Hi,

Es geht nicht um die Sicht des Benutzers, sondern um die des Erstellers der Seite.

Wie? Bei der Sicherheit geht es nicht um die Sicht des Benutzers?

Ich bezog mich mit der Aussage auf die SOP.

Wenn ein externes Script mit den gleichen Rechten arbeiten kann wie eines von meiner Seite, ohne dass der Benutzer irgend etwas davon mitbekommt, wenn es auf die Cookies Zugriff hat, beliebeige Daten vom DOM lesen (auch von Formularen) und irgedwohin verschicken kann, das DOM umbauen kann, dieselben Rechte auch anderen Scripts von irgendwoher gewähren kann...

Ob meine Kreditkartendaten von einem Schurken aus Russland, oder von Don P missbraucht werden, ist für mich als Nutzer vollkommen ohne Belang.

Du kannst sie auch offline weitergeben, ohne dass dafür irgendwelche irgendwo eingebundenen Scripte nötig wären.

Wohlgemerkt: Der Butzer merkt davon *nichts*. Er vertraut vielleicht mir, aber vertraut er auch den anderen, die da noch mitmischen, wenn ich ihm gar nichts davon sage und es evtl. selber gar nicht weiß, weil die gestern noch so lieb waren wie Google und morgen vielleicht...

Du siehst, es läuft letztendlich darauf hinaus, wie vertrauenswürdig du als Seitenbetreiber für mich bist.

Ein externes Script befindet sich nur dann in deiner Seite, wenn du es bewusst dort eingebunden hast. (Sofern wir mal davon ausgehen, dass deine Seite keine XSS-Lücken aufweist.)

Wenn ich aber ein File-Upload-Feld in meine Seite baue, dann rufst du schon "Sicherheitsproblem!" und "woher weiß ich denn, dass da nicht etwas heimlich hochgeladen wird?" usw.

Ein Upload von Dateien von meinem Rechner auf deinen Server setzt aus gutem Grund mein explizites Einverständnis voraus.

Sorry, das kann ich nicht ernst nehmen.

Das Problem habe ich mit dir auch, wenn du dich so hartnäckig weigerst zu erkennen, dass du verschiedene Sachverhalte in einen Topf schmeisst.

MfG ChrisB

Wenn ein externes Script mit den gleichen Rechten arbeiten kann wie eines von meiner Seite, ohne dass der Benutzer irgend etwas davon mitbekommt, wenn es auf die Cookies Zugriff hat, beliebeige Daten vom DOM lesen (auch von Formularen) und irgedwohin verschicken kann, das DOM umbauen kann, dieselben Rechte auch anderen Scripts von irgendwoher gewähren kann...

ach so machen die das, einbau von externen scripts die on the fly erzeugt werden. das externe js-script ist dann quasi ein php script was den js-code live erstellt und gleich die nachzuladenden daten in den code reinschreibt.

danke für den tip, so kann ich mein problem lösen.

Sorry, das kann ich nicht ernst nehmen.

Dann muss man sagen, dass du nicht wirklich nachgedacht hast, wo hier das Problem liegt und wer die Verantwortung für was trägt.

Es ist genauso wie du es sagst. Das Einbinden von einer fremden Domain wird ausgenutzt, das Stichwort XSS hatte ich dir ja schon genannt. Von daher wäre es sinnvoll zu überlegen diese Sache einzuschränken, dann würden aber vermutlich Leute wie du aufschreien, wie bei der Einschränkung des Fileupload Feldes.

Wobei aber die Verantwortlichkeit für den Bug jeweils woanders liegt.

Ein XSS Exploit ist ein Mangel in der Serversoftware, die Verantwortung liegt hier also in der Hand des Entwicklers. Der Fehler ist nicht im Browser, da es von vielen Entwicklern gewünscht wird, JS von einer fremden Domain einzubinden zu dürfen, wird diese Sache nicht eingeschränkt. Bei dem Fileupload ist genau umgekehrt, wenn diese funktionalität ausgenutzt werden könnte, wäre es ein Fehler im Browser und er würde zu recht als Mangelhaft bezeichnet werden.

Und genau das ist ja jahrelang passiert, der IE hatte genau unter solchen mängeln zu leiden und jede Woche tauchten neue Lücken auf, die genau solche Sachen ausnutzten um Schaden anzurichten. Das ist der Grund warum Firefox relativ schnell so erfolgreich werden konnte. Weil bei M$ Leute saßen, die so argumentierten wie du.

Struppi.