Abo
  • Services:

Google: Chrome soll Localhost-Zugriffe einschränken

Der Zugriff auf localhost und andere interne Netzwerkadressen über Chrome soll eingeschränkt werden. Das betrifft weniger lokale Webserver, sondern vielmehr Webanwendungen, die wohl umgeschrieben werden müssen.

Artikel veröffentlicht am ,
Eingeschränkter Zugriff auf localhost und das interne Netzwerk sollen Chrome absichern.
Eingeschränkter Zugriff auf localhost und das interne Netzwerk sollen Chrome absichern. (Bild: Google)

Die Chrome-Entwickler erarbeiten eine Funktion, die das Laden sogenannter Subressourcen aus dem Web auf 127.0.0.1 alias localhost verhindern soll. Von den Veränderungen ebenfalls betroffen sein sollen bestimmte IP-Adressen, die von der Iana für den internen Netzwerkgebrauch bestimmt sind.

Stellenmarkt
  1. Dataport, Rostock
  2. Grünbeck Wasseraufbereitung GmbH, Höchstädt an der Donau

Von dieser Änderung nicht betroffen sind wohl Zugriffe aus dem internen Netzwerk auf einen lokal laufenden Webserver, der zum Beispiel als Entwicklungsumgebung dient oder die Schnittstelle zur Routerkonfiguration bereithält. Verhindert werden sollen aber Zugriffe von öffentlichen Webseiten oder Web-Apps auf eben diese Adressräume. Entwickler derartiger Apps müssen diese also anpassen.

Web-Apps betroffen

In dem Bugreport, der den Fortschritt der Arbeiten dokumentiert, wird etwa auf die Funktionsweise von Dropbox eingegangen. So nutze der Dienst einen Websocket-Server auf localhost mit einem TLS-Zertifikat für www.dropboxlocalhost.com. Diese Domain wird nach 127.0.0.1 aufgelöst. Die Web-App verwende demnach den sicheren Websocket zur Verbindung mit dem lokal laufenden Dienst. Darüber wird etwa die Möglichkeit umgesetzt, die lokal gespeicherten Dateien aus der Web-App heraus im nativen Dateimanager zu öffnen. Derartiges Verhalten würde Chrome künftig unterbinden.

Für eine Übergangszeit sollen eine Kommandozeilenoption sowie eine Enterprise-Richtlinie erhalten bleiben, die das alte Verhalten weiter ermöglicht. Diese soll aber mittelfristig zugunsten der neuen Funktion abgeschafft werden. Immerhin verspricht sich Google davon eine höhere Sicherheit gegenüber bestimmten Brute-Force- und XSRF-Angriffen.

Als Alternative, um weiterhin von einer Web-App mit lokalen Anwendungen zu kommunizieren, empfiehlt Google das Chrome Message Passing. Diese Funktion ist aber nicht browserübergreifend verfügbar. Betroffene Entwickler stehen damit vor der Frage, wie Chrome und andere Browser weiter unterstützt werden können.

Zu den Kommentaren springen
Meistgelesen
  1. Zwangszustimmung
    Erste Klage nach DSGVO gegen Google und Facebook
  2. Detroit Become Human im Test
    Putsch der Plastikmenschen
  3. Sony
    Wie die Playstation 5 aussehen könnte
  4. Science Fiction
    Amazon übernimmt The Expanse
  5. Raven Ridge
    AMDs Athlon kehrt zurück
Anzeige
Spiele-Angebote
  1. 14,99€
  2. (-15%) 12,74€
  3. 3,49€
  4. 1,29€
Kommentarübersicht
Re: Routerzugriff?
Kaffeetasse 20. Mär 2015

Kann dann auch am Hoster liegen. Dieser Ratgeber über http://www.besterwebhoster.net...

Re: Das ging?
Felix_Keyway 18. Mär 2015

Das habe ich sogar so eingerichtet: Requests werden ausschließ akzeptiert, wenn sie von...

Re: Weiß jemand, ob das hier noch gehen wird?
Kernel der Frosch 17. Mär 2015

Cooles Teil :-)

Re: Würde man Entwickler nicht einschränken,...
christian.wengel 17. Mär 2015

Im Gegenteil, das Chromium-Projekt denkt sogar viel darüber nach. Du kannst dich sogar...

Re: avm
christian.wengel 17. Mär 2015

Meine 7490 löst das auf. Und das ist auch keine Alternative zu dem Vorhaben aus dem...

Folgen Sie uns
       
Detroit Become Human - Livestream

Detroit: Become Human hat unseren Chat und Livestreamer Michael Wieczorek überzeugt. Immer wieder und wieder wollten wir wissen, wie es in dem spannenden Sci-Fi-Krimi in unserer(?) Zukunft weitergeht.

Detroit Become Human - Livestream Video aufrufen
Recycling
Recycling: Die Plastikwaschmaschine
Recycling
Die Plastikwaschmaschine

Seit Kurzem importiert China kaum noch Müll aus dem Ausland. Damit hat Deutschland ein Problem. Wohin mit all dem Kunststoffabfall? Michael Hofmann will die Lösung kennen: Er bietet eine Technologie an, die den Abfall in Wertstoff verwandelt.
Ein Bericht von Daniel Hautmann

    Digitale Bildung
    Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
    Wonder Workshop Cue im Test
    Der Spielzeugroboter kommt ins Flegelalter

    Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
    Ein Test von Alexander Merz

      Oneplus 6
      Oneplus 6 im Test: Neues Design, gleich starkes Preis-Leistungs-Verhältnis
      Oneplus 6 im Test
      Neues Design, gleich starkes Preis-Leistungs-Verhältnis

      Das Oneplus 6 hat einen schnellen Prozessor, eine Dualkamera und ein großes Display - mit einer Einbuchtung am oberen Rand. Der Preis liegt wieder unter dem der meisten Konkurrenzgeräte. Das macht das Smartphone trotz fehlender Innovationen zu einem der aktuell interessantesten am Markt.
      Ein Test von Tobias Költzsch

      1. Android-Smartphone Neues Oneplus 6 kostet ab 520 Euro
      2. Oneplus 6 Oneplus verkauft sein neues Smartphone auch direkt in Berlin
      1. Themen
      2. A
      3. B
      4. C
      5. D
      6. E
      7. F
      8. G
      9. H
      10. I
      11. J
      12. K
      13. L
      14. M
      15. N
      16. O
      17. P
      18. Q
      19. R
      20. S
      21. T
      22. U
      23. V
      24. W
      25. X
      26. Y
      27. Z
      28. #
       
       
        •  /