Firefox und Chrome bekommen neuen Skript-Schutz
So schützt Sie die neue Technik
Das Ganze soll so funktionieren: Aktuelle Webseiten enthalten oft Skripte von Dritt-Anbieter-Seiten. Ein Entwickler, der künftig ein Skript von einer anderen Quelle, zum Beispiel von einem grossen Content Delivery Network (CDN) einbindet, versieht diesen Eintrag mit dem Hash-Wert des Skripts.
Das sieht dann so aus:
<script src="https://example.com/example-framework.js"
integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg="
crossorigin="anonymous"></script>
integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg="
crossorigin="anonymous"></script>
Der Buchstabensalat hinter „integrity“ ist der Hash-Wert.
Jedes Mal, wenn ein Besucher die Webseite aufruft und das Skript von dem CDN-Server geladen wird, vergleicht der Browser dann in Zukunft die beiden Hash-Werte: Den Hash-Wert, der im Quellcode der Webseite steht und den Hash-Wert, den das geladene Skript hat.
Wenn es einem Hacker gelingt, in den CDN-Server einzudringen und das Skript auszutauschen, verändert sich der Hash-Wert. Browser mit integriertem SRI-Check erkennen den Unterschied und blockieren automatisch das veränderte Skript.
