• IT-Karriere:
  • Services:

Isolierung für manche Javascript-Features nötig

Die neuen und alten Header sind vergleichsweise komplex. Am einfachsten haben es simple Webseiten, die keine Frames nutzen und keine externen Ressourcen einbinden oder für andere bereitstellen. Sie können die folgende Kombination an Headern setzen und sich damit abschotten:

Stellenmarkt
  1. Franke Coffee Systems GmbH, Gruensfeld
  2. thinkproject Deutschland GmbH, Essen

  1. Cross-Origin-Resource-Policy: same-origin
  2. Cross-Origin-Embedder-Policy: require-corp
  3. Cross-Origin-Opener-Policy: same-origin
  4. X-Content-Type-Options: nosniff
  5. X-Frame-Options: deny

Letztendlich ist dies die Einstellung, welche die meisten Webseiten anstreben sollten. Alle externen Inhalte müssen dann explizit das Einbinden erlauben. Wer die drei neuen Header mit sicheren Optionen konfiguriert hat, erhält Zugriff auf die Javascript-Features, die nach der Entdeckung von Spectre abgeschaltet wurden.

In Javascript kann die Eigenschaft crossOriginIsolated geprüft werden, die bestätigt, dass Shared-Array-Buffer und hochauflösende Timer wieder genutzt werden können.

Implementierung hat noch Macken

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Ansible Fundamentals: Systemdeployment & -management
    26.-30. April 2021, online
Weitere IT-Trainings

Bei den Recherchen ist uns aufgefallen, dass die Implementierungen der neuen HTTP-Header noch Fehler haben. In Firefox wurden Ladevorgänge einer Seite mit COEP, die eigentlich explizit via CORP erlaubt waren, in manchen Fällen blockiert. Der Grund dafür war, dass die Daten aus dem Cache gelesen wurden und dieser die CORP-Eigenschaft nicht gespeichert hatte. Auch stellten wir fest, dass ein RSS-Feed auf einer Seite mit CORP von Thunderbird nicht mehr geladen werden konnte. Beide Probleme haben wir an Mozilla gemeldet.

Solche Bugs werden sicher seltener, wenn mehr Personen die neuen Header einsetzen und die Implementierungen ausgereifter werden. Vorerst sollte mit der ein oder anderen Macke gerechnet werden.

Hanno Böck ist Golem-Redakteur für die Themen IT-Sicherheit und Kryptographie. Bei der Golem Akademie gibt Hanno den Workshop "IT-Sicherheit für Webentwickler". In dem zweitägigen Onlineseminar führen die Teilnehmer Angriffe auf reale Webapplikationen praktisch durch und analysieren, wie sich solche Schwachstellen schließen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Content-Sniffing abschalten ist generell empfehlenswert
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)

schnedan 01. Apr 2021 / Themenstart

"Neuerdings werden ja sogar Spiele gestreamt" Jo, im schlimmsten Fall geht das dann halt...

negiup 01. Apr 2021 / Themenstart

Teil der Übergangslösung ist das beschriebene Abschalten des SharedArrayBuffers und...

negiup 01. Apr 2021 / Themenstart

Danke für den verständlichen Artikel! Für das Grundverständnis ist der sehr hilfreich...

heutger 31. Mär 2021 / Themenstart

Ich verstehe nicht, wieso man nicht so etwas in den bestehenden mächtigen CSP Header...

Kommentieren


Folgen Sie uns
       


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /