Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Verwaiste Domains als…

Meine Meinung zu externem inhalt

  1. Thema

Neues Thema Ansicht wechseln


  1. Meine Meinung zu externem inhalt

    Autor: My1 07.09.17 - 09:13

    also mMn sollte alles was direkt auf dem Kontext der seite bspw eingebundene scripts, direkt auf dem server der seite gehostet werden, und alles was den kontext der seite nicht zwingend braucht (bspw eingebundene Youtube videos) gehören mMn in einen iframe sodass der browser sandboxen kann.

    und wenn es UNBEDINGT nötig ist externe scripts zu hosten, gehört da auf jeden fall SRI rein. (also ein hash des abrufenden scripts im HTML code)

    Asperger inside(tm)



    1 mal bearbeitet, zuletzt am 07.09.17 09:14 durch My1.

  2. Re: Meine Meinung zu externem inhalt

    Autor: ldlx 07.09.17 - 18:51

    iFrames sind böse - Barrierefreiheit, Tastaturbedienung, Textmodus-Browser, such dir was aus.

    Der Witz an externen Inhalten ist ja, dass diese sich verändern können oder sogar sollen (Aktualisierung/Sicherheitsupdates für JS-Frameworks, Werbenetzwerke etc.), ohne dass der Besucher oder der Betreiber sich drum kümmern muss - der Betreiber WILL das ja so.

    Externer Inhalt sollte extern bleiben, z. B. als klickbarer Link auf eine andere Seite statt Einbindung. Aber das ist ja nicht so hip. Autoplay-Videos gehören auch abgeschafft (danke JS-Blocker), die brauchen entweder Aufmerksamkeit oder kostbares Datenvolumen, meist beides.

    Mit JS-Blocker lebt es sich meist deutlich entspannter - die Seiten laden schneller, (fast) keine Werbung, kein Fremdcode, den ich nicht selbst nachladen lassen möchte. Gelegentlich funktioniert mal ein Menü nicht, okay. Den Volksempfänger des Axel Springer-Verlags brauche ich nicht, was juckt mich deren Adblocker ;-)

    Javascript von derselben 2nd/3rd-Level-Domain könnte ich mir noch vorstellen automatisch zu akzeptieren - hat sowas schon mal jemand in einem FF-Block-Addon umgesetzt? (hab NoScript im Einsatz)

  3. Re: Meine Meinung zu externem inhalt

    Autor: My1 07.09.17 - 19:24

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > iFrames sind böse - Barrierefreiheit, Tastaturbedienung, Textmodus-Browser,
    > such dir was aus.
    >
    > Der Witz an externen Inhalten ist ja, dass diese sich verändern können oder
    > sogar sollen (Aktualisierung/Sicherheitsupdates für JS-Frameworks,
    > Werbenetzwerke etc.), ohne dass der Besucher oder der Betreiber sich drum
    > kümmern muss - der Betreiber WILL das ja so.
    >
    > Externer Inhalt sollte extern bleiben, z. B. als klickbarer Link auf eine
    > andere Seite statt Einbindung. Aber das ist ja nicht so hip.
    > Autoplay-Videos gehören auch abgeschafft (danke JS-Blocker), die brauchen
    > entweder Aufmerksamkeit oder kostbares Datenvolumen, meist beides.
    >
    > Mit JS-Blocker lebt es sich meist deutlich entspannter - die Seiten laden
    > schneller, (fast) keine Werbung, kein Fremdcode, den ich nicht selbst
    > nachladen lassen möchte. Gelegentlich funktioniert mal ein Menü nicht,
    > okay. Den Volksempfänger des Axel Springer-Verlags brauche ich nicht, was
    > juckt mich deren Adblocker ;-)
    >
    > Javascript von derselben 2nd/3rd-Level-Domain könnte ich mir noch
    > vorstellen automatisch zu akzeptieren - hat sowas schon mal jemand in einem
    > FF-Block-Addon umgesetzt? (hab NoScript im Einsatz)

    also gerade werbung sollte mMn in nen iframe, da ist eh nur bild und scripte daher textbrowser und barrierefreiheit egal und vor allem nicht vertrauenswürdig.

    für JS frameworks und sonstiges zeug kann man sicher auch auf dem server ne software installieren die checkt ob sich das verändert hat und dann das script holen. mir gehts es u.a. besonders um die verantwortung die seitenbetreiber gerne von sich schieben, da das nicht von denen kommt.

    dazu sachen wie recaptcha 2 (also das mit dem haken) und so kommen als iframe und gehen super mit tastatur, weiß ich aus erfahrung, da ich die bei login mit captcha idr gleich mit tastatur anwähle.
    youtube embeds als anderes beispiel sind auch iframes und ich bezweifle dass das schlecht aussieht und bei denen ist im textbrowser auch ende egal ob iframe oder nicht.

