Künftig sollen Firefox und Chrome die Vertrauenswürdigkeit von Skripten aus unterschiedlichen Quellen prüfen. Der Software-Entwickler Francois Marier von Mozilla schreibt in einem Bericht, dass dafür Hash-Werte gesetzt werden, die Skripte eindeutig identifizierbar machen sollen.

Dafür wird im HTML-Code auf dem Server ein SHA256-Wert verankert, der mit dem Hash-Wert des heruntergeladenen Skriptes abgeglichen wird.

Dadurch soll sichergestellt werden, dass immer nur unveränderte Skripte ausgeführt werden, egal aus welcher Quelle es stammt. Sollte das Ergebnis des Tests negativ ausfallen, wird das Skript nicht ausgeführt.

Für Skripte, die sich dynamisch verändern, ist dieser Ansatz logischerweise hinfällig. Laut der Aussage des Software-Entwicklers Francois Marier verweisen 2,5 Millionen Github-Accounts auf ein JQuery-Skript, das von Angreifern manipuliert werden könnte.

In einem Monat soll der Subresource-Integrity-Ansatz in die Entwickler-Editionen von Firefox und Chrome Einzug halten. In drei Monaten soll die fertige Version folgen.

(kt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE