Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Sicherheitsmaßnahmen beim Einsatz aktiver Inhalte Version 3.0

Datum 01.02.2021

Bei der Gestaltung moderner Internet-Angebote greifen Entwickler von Webseiten regelmäßig auf aktive Inhalte zurück, die gegenüber statischem HTML insbesondere einen höheren Grad an dynamischer Interaktion mit dem Nutzer erlauben. Mittels aktueller Webtechniken, wie HTML5 und JavaScript, werden im Browser ausgeführte Anwendungen möglich, die zuvor nur mit lokal installierten Programmen umsetzbar waren.

Die Verwendung aktiver Inhalte, sowohl für Anbieter von Webseiten als auch deren Nutzer, erfordert die Umsetzung von umfangreichen Maßnahmen auf Seiten der Anbieter zu deren technischer Absicherung, um bestehenden Risiken hinreichend zu begegnen. Bei der Planung der Sicherheitsmaßnahmen ist es wichtig, dass der Anbieter sich seiner Verantwortung für die Sicherheit seiner Nutzer jederzeit bewusst ist, indem er darauf achtet, sie keinen unnötigen Risiken auszusetzen. Aus diesem Grund dienen die im Folgenden vorgestellten Maßnahmen nicht nur dem Schutz der Anbieter, sondern auch dem Schutz der Nutzer. Unabhängig vom Schutzbedarf des Anbieters kann daher auf die Umsetzung dieser Maßnahmen nicht verzichtet werden.

Im Februar 2021 wurde die bereits bestehende BSI-Empfehlung aktualisiert und mit neuem Titel veröffentlicht. Die drei wichtigsten Neuerungen im Dokument sind:

  • Es muss bereits bei der Entwicklung von Webseiten, aktiven Inhalten und Diensten auf eine sichere Programmierung und Entwicklung von robustem Quellcode geachtet werden. Viele Angriffe werden ermöglicht, weil grundlegende Prinzipien bei der Entwicklung, wie Eingabedatenüberprüfung (Input Validation), korrekte Kodierung von Daten, sichere Authentisierung oder die Nutzung von Verschlüsselung nicht beachtet werden.
  • JavaScript-Code sollte ausschließlich in separaten Dateien und nicht direkt im HTML-Code platziert werden. Es sollte auf die Nutzung von „eval()“ verzichtet werden, da diese Funktion JavaScript-Code interpretiert und ausführt. Nur dann kann ein geeigneter CSP (Content Security Policy)-Header insbesondere ohne die sicherheitskritischen Attribute „unsafe-inline“ und „unsafe-eval“ gesetzt werden.
  • Cookies werden häufig zur Identifikation der Besucher einer Web-Seite mit aktiven Inhalten verwendet. Cookies stellen damit für Angreifer ein besonders interessantes Ziel dar, da mit einem Cookie die Identität eines Besuchers komplett übernommen werden kann. Anbieter sollten daher die von Web-Browsern für Cookies verfügbaren Schutzmechanismen nutzen und insbesondere die Attribute „Secure“, „HttpOnly“ und „SameSite=Strict“ verwenden.