1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Erneut Cross-Site…

Hilft das gegen Plugins?

  1. Thema

Neues Thema Ansicht wechseln


  1. Hilft das gegen Plugins?

    Autor: Epaminaidos 07.05.15 - 15:14

    Ich bekomme von unserer Webanwendung ständig Fehlermeldungen, weil die Browser einiger Nutzer völlig mit allen möglichen Plugins verseucht sind. Diese binden oft zusätzliche Javascript-Tags ein (teilweise inline, teiweise von externen Hosts), die dann Fehler produzieren. Weiß jemand, ob die CSPs dort auch greifen?
    Wäre ja ein sehr angenehmer Nebeneffekt.

  2. Re: Hilft das gegen Plugins?

    Autor: hannob (golem.de) 07.05.15 - 15:39

    Epaminaidos schrieb:
    --------------------------------------------------------------------------------
    > Ich bekomme von unserer Webanwendung ständig Fehlermeldungen, weil die
    > Browser einiger Nutzer völlig mit allen möglichen Plugins verseucht sind.
    > Diese binden oft zusätzliche Javascript-Tags ein (teilweise inline,
    > teiweise von externen Hosts), die dann Fehler produzieren. Weiß jemand, ob
    > die CSPs dort auch greifen?
    > Wäre ja ein sehr angenehmer Nebeneffekt.

    Kurze Antwort: It's complicated :-)

    Also erstmal: Plugins können im Prinzip Javascript-Code ausführen, auch wenn die Webseite das verhindern will. Sie laufen immer auf einer höheren Rechteebene, was auch in gewisser Weise Sinn macht (der Nutzer entscheidet was auf seinem System passiert).

    Es gibt aber einen Haufen Plugins die Javascript-Code so injecten dass CSP trotzdem greift, beispielsweise wenn ein Plugin HTML-Code ändert und dann inline-Javascript einführt, obwohl der CSP-Header das verbietet. Das führt u.A. zu der unangenehmen Nebenwirkung dass wenn man das Warn-Feature von CSP anschaltet (report-uri) man einen Haufen False Positives erhält. Vermutlich dürfte das bei vielen Plugins die Nebenwirkung haben dass bestimmte Funktionen einfach nicht mehr tun.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SySS GmbH, Tübingen, Frankfurt am Main, München, Wien (Österreich)
  2. Stadtwerke München GmbH, München
  3. OGS Gesellschaft für Datenverarbeitung und Systemberatung mbH, Koblenz
  4. ServiceXpert Gesellschaft für Service-Informationssysteme mbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Open Power CPU: Open-Source-ISA als letzte Chance
Open Power CPU
Open-Source-ISA als letzte Chance

Die CPU-Architektur Power fristet derzeit ein Nischendasein, wird aber Open Source. Das könnte auch mit Blick auf RISC-V ein notwendiger Befreiungsschlag werden. Dafür muss aber einiges zusammenkommen und sehr viel passen.
Eine Analyse von Sebastian Grüner

  1. Open Source Monitoring-Lösung Sentry wechselt auf proprietäre Lizenz
  2. VPN Wireguard fliegt wegen Spendenaufruf aus Play Store
  3. Picolibc Neue C-Bibliothek für Embedded-Systeme vorgestellt

  1. Kickstarter: Gebundener Mars-Atlas zeigt Karten des Roten Planeten
    Kickstarter
    Gebundener Mars-Atlas zeigt Karten des Roten Planeten

    The Mars-Atlas ist ein interessantes Buch: Es zeigt detaillierte Karten vom Mars statt der Erde. Mehr als 2.000 Standorte sind darauf zu sehen. Auch eine digitale Applikation wird angeboten, auf der Hobbyforscher ein 3D-Modell des Mars erkunden können - ähnlich wie bei Google Mars.

  2. 5G: Österreich sieht sich beim Mobilfunk klar vor Deutschland
    5G
    Österreich sieht sich beim Mobilfunk klar vor Deutschland

    Das schlechteste Mobilfunknetz in Österreich sei immer noch besser als das beste Netz in Deutschland, hat Wirtschaftsministerin Margarete Schramböck behauptet. Auch Messungen bestätigen das.

  3. TLS: Netgear verteilt private Schlüssel in Firmware
    TLS
    Netgear verteilt private Schlüssel in Firmware

    Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.


  1. 17:20

  2. 17:07

  3. 16:45

  4. 15:59

  5. 15:21

  6. 13:38

  7. 13:21

  8. 12:30