Risiken und Chancen: HTML5 sicher einsetzen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.04.2011 Sven Hähle*

Risiken und Chancen: HTML5 sicher einsetzen

Beim Thema HTML5-Sicherheit sind sich die Experten uneinig: Die einen sagen, HTML5 berge viele Sicherheitsrisiken, andere behaupten, es verbessere die Sicherheit. Lesen Sie, wie sich mögliche Sicherheitsrisiken von HTML5 minimieren und neue Funktionen für mehr Sicherheit sinnvoll nutzen lassen.

Wir setzen voll auf HTML5, sagte Daniel Melanchthon bei der Präsentation des neuen Internet Explorer 9. Der Microsoft-Technologieberater ist überzeugt, dass HTML5 ab sofort für die Neuentwicklung aller wichtigen Webapplikationen zum Einsatz kommen wird.

Nicht nur, weil es Erweiterungen für die Video- und Audiowiedergabe überflüssig macht - Stichwort: Adobe Flash. Auch die verbesserte User-Experience und Performance würden für HTML5 sprechen, so Melanchthon.

Dorothee Ritz, General-Manager Consumer & Online, Microsoft Deutschland, bringt das Anliegen vieler Webentwickler und die Wünsche der Anwender auf den Punkt: "Webanwendungen müssen so laufen wie PC-Anwendungen", so die Managerin während der IE9-Präsentation.

Kein Wunder also, dass Microsoft mit seinem neuen Browser HTML5 unterstützt, genauso wie die Konkurrenten Mozilla (Firefox), Google (Chrome), Apple (Safari) und Opera Software (Opera). Doch wie sieht es mit der Sicherheit des Internet Explorer 9 aus, wenn HTML5-Code ausgeführt wird?

TPL: MEHR SICHERHEIT FÜR DIE ANWENDER Aus den negativen Erfahrungen der Vergangenheit scheint Microsoft eine Menge gelernt zu haben. Jedenfalls bietet der IE9 einige Features, mit denen sich Anwender durchaus sicher fühlen können.

Am wichtigsten dürfte die neue Funktion Tracking Protection List (TPL) sein: Websites, die das Surfverhalten aufzeichnen oder Nutzerdaten einsammeln, lassen sich auf individuelle Sperrlisten setzen.

Der Browser blockiert die Tracking-Dienste und hält sie damit vom Rechner fern. Neben selbst erstellten lassen sich auch vorgefertigte Listen einbinden. Um eine ähnliche Funktionalität in Firefox und Chrome nachzurüsten, sind zusätzliche Erweiterungen notwendig, wie etwa Adblock Plus.

Die Möglichkeit, bestimmte Websites zu blockieren, ist für Anwender im Hinblick auf ein HTML5-Feature von enormer Bedeutung: die lokale Speicherung von Online-Daten auf dem Anwenderrechner. Der Fachbegriff lautet: Client-side storage. Für Webentwickler ist die Neuerung, Applikationsdaten auf dem Client ablegen zu können, vielleicht einer der größten Vorteile von HTML5 - für Anwender kann sie leicht zum Nachteil werden.

CLIENT-SIDE STORAGE - VOR- UND NACHTEILE Einst zeigten Browser nur die Daten an, die sie vom Webserver vorgegeben bekamen. Schnell erkannten Entwickler die begrenzten Möglichkeiten dieses "Server-Client-Prinzips": Eine Interaktion zwischen Website und Nutzer war kaum möglich. Cookies sollten Abhilfe schaffen. Die kleinen Datenschnipsel werden beim Besuch einer Website ungefragt auf dem Anwenderrechner abgelegt - später senden sie Daten an den Server zurück.

Doch Cookies werden häufig gelöscht oder gleich ganz gesperrt, sind also auch keine gute Lösung. Erst HTML5 erlaubt es Entwicklern, Online-Daten im größeren Stil auf dem Client abzulegen - sieht man einmal davon ab, dass dafür auch Technologien wie Java, Flash oder Silverlight genutzt werden können.

