Datenschutz und Datensicherheit - DuD

, Volume 36, Issue 4, pp 231–235 | Cite as

HTML5-Security

Sicherer Umgang mit den neuen JavaScript APIs
  • Martin Johns
Schwerpunkt
  • 378 Downloads

Zusammenfassung

In der Vergangenheit sind Web-Browser immer wieder höchst negativ aufgefallen, wenn es um das Thema Sicherheit ging. Ein Großteil dieser Missstände wurde im Laufe der vergangenen Jahre erkannt und nachgebessert. Nun steht HTML5, die nächste Stufe der Browser-Evolution, vor unserer Haustür. Geprägt durch die schlechten Erfahrungen der bisherigen Entwicklung begegnet man den neu eingeführten Browser-Features vielerorts mit Mistrauen. Der vorliegende Beitrag stellt die Sicherheitseigenschaften von drei prominenten HTML5-JavaScript APIs vor.

Preview

Unable to display preview. Download preview PDF.

Unable to display preview. Download preview PDF.

Referenzen

  1. [1]
    Michal Zalewski, The Tangled Web: A Guide to Securing Modern Web Applications, No Starch Press, November 2011Google Scholar
  2. [2]
    Jesse Ruderman, The same origin policy. [online], https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript, August 2001.
  3. [3]
    Ian Hickson, Web storage. W3C Working Draft, [online], http://www.w3.org/TR/webstorage/
  4. [4]
    The Open Web Application Project (OWASP), Cross-site Scripting (XSS), [online], https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
  5. [5]
    Steve Souders, Storager case study: Bing, Google, [online], http://www.stevesouders.com/blog/2011/03/28/storager-case-study-bing-google/, März 2011
  6. [6]
    Steve Hanna, Eui Chul, Richard Shin, Devdatta Akhawe, Arman Boehm, Prateek Saxena und Dawn Song. The emperor’s new apis: On the (in) secure usage of new client-side primitives. In Web 2.0 Security and Privacy (W2SP 2010), 2010.Google Scholar
  7. [7]
    Artur Janc. 28c3: Rootkits in your Web application. Vortrag auf der 28C3 Konferenz, http://events.ccc.de/congress/2011/Fahrplan/events/4811.en.html, Dezember 2011.
  8. [8]
    Eric Shepherd. window.postMessage. [online], https://developer.mozilla.org/en/DOM/window.postMessage
  9. [9]
    Sebastian Lekies, Martin Johns und Walter Tighzert. The state of the crossdomain nation. In Proceedings of the 5th Workshop on Web 2.0 Security and Privacy (W2SP), 2011.Google Scholar
  10. [10]
    Anne van Kesteren (Editor). Cross-Origin Resource Sharing. W3C Working Draft, http://www.w3.org/TR/cors/, July 2010.
  11. [11]
    Lavakumar Kuppan. Attacking with HTML5. Vortrag auf der Black Hat Abu Dhabi Konferenz, https://media.blackhat.com/bh-ad-10/Kuppan/Blackhat-AD-2010-Kuppan-Attacking-with-HTML5-slides.pdf, October 2010.

Copyright information

© Springer Fachmedien Wiesbaden 2012

Authors and Affiliations

  • Martin Johns

There are no affiliations available

Personalised recommendations