Chrome und Firefox wollen gefährliche Skripte blocken
Künftig sollen Chrome und Firefox die Integrität von Skripten, aus denen sich Webseiten zusammensetzen, prüfen und gegebenenfalls nicht ausführen, um so Angriffe vorzubeugen.
Chrome und Firefox sollen zeitnah die Vertrauenswürdigkeit von Skripten aus unterschiedlichen Quellen checken, auf die Webseiten für den reibungslosen Betrieb zugreifen. Dabei setzt man auf Hash-Werte, die Skripte eindeutig identifizierbar machen sollen, führt der Software-Entwickler Francois Marier von Mozilla in einem Bericht aus.
Für den Check der Prüfsumme gleicht der Ansatz den im HTML-Code auf einem Server verankerten SHA256-Wert (im Beispiel grün markiert) mit dem Hash-Wert des heruntergeladenen Skriptes ab.
<script src="https://analytics-r-us.com/v1.0/include.js"
integrity="sha256-SDfwewFAE...wefjijfE"
crossorigin="anonymous"></script>
So wollen die Webbrowser sicherstellen, dass egal aus welcher Quelle das Skript stammt, immer nur unveränderte Skripte ausgeführt werden. Ist das Ergebnis der Überprüfung negativ, wird das Skript geblockt.
Handelt es sich um ein Skript, das sich dynamisch verändert, bringt dieser Ansatz logischerweise nichts. Marier gibt an, allein in 2,5 Millionen Github-Accounts Verweise auf ein JQuery-Skript auf Google-Servern gefunden zu haben, das Angreifer manipulieren könnten.
Der Subresource-Integrity-Ansatz soll in einem Monat in die Entwickler-Editionen von Chrome und Firefox Einzug halten. Die fertige Version soll dann in drei Monaten folgen. (des)
