Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Verwaiste Domains als…

Meine Meinung zu externem inhalt

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Meine Meinung zu externem inhalt

    Autor: My1 07.09.17 - 09:13

    also mMn sollte alles was direkt auf dem Kontext der seite bspw eingebundene scripts, direkt auf dem server der seite gehostet werden, und alles was den kontext der seite nicht zwingend braucht (bspw eingebundene Youtube videos) gehören mMn in einen iframe sodass der browser sandboxen kann.

    und wenn es UNBEDINGT nötig ist externe scripts zu hosten, gehört da auf jeden fall SRI rein. (also ein hash des abrufenden scripts im HTML code)

    Asperger inside(tm)



    1 mal bearbeitet, zuletzt am 07.09.17 09:14 durch My1.

  2. Re: Meine Meinung zu externem inhalt

    Autor: ldlx 07.09.17 - 18:51

    iFrames sind böse - Barrierefreiheit, Tastaturbedienung, Textmodus-Browser, such dir was aus.

    Der Witz an externen Inhalten ist ja, dass diese sich verändern können oder sogar sollen (Aktualisierung/Sicherheitsupdates für JS-Frameworks, Werbenetzwerke etc.), ohne dass der Besucher oder der Betreiber sich drum kümmern muss - der Betreiber WILL das ja so.

    Externer Inhalt sollte extern bleiben, z. B. als klickbarer Link auf eine andere Seite statt Einbindung. Aber das ist ja nicht so hip. Autoplay-Videos gehören auch abgeschafft (danke JS-Blocker), die brauchen entweder Aufmerksamkeit oder kostbares Datenvolumen, meist beides.

    Mit JS-Blocker lebt es sich meist deutlich entspannter - die Seiten laden schneller, (fast) keine Werbung, kein Fremdcode, den ich nicht selbst nachladen lassen möchte. Gelegentlich funktioniert mal ein Menü nicht, okay. Den Volksempfänger des Axel Springer-Verlags brauche ich nicht, was juckt mich deren Adblocker ;-)

    Javascript von derselben 2nd/3rd-Level-Domain könnte ich mir noch vorstellen automatisch zu akzeptieren - hat sowas schon mal jemand in einem FF-Block-Addon umgesetzt? (hab NoScript im Einsatz)

  3. Re: Meine Meinung zu externem inhalt

    Autor: My1 07.09.17 - 19:24

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > iFrames sind böse - Barrierefreiheit, Tastaturbedienung, Textmodus-Browser,
    > such dir was aus.
    >
    > Der Witz an externen Inhalten ist ja, dass diese sich verändern können oder
    > sogar sollen (Aktualisierung/Sicherheitsupdates für JS-Frameworks,
    > Werbenetzwerke etc.), ohne dass der Besucher oder der Betreiber sich drum
    > kümmern muss - der Betreiber WILL das ja so.
    >
    > Externer Inhalt sollte extern bleiben, z. B. als klickbarer Link auf eine
    > andere Seite statt Einbindung. Aber das ist ja nicht so hip.
    > Autoplay-Videos gehören auch abgeschafft (danke JS-Blocker), die brauchen
    > entweder Aufmerksamkeit oder kostbares Datenvolumen, meist beides.
    >
    > Mit JS-Blocker lebt es sich meist deutlich entspannter - die Seiten laden
    > schneller, (fast) keine Werbung, kein Fremdcode, den ich nicht selbst
    > nachladen lassen möchte. Gelegentlich funktioniert mal ein Menü nicht,
    > okay. Den Volksempfänger des Axel Springer-Verlags brauche ich nicht, was
    > juckt mich deren Adblocker ;-)
    >
    > Javascript von derselben 2nd/3rd-Level-Domain könnte ich mir noch
    > vorstellen automatisch zu akzeptieren - hat sowas schon mal jemand in einem
    > FF-Block-Addon umgesetzt? (hab NoScript im Einsatz)

    also gerade werbung sollte mMn in nen iframe, da ist eh nur bild und scripte daher textbrowser und barrierefreiheit egal und vor allem nicht vertrauenswürdig.

    für JS frameworks und sonstiges zeug kann man sicher auch auf dem server ne software installieren die checkt ob sich das verändert hat und dann das script holen. mir gehts es u.a. besonders um die verantwortung die seitenbetreiber gerne von sich schieben, da das nicht von denen kommt.

    dazu sachen wie recaptcha 2 (also das mit dem haken) und so kommen als iframe und gehen super mit tastatur, weiß ich aus erfahrung, da ich die bei login mit captcha idr gleich mit tastatur anwähle.
    youtube embeds als anderes beispiel sind auch iframes und ich bezweifle dass das schlecht aussieht und bei denen ist im textbrowser auch ende egal ob iframe oder nicht.

