Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Verwaiste Domains als…

Meine Meinung zu externem inhalt

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Meine Meinung zu externem inhalt

    Autor: My1 07.09.17 - 09:13

    also mMn sollte alles was direkt auf dem Kontext der seite bspw eingebundene scripts, direkt auf dem server der seite gehostet werden, und alles was den kontext der seite nicht zwingend braucht (bspw eingebundene Youtube videos) gehören mMn in einen iframe sodass der browser sandboxen kann.

    und wenn es UNBEDINGT nötig ist externe scripts zu hosten, gehört da auf jeden fall SRI rein. (also ein hash des abrufenden scripts im HTML code)

    Asperger inside(tm)



    1 mal bearbeitet, zuletzt am 07.09.17 09:14 durch My1.

  2. Re: Meine Meinung zu externem inhalt

    Autor: ldlx 07.09.17 - 18:51

    iFrames sind böse - Barrierefreiheit, Tastaturbedienung, Textmodus-Browser, such dir was aus.

    Der Witz an externen Inhalten ist ja, dass diese sich verändern können oder sogar sollen (Aktualisierung/Sicherheitsupdates für JS-Frameworks, Werbenetzwerke etc.), ohne dass der Besucher oder der Betreiber sich drum kümmern muss - der Betreiber WILL das ja so.

    Externer Inhalt sollte extern bleiben, z. B. als klickbarer Link auf eine andere Seite statt Einbindung. Aber das ist ja nicht so hip. Autoplay-Videos gehören auch abgeschafft (danke JS-Blocker), die brauchen entweder Aufmerksamkeit oder kostbares Datenvolumen, meist beides.

    Mit JS-Blocker lebt es sich meist deutlich entspannter - die Seiten laden schneller, (fast) keine Werbung, kein Fremdcode, den ich nicht selbst nachladen lassen möchte. Gelegentlich funktioniert mal ein Menü nicht, okay. Den Volksempfänger des Axel Springer-Verlags brauche ich nicht, was juckt mich deren Adblocker ;-)

    Javascript von derselben 2nd/3rd-Level-Domain könnte ich mir noch vorstellen automatisch zu akzeptieren - hat sowas schon mal jemand in einem FF-Block-Addon umgesetzt? (hab NoScript im Einsatz)

  3. Re: Meine Meinung zu externem inhalt

    Autor: My1 07.09.17 - 19:24

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > iFrames sind böse - Barrierefreiheit, Tastaturbedienung, Textmodus-Browser,
    > such dir was aus.
    >
    > Der Witz an externen Inhalten ist ja, dass diese sich verändern können oder
    > sogar sollen (Aktualisierung/Sicherheitsupdates für JS-Frameworks,
    > Werbenetzwerke etc.), ohne dass der Besucher oder der Betreiber sich drum
    > kümmern muss - der Betreiber WILL das ja so.
    >
    > Externer Inhalt sollte extern bleiben, z. B. als klickbarer Link auf eine
    > andere Seite statt Einbindung. Aber das ist ja nicht so hip.
    > Autoplay-Videos gehören auch abgeschafft (danke JS-Blocker), die brauchen
    > entweder Aufmerksamkeit oder kostbares Datenvolumen, meist beides.
    >
    > Mit JS-Blocker lebt es sich meist deutlich entspannter - die Seiten laden
    > schneller, (fast) keine Werbung, kein Fremdcode, den ich nicht selbst
    > nachladen lassen möchte. Gelegentlich funktioniert mal ein Menü nicht,
    > okay. Den Volksempfänger des Axel Springer-Verlags brauche ich nicht, was
    > juckt mich deren Adblocker ;-)
    >
    > Javascript von derselben 2nd/3rd-Level-Domain könnte ich mir noch
    > vorstellen automatisch zu akzeptieren - hat sowas schon mal jemand in einem
    > FF-Block-Addon umgesetzt? (hab NoScript im Einsatz)

    also gerade werbung sollte mMn in nen iframe, da ist eh nur bild und scripte daher textbrowser und barrierefreiheit egal und vor allem nicht vertrauenswürdig.

    für JS frameworks und sonstiges zeug kann man sicher auch auf dem server ne software installieren die checkt ob sich das verändert hat und dann das script holen. mir gehts es u.a. besonders um die verantwortung die seitenbetreiber gerne von sich schieben, da das nicht von denen kommt.

    dazu sachen wie recaptcha 2 (also das mit dem haken) und so kommen als iframe und gehen super mit tastatur, weiß ich aus erfahrung, da ich die bei login mit captcha idr gleich mit tastatur anwähle.
    youtube embeds als anderes beispiel sind auch iframes und ich bezweifle dass das schlecht aussieht und bei denen ist im textbrowser auch ende egal ob iframe oder nicht.

    klar JS blocker ist was schönes wenn aber manche seiten es mit dem JS übertreiben und man diese ohne JS nicht mal vernünftig bedienen kann ist das mMn nicht lustig (aus logischen gründen sind dienste wie office online und andere "webanwendungen" davon nicht betroffen, da es im pronzip keine "normalen" websites sind)

