Von kamome umidori am Sa, 22. Juli 2017 um 08:30 #
Ja, leider ist das ein böser Trend, aber zumindest hast Du so die Möglichkeit, nur die Domains zuzulassen, die nötig sind – und vorher einen Blick auf die Seite zu werfen, um einzuschätzen, ob sie vertrauenswürdig sein könnten. Du kannst es auch so einstellen, dass die angesurfte Domain immer erlaubt wird. Ich hoffe auf CSP- und SRI-Header, die helfen (könnten), sicherzustellen, dass die zu ladenden Resourcen/Bibliotheken einem bekannten Stand entsprechen und nicht verändert sind – wenn die Seite keine eigenen Skripte verwendet, könnte man JavaScript so halbwegs sicher verwenden. Aber leider bezweifle ich, dass die gesamte Entwicklergemeinde einsieht, dass man _sehr_ viele Sicherheitslücken ohne JS gar nicht hätte … und es oft unnötig ist; ein Kontaktformular z.B. sollte heutzutage kein JS mehr benötigen, nachdem inzwischen sogar die Letzten (Safari) HTML-Formular-Validierung unterstützen.
Ja, leider ist das ein böser Trend, aber zumindest hast Du so die Möglichkeit, nur die Domains zuzulassen, die nötig sind – und vorher einen Blick auf die Seite zu werfen, um einzuschätzen, ob sie vertrauenswürdig sein könnten. Du kannst es auch so einstellen, dass die angesurfte Domain immer erlaubt wird.
Ich hoffe auf CSP- und SRI-Header, die helfen (könnten), sicherzustellen, dass die zu ladenden Resourcen/Bibliotheken einem bekannten Stand entsprechen und nicht verändert sind – wenn die Seite keine eigenen Skripte verwendet, könnte man JavaScript so halbwegs sicher verwenden. Aber leider bezweifle ich, dass die gesamte Entwicklergemeinde einsieht, dass man _sehr_ viele Sicherheitslücken ohne JS gar nicht hätte … und es oft unnötig ist; ein Kontaktformular z.B. sollte heutzutage kein JS mehr benötigen, nachdem inzwischen sogar die Letzten (Safari) HTML-Formular-Validierung unterstützen.