SRIHash und sichere Webseiten

26 Jun 2024 - Lesezeit: 2 Minuten

Sicherlich hat jeder schon bemerkt, dass CyberSecurity derzeit ein zentrales Thema ist. Aus meiner Zeit als betrieblicher Datenschutzbeauftragter weiß ich, dass Sicherheit nicht nur eine Theorie ist – sie muss gelebt werden.

Heute verbringen wir einen Großteil unseres Lebens online, oft auf oder über Webseiten. Dabei nutzen wir eine Vielzahl an Helferlein, Frameworks und Bibliotheken zur Erstellung von Webanwendungen. Das birgt Risiken, denn wenn man nicht aufpasst, bindet man sich möglicherweise kompromittierte Inhalte ein und wird damit Teil des Problems.

Für Entwickler von Webseiten oder Apps ist es entscheidend, sicherzustellen, dass eingebundene und externe Ressourcen unverändert sind. Hier kommt Subresource Integrity (SRI) ins Spiel. SRI ermöglicht es, eine Prüfsumme (Hash) zu verwenden, um sicherzustellen, dass die externe Ressource nicht verändert wurde. Dies macht unsere Online-Welt ein Stück sicherer.

Was ist Subresource Integrity (SRI)?

SRI ist eine Sicherheitsfunktion, die sicherstellt, dass Dateien, die von Drittanbietern eingebunden werden, unverändert sind. Man kann einen Hashwert (eine Art Fingerabdruck) der Datei erstellen und diesen in das HTML-Dokument einfügen. Der Browser vergleicht dann den Hashwert der geladenen Datei mit dem im Dokument angegebenen Wert. Stimmt beides überein, wird die Datei geladen. Andernfalls wird sie blockiert.

Implementierung von SRI

Ein Beispiel für die Implementierung von SRI sieht so aus:

'''html <script src="https://example.com/script.js" integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/ux6PbWOVAIy/C5O25+z/+6skqD2KeYB" crossorigin="anonymous"> '''

In diesem Beispiel stellt der integrity-Attributwert den Hash der Datei dar. Der Browser überprüft, ob die geladene Datei mit diesem Hash übereinstimmt.

Warum SRI nutzen?

In einer Welt, in der Cyber-Bedrohungen allgegenwärtig sind, ist es unerlässlich, jede mögliche Sicherheitsmaßnahme zu ergreifen. Mit SRI kann man sicherstellen, dass Drittanbieter-Ressourcen nicht manipuliert wurden, bevor sie auf der eigenen Webseite verwendet werden. Dies schützt nicht nur die Integrität der eigenen Seite, sondern auch die Sicherheit der Nutzer.

Quellen und Links:

Es wurden noch keine Kommentare verfasst, sei der erste!