    klar JS blocker ist was schönes wenn aber manche seiten es mit dem JS übertreiben und man diese ohne JS nicht mal vernünftig bedienen kann ist das mMn nicht lustig (aus logischen gründen sind dienste wie office online und andere "webanwendungen" davon nicht betroffen, da es im pronzip keine "normalen" websites sind)

    Asperger inside(tm)

  4. Re: Meine Meinung zu externem inhalt

    Autor: ldlx 07.09.17 - 19:34

    My1 schrieb:
    --------------------------------------------------------------------------------
    > also gerade werbung sollte mMn in nen iframe, da ist eh nur bild und
    > scripte daher textbrowser und barrierefreiheit egal und vor allem nicht
    > vertrauenswürdig.
    wie soll ein Browser zwischen "gewollten" iFrames mit Inhalt und einem Werbe-iFrame unterscheiden können, so dass dieser z. B. grundsätzlich als Werbeinhalt in Bezug auf Barrierefreiheit oder Text-Modus-Browser komplett ignoriert wird?
    > für JS frameworks und sonstiges zeug kann man sicher auch auf dem server ne
    > software installieren die checkt ob sich das verändert hat und dann das
    > script holen. mir gehts es u.a. besonders um die verantwortung die
    > seitenbetreiber gerne von sich schieben, da das nicht von denen kommt.
    Bei einer Auto-Aktualisierung auf dem eigenen Webserver ändert sich auch nix. Es liegt zwar dort, wird aber nicht zwangsläufig geprüft, z. B. auf Malware oder ob die neue Version mit der Webseite funktioniert.
    > klar JS blocker ist was schönes wenn aber manche seiten es mit dem JS
    > übertreiben und man diese ohne JS nicht mal vernünftig bedienen kann ist
    > das mMn nicht lustig (aus logischen gründen sind dienste wie office online
    > und andere "webanwendungen" davon nicht betroffen, da es im pronzip keine
    > "normalen" websites sind)
    Wieviele verschiedene Seitenbetreiber hast du am Tag, die nicht ohne Javascript bedienbar sind? Bzw. wie oft startest du deinen Browser neu, dass die temporären Ausnahmen (z. B. Noscript) verfallen?

    Ich ärgere mich jedes mal bei ebay in Kombination mit Paypal, da dort der Login-Dialog in die ebay-Seite eingebettet wird, aber obwohl alle Javascripts zugelassen sind, der Login-Dialog nicht lädt. Das führt dann zu mehreren 2FA-SMS, falls ich es doch mehr als 1x probiere, meist weiche ich dann zwangsläufig auf den Internet Explorer ohne Script-Blocker aus.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. thyssenkrupp AG, Essen
  3. GIGATRONIK München GmbH, München
  4. Versicherungskammer Bayern, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 29,00€
  2. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 14,99€)
  3. 24,99€ (Vorbesteller-Preisgarantie)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

Kilopower: Ein Kernreaktor für Raumsonden
Kilopower
Ein Kernreaktor für Raumsonden
  1. Raumfahrt Nasa zündet Voyager-Triebwerke nach 37 Jahren
  2. Bake in Space Bloß keine Krümel auf der ISS
  3. Raumfahrtpionier Der Mann, der lange vor SpaceX günstige Raketen entwickelte

  1. Private Division: Rockstar-Games-Firma gründet Ableger für AAA-Indiegames
    Private Division
    Rockstar-Games-Firma gründet Ableger für AAA-Indiegames

    Die Spielentwickler Patrice Désilets (Assassin's Creed), Ben Cousins (Battlefield) und Marcus Letho (Halo) produzieren ihr nächstes Werk zusammen mit einem neuen Ableger von Take 2 - der Firma hinter Rockstar und 2K Games. Private Division soll sich auf hochkarätige Indiegames konzentrieren.

  2. Klage erfolgreich: BND darf deutsche Metadaten nicht beliebig sammeln
    Klage erfolgreich
    BND darf deutsche Metadaten nicht beliebig sammeln

    Der Bundesnachrichtendienst muss seine Metadaten-Sammlung einschränken. Selbst in anonymisierter Form gebe es dafür keine gesetzliche Grundlage, entschied das Bundesverwaltungsgericht.

  3. Neuer Bericht: US-Behörden sollen kommerzielle Cloud-Dienste nutzen
    Neuer Bericht
    US-Behörden sollen kommerzielle Cloud-Dienste nutzen

    Ein Beratergremium der US-Regierung empfiehlt ihren Bundesbehörden, eigene IT-Lösungen aufzugeben und stattdessen stärker auf kommerzielle Cloud-Dienste zu setzen. Damit würden nicht nur Kosten gespart, die Cloud sei auch sicherer.


  1. 16:10

  2. 15:30

  3. 15:19

  4. 14:50

  5. 14:44

  6. 14:43

  7. 14:05

  8. 12:55