    Asperger inside(tm)

  4. Re: Meine Meinung zu externem inhalt

    Autor: ldlx 07.09.17 - 19:34

    My1 schrieb:
    --------------------------------------------------------------------------------
    > also gerade werbung sollte mMn in nen iframe, da ist eh nur bild und
    > scripte daher textbrowser und barrierefreiheit egal und vor allem nicht
    > vertrauenswürdig.
    wie soll ein Browser zwischen "gewollten" iFrames mit Inhalt und einem Werbe-iFrame unterscheiden können, so dass dieser z. B. grundsätzlich als Werbeinhalt in Bezug auf Barrierefreiheit oder Text-Modus-Browser komplett ignoriert wird?
    > für JS frameworks und sonstiges zeug kann man sicher auch auf dem server ne
    > software installieren die checkt ob sich das verändert hat und dann das
    > script holen. mir gehts es u.a. besonders um die verantwortung die
    > seitenbetreiber gerne von sich schieben, da das nicht von denen kommt.
    Bei einer Auto-Aktualisierung auf dem eigenen Webserver ändert sich auch nix. Es liegt zwar dort, wird aber nicht zwangsläufig geprüft, z. B. auf Malware oder ob die neue Version mit der Webseite funktioniert.
    > klar JS blocker ist was schönes wenn aber manche seiten es mit dem JS
    > übertreiben und man diese ohne JS nicht mal vernünftig bedienen kann ist
    > das mMn nicht lustig (aus logischen gründen sind dienste wie office online
    > und andere "webanwendungen" davon nicht betroffen, da es im pronzip keine
    > "normalen" websites sind)
    Wieviele verschiedene Seitenbetreiber hast du am Tag, die nicht ohne Javascript bedienbar sind? Bzw. wie oft startest du deinen Browser neu, dass die temporären Ausnahmen (z. B. Noscript) verfallen?

    Ich ärgere mich jedes mal bei ebay in Kombination mit Paypal, da dort der Login-Dialog in die ebay-Seite eingebettet wird, aber obwohl alle Javascripts zugelassen sind, der Login-Dialog nicht lädt. Das führt dann zu mehreren 2FA-SMS, falls ich es doch mehr als 1x probiere, meist weiche ich dann zwangsläufig auf den Internet Explorer ohne Script-Blocker aus.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. ZytoService Deutschland GmbH, Hamburg
  2. CEMA AG, verschiedene Standorte
  3. Deloitte, verschiedene Standorte
  4. dbh Logistics IT AG, Bremen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. mit Gutscheincode PCGAMES17 nur 82,99€ statt 89,99€
  2. (-20%) 35,99€
  3. 9,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Essential Phone im Test: Das essenzielle Android-Smartphone hat ein Problem
Essential Phone im Test
Das essenzielle Android-Smartphone hat ein Problem
  1. Teardown Das Essential Phone ist praktisch nicht zu reparieren
  2. Smartphone Essential Phone kommt mit zwei Monaten Verspätung
  3. Andy Rubin Essential gewinnt 300 Millionen US-Dollar Investorengelder

Pixel 2 und Pixel 2 XL im Test: Google fehlt der Mut
Pixel 2 und Pixel 2 XL im Test
Google fehlt der Mut
  1. Pixel Visual Core Googles eigener ISP macht HDR+ schneller
  2. Smartphones Googles Pixel 2 ist in Deutschland besonders teuer
  3. Pixel 2 und Pixel 2 XL im Hands on Googles neue Smartphone-Oberklasse überzeugt

Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

  1. Mirai-Nachfolger: Experten warnen vor "Cyber-Hurrican" durch neues Botnetz
    Mirai-Nachfolger
    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

    Kriminelle nutzen Sicherheitslücken in IoT-Geräten zum Aufbau eines großen Botnetzes aus. Dabei verwendet der Bot Code von Mirai, unterscheidet sich jedoch von seinem prominenten Vorgänger.

  2. Europol: EU will "Entschlüsselungsplattform" ausbauen
    Europol
    EU will "Entschlüsselungsplattform" ausbauen

    Die Verschlüsselung privater Kommunikation soll auch auf europäischer Ebene angegriffen werden. Da der Einbau von Hintertüren offenbar vom Tisch ist, geht es nun um Schwachstellen bei der Implementierung und das Hacken von Passwörtern.

  3. Krack-Angriff: AVM liefert erste Updates für Repeater und Powerline
    Krack-Angriff
    AVM liefert erste Updates für Repeater und Powerline

    Nach dem Bekanntwerden der WPA2-Schwäche Krack hat AVM nun erste Geräte gepatcht. Weitere Patches sollen folgen, jedoch nicht für Fritzboxen.


  1. 14:50

  2. 13:27

  3. 11:25

  4. 17:14

  5. 16:25

  6. 15:34

  7. 13:05

  8. 11:59