Informatics Educational Institutions & Programs

Ressourceneinbindung im Browser

Diese Projektseite beschreibt einen Sicherheitsmechanismus in Browsern, der die Nutzung erweiterter Werkzeuge beim Bearbeiten von Wiki-Seiten oder fortgeschrittene Darstellungselemente verhindern kann.

Hintergrund

Es gibt Schutz-Software für den Browser, die aus Sicherheitsgründen eine Ausführung von bestimmten Skripten still und leise verhindert, etwa NoScript.

Grundsätzlich sollen in eine im Browser dargestellte Seite (HTML-Dokument) nur solche Ressourcen eingebunden werden, die aus der gleichen Domain stammen, also de.wikipedia.org für die deutschsprachige Wikipedia (wobei oft nur auf wikipedia.org geprüft wird; also alle anderen Wikipedia-Sprachversionen akzeptiert würden). Ressourcen anderer Herkunft werden als gefährlich eingestuft und können blockiert werden.

Unter „Ressourcen“ sind zu verstehen:

JavaScript
- Häufig als Benutzerskripte; auch eigene Skripte in einem anderen Wiki.
- Weltweite Gadgets.
- Einige Cloud-Helferlein antworten mit einer Skripteinbindung.
CSS
- Selten, aber gelegentlich vorkommend.
Bilder
- Praktisch nie; in der Regel werden die Bilder direkt aus der URL im Browser dargestellt.

In einer guten Skript-Dokumentation wird dargestellt, wenn Ressourcen von unerwarteten Stellen benötigt werden.

Es ist aber nicht notwendigerweise alles, was in einem Wiki-Projekt und selbst in der eigenen Domain angeboten wird, völlig unbedenklich; siehe Benutzerskripte/Hinweise.

Befreundete Domains

Es wären ggf. die folgenden Second-Level-Domains freizugeben:

mediawiki.org

(openstreetmap.org)

toolserver.org (auslaufend seit 1. Juli 2014)

toolforge.org

translatewiki.net

wikibooks.org

wikidata.org

wikimedia.at

wikimedia.ch

wikimedia.de

wikimedia.org

wikimediafoundation.org

wikinews.org

wikipedia.de

wikipedia.org

wikiquote.org

wikisource.org

wikispecies.org

wikiversity.org

wikivoyage.org

wiktionary.org

wmcloud.org

wmflabs.org

wmfusercontent.org

Siehe zu Details und Subdomains auch: Netzwerk/Domains

Konfiguration

Je nach Mechanismus ist unterschiedlich vorzugehen. Meist ist nur JavaScript betroffen.

NoScript: [Einstellungen] → [Positivliste]
- Es müssen die vollständigen Domain-Bezeichnungen angegeben werden, also etwa en.wikipedia.org für ein Skript aus der englischsprachigen Wikipedia.
- Der deutschsprachigen Wikipedia wurde vermutlich längst durch einfachen Mausklick die Ausführung von Skripten erlaubt.
- In seltenen Ausnahmefällen kann bei komplexen Skripten auch Cross-Site-Scripting (XSS) notwendig werden: [Einstellungen] → [Erweitert] → [XSS]
Im Internet Explorer müssen die Second-Level-Domains ggf. unter [Internetoptionen] der Liste „Vertrauenswürdige Sites“ hinzugefügt werden.
- Den „Vertrauenswürdigen Sites“ muss erlaubt sein: „Auf Datenquellen über Domänengrenzen hinweg zugreifen“ (wohl standardmäßig vorgegeben).