Es ist immer wieder erschreckend, wie wenig die Entwickler auf die Sicherheit einer Website achten. Jedes zusätzliche externe Skript ermöglicht es dem Besitzer dieses Scripts alles mit der Seite zu machen. https://www.ampproject.org/docs/get_started/create/basic_markup.html "Contain a <script>...</script> tag as the last element in their head (this includes and loads the AMP JS library)." Klar, ich vertraue auch jedem, der mir irgendwas verspricht "schneller, besser, mehr, Wachstum" ... wenn man schon einen "Standard" einführt, dann aber bitte doch ohne diesen Zusatz-Script-Kram! Da hilft dann übrigens auch kein HTTPS oder HSTS oder CSP, denn man inkludiert fremde nicht-selbst-kontrollierbare Daten!

was aber hilft ist SRI subressource integrity das sorgt dafür dass eine ressource nur dann genutzt wird wenn die prüfsumme mit dem auf der website notierten wert übereinstimmt, man kann also das js lesen, prüfen und dann es per SRI fixieren.

CSP + SRI wären hier wirklich notwendig, allerdings bezweifel ich, dass die Techniker den Entscheidern das ordentlich vermitteln können, denn die lesen oft nur "boa, bei google wird das besser geranked"! Schlichtes Layout der Seite, Styles und Skripte bei bedarf auf ein CDN und gut ist ;) dafür brauchte es kein AMP

Noch eine Wanze - Accelerated Mobile Pages: Google verteilt AMP weltweit

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.

‹
Thema
›

Neues Thema

Noch eine Wanze

Autor: FibreFoX 21.09.16 - 12:16

Es ist immer wieder erschreckend, wie wenig die Entwickler auf die Sicherheit einer Website achten. Jedes zusätzliche externe Skript ermöglicht es dem Besitzer dieses Scripts alles mit der Seite zu machen.

https://www.ampproject.org/docs/get_started/create/basic_markup.html
"Contain a <script>...</script> tag as the last element in their head (this includes and loads the AMP JS library)."

Klar, ich vertraue auch jedem, der mir irgendwas verspricht "schneller, besser, mehr, Wachstum" ... wenn man schon einen "Standard" einführt, dann aber bitte doch ohne diesen Zusatz-Script-Kram!

Da hilft dann übrigens auch kein HTTPS oder HSTS oder CSP, denn man inkludiert fremde nicht-selbst-kontrollierbare Daten!
Re: Noch eine Wanze

Autor: My1 21.09.16 - 12:22

was aber hilft ist SRI
subressource integrity

das sorgt dafür dass eine ressource nur dann genutzt wird wenn die prüfsumme mit dem auf der website notierten wert übereinstimmt, man kann also das js lesen, prüfen und dann es per SRI fixieren.
Re: Noch eine Wanze

Autor: FibreFoX 21.09.16 - 12:35

CSP + SRI wären hier wirklich notwendig, allerdings bezweifel ich, dass die Techniker den Entscheidern das ordentlich vermitteln können, denn die lesen oft nur "boa, bei google wird das besser geranked"!

Schlichtes Layout der Seite, Styles und Skripte bei bedarf auf ein CDN und gut ist ;) dafür brauchte es kein AMP

‹
Thema
›

Neues Thema

Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Noch eine Wanze

Noch eine Wanze

Autor: FibreFoX 21.09.16 - 12:16

Re: Noch eine Wanze

Autor: My1 21.09.16 - 12:22

Re: Noch eine Wanze

Autor: FibreFoX 21.09.16 - 12:35