Seite 5: Same Origine Policy

Inhaltsverzeichnis

Same Origin Policy

Die Same Origin Policy (SOP) stellt ein wesentliches Sicherheitselement in allen modernen Browsern und Webanwendungen zum Schutz vor Angriffen dar. Aus Sicherheitsgründen dürfen JavaScript und ActionScript nur dann auf Objekte einer Webseite zugreifen, wenn sie aus derselben Domain stammen, beispielsweise auf Elemente, Cookies, XML-Dateien und HTML-Dateien. Die Same Origin Policy soll verhindern, dass in Formulare eingegebene Daten oder Cookies in die falschen Hände geraten. SOP gilt indes nicht für normale GET-Requests zum Nachladen von Inhalten, etwa Bilder von anderen Webseiten. Daher stellt Cross Site Request Forgery keine Verletzung der SOP dar.

Hauptziel der Angreifer ist es, ihren Code in der gewünschten Origin auszuführen, wofür sie mit Tricks wie XSS und DNS-Rebinding aufwarten. Die Origin besteht aus dem Domain-Namen, dem Protokoll und dem Port. Nur wenn alle drei übereinstimmen, ist die SOP erfüllt und der Browser gewährt dem Skript den Zugriff auf das Dokument.

Da für SOP die Unterverzeichnisse keine Rolle spielen, kann unter anderem in fremden Profilen auf Social-Networking-Seiten verstecktes JavaScript ohne Probleme auf das eigene Profil und das Cookie zugreifen. Aus diesen Gründen versuchen Anbieter wie MySpace, StudiVZ, Facebook und andere, das Einbetten aktiver Inhalte in ihre Seiten zu verhindern.

Das proprietäre ActionScript muss sich im Rahmen des Flash-Player ebenfalls der SOP unterwerfen, leider funktioniert dies nicht immer. Adobe musste in den vergangenen Monaten mehrfach Updates veröffentlichen, um grundsätzliche Designfehler und Schwachstellen bei der Verifizierung der SOP zu beseitigen. (dab)