Isolierung für manche Javascript-Features nötig

Die neuen und alten Header sind vergleichsweise komplex. Am einfachsten haben es simple Webseiten, die keine Frames nutzen und keine externen Ressourcen einbinden oder für andere bereitstellen. Sie können die folgende Kombination an Headern setzen und sich damit abschotten:

Stellenmarkt
  1. Business Process Manager (m/w/d)
    Richter-Helm BioLogics GmbH & Co. KG, Bovenau
  2. IT-Recruiter (m/w/d)
    Cegeka Deutschland GmbH, Neu Isenburg, Köln
Detailsuche

  1. Cross-Origin-Resource-Policy: same-origin
  2. Cross-Origin-Embedder-Policy: require-corp
  3. Cross-Origin-Opener-Policy: same-origin
  4. X-Content-Type-Options: nosniff
  5. X-Frame-Options: deny

Letztendlich ist dies die Einstellung, welche die meisten Webseiten anstreben sollten. Alle externen Inhalte müssen dann explizit das Einbinden erlauben. Wer die drei neuen Header mit sicheren Optionen konfiguriert hat, erhält Zugriff auf die Javascript-Features, die nach der Entdeckung von Spectre abgeschaltet wurden.

In Javascript kann die Eigenschaft crossOriginIsolated geprüft werden, die bestätigt, dass Shared-Array-Buffer und hochauflösende Timer wieder genutzt werden können.

Implementierung hat noch Macken

Golem Akademie
  1. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
Weitere IT-Trainings

Bei den Recherchen ist uns aufgefallen, dass die Implementierungen der neuen HTTP-Header noch Fehler haben. In Firefox wurden Ladevorgänge einer Seite mit COEP, die eigentlich explizit via CORP erlaubt waren, in manchen Fällen blockiert. Der Grund dafür war, dass die Daten aus dem Cache gelesen wurden und dieser die CORP-Eigenschaft nicht gespeichert hatte. Auch stellten wir fest, dass ein RSS-Feed auf einer Seite mit CORP von Thunderbird nicht mehr geladen werden konnte. Beide Probleme haben wir an Mozilla gemeldet.

Solche Bugs werden sicher seltener, wenn mehr Personen die neuen Header einsetzen und die Implementierungen ausgereifter werden. Vorerst sollte mit der ein oder anderen Macke gerechnet werden.

Hanno Böck ist Golem-Redakteur für die Themen IT-Sicherheit und Kryptographie. Bei der Golem Akademie gibt Hanno den Workshop "IT-Sicherheit für Webentwickler". In dem zweitägigen Onlineseminar führen die Teilnehmer Angriffe auf reale Webapplikationen praktisch durch und analysieren, wie sich solche Schwachstellen schließen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Content-Sniffing abschalten ist generell empfehlenswert
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


schnedan 01. Apr 2021

"Neuerdings werden ja sogar Spiele gestreamt" Jo, im schlimmsten Fall geht das dann halt...

negiup 01. Apr 2021

Teil der Übergangslösung ist das beschriebene Abschalten des SharedArrayBuffers und...

negiup 01. Apr 2021

Danke für den verständlichen Artikel! Für das Grundverständnis ist der sehr hilfreich...

heutger 31. Mär 2021

Ich verstehe nicht, wieso man nicht so etwas in den bestehenden mächtigen CSP Header...



Aktuell auf der Startseite von Golem.de
Blender Foundation
Blender 3.0 ist da

Die freie 3D-Software Blender bekommt ein Update - wir haben es uns angesehen.

Blender Foundation: Blender 3.0 ist da
Artikel
  1. Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
    Bald exklusiv bei Disney+
    Serien verschwinden aus Abos von Netflix und Prime Video

    Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
    Von Ingo Pakalski

  2. Chorus im Test: Action im All plus galaktische Grafik
    Chorus im Test
    Action im All plus galaktische Grafik

    Schicke Grafik und ein sprechendes Raumschiff: Chorus von Deep Silver entpuppt sich beim Test als düsteres und spannendes Weltraumspiel.
    Von Peter Steinlechner

  3. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /