Firefox und Chrome bekommen neuen Skript-Schutz

So schützt Sie die neue Technik

von - 05.06.2015
Das Ganze soll so funktionieren: Aktuelle Webseiten enthalten oft Skripte von Dritt-Anbieter-Seiten. Ein Entwickler, der künftig ein Skript von einer anderen Quelle, zum Beispiel von einem großen Content Delivery Network (CDN) einbindet, versieht diesen Eintrag mit dem Hash-Wert des Skripts.
Das sieht dann so aus:
<script src="https://example.com/example-framework.js"
        integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg="
        crossorigin="anonymous"></script>
Firefox-Logo
Firefox: Ab Version 41, die im September dieses Jahres erscheint, soll der neue Skript-Schutz in den Browser integriert sein.
(Quelle: Mozilla )
Der Buchstabensalat hinter „integrity“ ist der Hash-Wert.
Jedes Mal, wenn ein Besucher die Webseite aufruft und das Skript von dem CDN-Server geladen wird, vergleicht der Browser dann in Zukunft die beiden Hash-Werte: Den Hash-Wert, der im Quellcode der Webseite steht und den Hash-Wert, den das geladene Skript hat.
Wenn es einem Hacker gelingt, in den CDN-Server einzudringen und das Skript auszutauschen, verändert sich der Hash-Wert. Browser mit integriertem SRI-Check erkennen den Unterschied und blockieren automatisch das veränderte Skript.
Seite
  1. Teil: Firefox und Chrome bekommen neuen Skript-Schutz
  2. Teil: So schützt Sie die neue Technik
  3. Teil: Aktuelle Erweiterungen zum Schutz vor gefährlichen Skripten
Verwandte Themen

Mehr zum Thema