Firefox und Chrome bekommen neuen Skript-Schutz

Die Browser von Mozilla und Google sollen in naher Zukunft einen integrierten Skript-Schutz erhalten, der die Ausführung manipulierter Skripte verhindert. Die von François Marier, Senior Software Engineer bei Mozilla, auf einer Sicherheitskonferenz in Australien vorgestellte Technik erkennt Skripte an einem eindeutigen Hash-Wert.

Wird ein auf einer Webseite eingesetztes Skript durch etwa einen Hacker verändert, dann ändert sich auch der Hash-Wert. Die Browser erkennen die Manipulation und blockieren das betreffende Skript anschließend automatisch, so Marier.

Der sogenannte SRI-Check (Subresource Integrity) wird von Mitarbeitern von Mozilla, Google und Dropbox entwickelt. Er soll noch in diesem Monat in den Entwicklerversionen der beiden Browser integriert werden. In etwa drei Monaten wird er dann für alle Anwender zur Verfügung stehen. Bei Firefox wird das voraussichtlich Version 41 sein. Aktuell ist Firefox 38.0.5.

Der SRI-Check soll auch schützen, wenn es einem Angreifer zum Beispiel gelingt, den DNS-Server eines Anwenders zu manipulieren. Der Browser lädt dann möglicherweise Skripte von einer anderen Seite herunter als vom Entwickler einer Webseite eigentlich vorgesehen. Bei der Vielzahl an derzeit gefundenen Sicherheitslücken in DSL-Routern ist es nicht so unwahrscheinlich, dass es einem Hacker gelingt in einen Router einzudringen und die DNS-Einträge zu verändern.

Das Ganze soll so funktionieren: Aktuelle Webseiten enthalten oft Skripte von Dritt-Anbieter-Seiten. Ein Entwickler, der künftig ein Skript von einer anderen Quelle, zum Beispiel von einem großen Content Delivery Network (CDN) einbindet, versieht diesen Eintrag mit dem Hash-Wert des Skripts.

Das sieht dann so aus:

<script src="https://example.com/example-framework.js"
        integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg="
        crossorigin="anonymous"></script>

Der Buchstabensalat hinter „integrity“ ist der Hash-Wert.

Jedes Mal, wenn ein Besucher die Webseite aufruft und das Skript von dem CDN-Server geladen wird, vergleicht der Browser dann in Zukunft die beiden Hash-Werte: Den Hash-Wert, der im Quellcode der Webseite steht und den Hash-Wert, den das geladene Skript hat.

Wenn es einem Hacker gelingt, in den CDN-Server einzudringen und das Skript auszutauschen, verändert sich der Hash-Wert. Browser mit integriertem SRI-Check erkennen den Unterschied und blockieren automatisch das veränderte Skript.

Bereits jetzt gibt es sehr gute Browser-Erweiterungen, die Sie vor gefährlichen Skripten und anderen Fremdinhalten schützen.

Noscript: Das verbreitetste Sicherheits-Add-on zum Schutz vor gefährlichen Skripten ist Noscript. Nach der Installation blockiert die Erweiterung zunächst alle Skripte. Weil viele Webseiten heutzutage ohne die integrierten Skripte aber kaum noch funktionieren, aktivieren Sie nach und nach alle Skripte von vertrauenswürdigen Webseiten. Eingebundene Skripte von dubiosen Quellen oder von etwa Werbenetzen lassen Sie einfach deaktiviert.

Adblock Plus: Eigentlich dient dieses Add-on dazu, Werbung auszufiltern. Es verbessert aber auch die Sicherheit beim Surfen, weil der integrierte Filter verhindert, dass manipulierte Banner geladen werden, über die Ihr PC verseucht werden kann.

Request Policy: Das Add-on verhindert, dass eine Webseite ohne Ihre Zustimmung Inhalte von anderen Seiten lädt. Moderne Webseiten sind allerdings oft so ineinander verschachtelt, dass das Add-on schnell nervt. Teilweise dauert es relativ lange, bis man die richtige Kombination aus eingebundenen und geblockten Quellen gefunden hat, damit man die Inhalte sehen kann. Zumal manche Seiten erst funktionieren, wenn man Inhalte in zweiter und dritter Ebene freigibt.