Mit csper.io Content-Security-Policies überwachen

Webinhalte unter Kontrolle

Content-Security-Policies regeln die Einbindung von Ressourcen in Webanwendungen. Während Entwickler begrenzten Einfluss auf die Speicherorte konkreter Webinhalte haben, müssen Betreiber und Web-Administratoren die Einbindung von Skripten, Bildern oder Videos kontrollieren können, um die Anwender vor Cross-Site-Angriffen zu schützen. Der Security-Tipp in diesem Monat beschreibt Content-Security-Policies und zeigt
Ihnen ein Werkzeug zur Überwachung der tatsächlich genutzten Ressourcen Ihrer Webseiten.
Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um ... (mehr)

Das World Wide Web besteht schon seit langem nicht mehr nur aus statischen oder dynamisch generierten HTML-Seiten und darin eingebundenen Bildern. Vor allem von JavaScript-Bibliotheken kennen Sie vermutlich die Einbindung aus großen Content-Delivery-Netzwerken (CDNs). Die Idee dahinter ist so einfach wie durchdacht: Verwenden viele Webseiten dieselben JavaScript-Bibliotheken, müssen diese nicht von jedem Webserver erneut abgerufen werden. Vielmehr kann der Browser sie dann nach einmaligem Herunterladen immer wieder aus dem lokalen Cache verwenden.

Auch der Proxy Ihres Unternehmens hält die entsprechenden Dateien im Cache vor und liefert sie bei Bedarf an alle lokalen Clients aus. Da vor allem JavaScript-Bibliotheken in den letzten Jahren kontinuierlich gewachsen sind, spart diese Methode tatsächlich Bandbreite und ist damit aus Sicht von Netzwerkadministratoren grundsätzlich eine gute Idee.

Fraglicher Datenschutz

Aus Sicht von Datenschützern ist diese Technik allerdings zumindest umstritten. Es ist nicht eindeutig geklärt, ob die Einbindung externer Ressourcen eine Einwilligung des Besuchers voraussetzt. Schließlich werden unter Umständen personenbeziehbare Daten, zumindest die IP-Adresse, an diese CDNs übermittelt. Häufig wird auch ein Referrer mitgegeben und das CDN kann damit theoretisch auch nachvollziehen, welcher Benutzer welche Webseiten ansurft.

So lassen sich natürlich Profile erstellen, die entsprechend als schützenswert anzusehen sind. Mindestens in der Datenschutzerklärung der Webseite muss die Einbindung thematisiert sein. Unabhängig von den Bedenken, die zumindest für Unternehmens-Proxys eher nicht gelten, lohnt sich die Abwägung auch aus Ihrer Sicht als Webseitenbetreiber. Ihre Besucher verwenden so aktuelle Versionen der Bibliotheken, ohne dass Sie diese auf Ihrem eigenen Webserver regelmäßig aktualisieren müssten.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021