google das Chrome Message Passing. Diese Funktion ist aber nicht browserübergreifend verfügbar. Betroffene Entwickler stehen damit vor der Frage, wie Chrome und andere Browser weiter unterstützt werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Kaffeetasse 20. Mär 2015

Kann dann auch am Hoster liegen. Dieser Ratgeber über http://www.besterwebhoster.net...

Felix_Keyway 18. Mär 2015

Das habe ich sogar so eingerichtet: Requests werden ausschließ akzeptiert, wenn sie von...

Kernel der Frosch 17. Mär 2015

Cooles Teil :-)

christian.wengel 17. Mär 2015

Im Gegenteil, das Chromium-Projekt denkt sogar viel darüber nach. Du kannst dich sogar...

christian.wengel 17. Mär 2015

Meine 7490 löst das auf. Und das ist auch keine Alternative zu dem Vorhaben aus dem...



Aktuell auf der Startseite von Golem.de
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig

Naomi Wu wird in der Maker-Szene für ihr Fachwissen geschätzt. Youtube demonetarisiert sie aber wohl wegen ihrer Körperproportionen.

Naomi SexyCyborg Wu: Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
Artikel
  1. Quartalsbericht: Apples Gewinn stellt alles in den Schatten
    Quartalsbericht
    Apples Gewinn stellt alles in den Schatten

    Apple erwirtschaftet im letzten Quartal des Vorjahres einen Gewinn von 34,6 Milliarden US-Dollar. Und das trotz Chipkrise und weiteren Lieferengpässen.

  2. Coronapandemie: 42,6 Millionen mehr digitale Impfzertifikate als Impfdosen
    Coronapandemie
    42,6 Millionen mehr digitale Impfzertifikate als Impfdosen

    Einem Medienbericht zufolge gibt es eine Lücke zwischen ausgestellten Impfnachweisen und verabreichten Dosen. Diese wird sogar noch größer.

  3. Akamai: Steigende Nachfrage für illegale Kopien von Filmen
    Akamai
    Steigende Nachfrage für illegale Kopien von Filmen

    Durch die vielen neuen Streaming-Dienste ist illegales Filesharing wieder stark im Kommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RX 6900 XTU 16GB 1.449€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Acer Gaming-Monitor 119,90€ • Logitech Gaming-Headset 75€ • iRobot Saugroboter ab 289,99€ • 1TB SSD PCIe 4.0 128,07€ • Razer Gaming-Tastatur 155€ • GOG New Year Sale: bis zu 90% Rabatt • LG OLED 65 Zoll 1.599€ [Werbung]
    •  /