    klar JS blocker ist was schönes wenn aber manche seiten es mit dem JS übertreiben und man diese ohne JS nicht mal vernünftig bedienen kann ist das mMn nicht lustig (aus logischen gründen sind dienste wie office online und andere "webanwendungen" davon nicht betroffen, da es im pronzip keine "normalen" websites sind)

    Asperger inside(tm)

  4. Re: Meine Meinung zu externem inhalt

    Autor: ldlx 07.09.17 - 19:34

    My1 schrieb:
    --------------------------------------------------------------------------------
    > also gerade werbung sollte mMn in nen iframe, da ist eh nur bild und
    > scripte daher textbrowser und barrierefreiheit egal und vor allem nicht
    > vertrauenswürdig.
    wie soll ein Browser zwischen "gewollten" iFrames mit Inhalt und einem Werbe-iFrame unterscheiden können, so dass dieser z. B. grundsätzlich als Werbeinhalt in Bezug auf Barrierefreiheit oder Text-Modus-Browser komplett ignoriert wird?
    > für JS frameworks und sonstiges zeug kann man sicher auch auf dem server ne
    > software installieren die checkt ob sich das verändert hat und dann das
    > script holen. mir gehts es u.a. besonders um die verantwortung die
    > seitenbetreiber gerne von sich schieben, da das nicht von denen kommt.
    Bei einer Auto-Aktualisierung auf dem eigenen Webserver ändert sich auch nix. Es liegt zwar dort, wird aber nicht zwangsläufig geprüft, z. B. auf Malware oder ob die neue Version mit der Webseite funktioniert.
    > klar JS blocker ist was schönes wenn aber manche seiten es mit dem JS
    > übertreiben und man diese ohne JS nicht mal vernünftig bedienen kann ist
    > das mMn nicht lustig (aus logischen gründen sind dienste wie office online
    > und andere "webanwendungen" davon nicht betroffen, da es im pronzip keine
    > "normalen" websites sind)
    Wieviele verschiedene Seitenbetreiber hast du am Tag, die nicht ohne Javascript bedienbar sind? Bzw. wie oft startest du deinen Browser neu, dass die temporären Ausnahmen (z. B. Noscript) verfallen?

    Ich ärgere mich jedes mal bei ebay in Kombination mit Paypal, da dort der Login-Dialog in die ebay-Seite eingebettet wird, aber obwohl alle Javascripts zugelassen sind, der Login-Dialog nicht lädt. Das führt dann zu mehreren 2FA-SMS, falls ich es doch mehr als 1x probiere, meist weiche ich dann zwangsläufig auf den Internet Explorer ohne Script-Blocker aus.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Fasihi GmbH, Ludwigshafen am Rhein
  2. SEAL Systems AG, Röttenbach bei Erlangen, Roßdorf bei Darmstadt
  3. Rentschler Biopharma SE, Laupheim
  4. ARNECKE SIBETH DABELSTEIN, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. auf ausgewählte Corsair-Netzteile


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Mehr Reaktionsmöglichkeiten statt schwächerer Munition
  2. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  3. Battlefield 5 Schatzkisten und Systemanforderungen

  1. Amber Lake Y: Dell benennt Intel-Chips mit 5 Watt
    Amber Lake Y
    Dell benennt Intel-Chips mit 5 Watt

    Ende August 2018 plant Intel wie jedes Jahr, neue Prozessoren für Ultrabooks zu veröffentlichen. Die Daten von Dells XPS 13 Convertible zeigen die Namen und Taktraten der Amber Lake Y - es geht über 4 GHz.

  2. USA: "Erschütternde Menge Nazipropaganda" im Amazon Marketplace
    USA
    "Erschütternde Menge Nazipropaganda" im Amazon Marketplace

    Trotz anderslautender Geschäftsbedingungen bieten Verkäufer auf dem Amazon Marketplace in den USA "eine erschütternde" Menge Neonazi-Produkte an. Der US-Abgeordnete Keith Ellison verlangt Konsequenzen.

  3. Linux-Kernel: Treiber für Mainboard-Chips und -Sensoren verlieren Betreuer
    Linux-Kernel
    Treiber für Mainboard-Chips und -Sensoren verlieren Betreuer

    Der Betreuer der für Linux-Kernel-Treiber wichtigen Mainboard-Sensoren kündigt seinen Rückzug aus der Pflege des Codes an. Der Code soll offline genommen werden. Alternativen für Nutzer stehen zurzeit aber nicht bereit.


  1. 14:32

  2. 14:12

  3. 13:49

  4. 13:30

  5. 13:18

  6. 12:47

  7. 12:04

  8. 11:53