Aus der Client-seitigen Datenspeicherung ergeben sich mehrere Vorteile. Zum Beispiel lassen sich Daten auf verschiedene Art und Weise zwischenspeichern, um sie zu einem späteren Zeitpunkt innerhalb der Webapplikation wieder zu verwenden oder anderen Applikationen zur Weiterverwendung anzubieten. Webanwendungen können dank Client-side storage aber auch vollständig auf dem Client abgelegt werden, sodass sie ohne Internetverbindung nutzbar bleiben.

Leider hat der Anwender kaum Möglichkeiten, das Client-seitige Speichern von Daten zu steuern. In der Regel ist er dem Verhalten der Applikation vollständig ausgeliefert. Da Client-side storage sogar den Zugriff auf die Festplatte des Clients ermöglicht, könnten Angreifer ziemlich leichtes Spiel haben, sowohl Daten der Webapplikation als auch den Anwenderrechner selbst zu manipulieren - sagen jedenfalls einige Experten.

Manche Fachleute befürchten gar, dass Malware-infizierte Daten auf Client-Seite nach Abruf durch den Server diesen ebenfalls infizieren könnten. Fest steht, dass alle Verfahren des Client-side storage einer gründlichen Absicherung bedürfen und im Zweifelsfall nicht für die Speicherung sensibler Daten genutzt werden sollten - zumindest, solange es keine finale Spezifikation des HTML5-Standards durch das W3C gibt.

CLIENT-SIDE STORAGE - DIE VERFAHREN Neben Client-seitigen Datenbanken geht es beim Client-side storage um zwei weitere Verfahrensweisen: die Nutzung des Objekts sessionStorage und des Objekts localStorage. Die einfachere Form des Webspeichers bildet das Objekt sessionStorage. Es legt Daten der aktuellen Session ab - aber nur so lange, wie der Browser geöffnet ist.

Jedes neue Dokument bekommt ein sessionStorage-Objekt zugewiesen, das Basisfunktionen wie setItem, getItem und clear beherrscht. Die Items bestehen aus Schlüssel-Wert-Paaren, vergleichbar mit assoziativen Arrays.

Mehr leistet das localStorage-Objekt. Während sessionStorage vergesslich ist, kann sich localStorage erinnern: Daten bleiben erhalten, obwohl der Browser geschlossen und der Rechner heruntergefahren wird. Und ist eine Website in zwei Fenstern gleichzeitig aktiv, können die lokal gespeicherten Daten sogar gemeinsam genutzt werden. Ändert sich der Code, auf den das eine Fenster gerade zugreift, ändern sich auch die Daten des anderen.

Die Unterstützung des localStorage-Objekts ist in den verschiedenen Browsern noch recht unterschiedlich ausgeprägt, an einer einheitlichen Implementierung arbeiten aber alle Browser-Hersteller.

SICHERHEITSASPEKTE DES LOCALSTORAGE-OBJEKTS Aus Sicherheitssicht gibt es derzeit zwei Hauptprobleme, weshalb Entwickler beim Einsatz des localStorage-Objekts vorsichtig sein müssen:

1. Alle Online-Daten werden auf dem Client unverschlüsselt gespeichert. Das bedeutet: Jeder, der Zugriff auf den Anwenderrechner besitzt, hat theoretisch auch Zugriff auf die Daten.

2. Wie schon erwähnt, bleiben die Online-Daten so lange auf dem Client, bis sie von der Applikation oder vom Nutzer explizit entfernt werden. Im Extremfall also für immer.

Beide Fakten erhöhen die Wahrscheinlichkeit für das Gelingen eines Hacker-Angriffs. Stellen Sie sich beispielsweise vor, Sie betreiben einen Webshop. Sie wollen die Performance der Applikation steigern, indem Sie Daten über getätigte Einkäufe mithilfe des localStorage-Objekts auf dem Client speichern - aus Sicherheitssicht ein Unding.

Der Anwender bemerkt nicht, dass die Daten auch nach Beenden des Browsers auf seiner Festplatte verbleiben. Von dort kann sie theoretisch jeder abgreifen, der Zugang zum Client hat - direkt oder übers Netz. Deshalb sollte das localStorage-Objekt allenfalls für unkritische, öffentliche Daten genutzt werden - für das Speichern sensibler Daten ist es von Haus aus ungeeignet.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr

Hosted by:    Security Monitoring by: