hallo

Im Kontext der Frage meine ich auch nicht dich als Browser-Benutzer sondern dich als Domain-Betreiber der Inhalte so und so vielen Nutzern und deren Browsern anvertraut.

Und hier gilt die Frage: würdest du als Domainbetreiber Inhalte von Schadsoftwarevebreitern einbinden?

Nein. Aber: Ich prüfe meine eigene Seite (und selbstverständlich die Einbindung) regelmäßig. Ich vertraue dem Betreiber der Seite, die ich einbinde, aus Gründen (zum Beispiel, weil er selbst einen Ruf zu verlieren hat, oder, weil ich ihn kenne, oder, weil ich andere Gründe dafür habe, ihm zu vertrauen, dass er aktiv auf seiner Seite keinen Schadcode verbreitet).

Ach und wie kommst du auf die Idee, dass jemand "aktiv" Schadcode verbreiten muss, damit Schadcode verbreitet wird? http genügt.

Das nennt man Vertrauen, und das ist (nicht im Übermaß, aber im Mindestmaß) absolut notwendig, wenn man im Internet (und auch überall sonst in der IT-Welt) nicht vollständig sein eigenes Ding machen will.

Man kann das Vertrauen aber auch überstrapazieren. Und dieser Fall ist hier gegeben, wo eine iframe-Lösung abgelöst werden soll (wenn es nach den Meinungen der Ratgeber gehen soll) durch etwas, das noch mehr Vertrauen beansprucht.

Schon mal von PGP (Pretty Good Privacy) gehört? Auch das basiert auf einem Konzept von Vertrauen und ist eine effektive Methode zur Zertifizierung ohne Certificate Authority.

Das ist ein gutes Beispiel für geringstes Misstrauen, nicht für Vertrauen.

Aber ich möchte mal auf einer ähnlichen Ebene diskutieren. Ich verwende derzeit auf meiner Site google fonts. Kein Problem, wenn die nicht geladen werden, da eine Ersatzglyphe auf jeden Fall existiert. Aber denoch, im Grunde vertraue ich darauf dass die Fonts nicht kompromitiert sind. Es gab in der Vergangenheit mehr als einen Fall wo Webfonts mehr Rechte beansprucht haben, als vorgesehen waren. Soll ich mich nun zurücklehnen und sagen: Ach google hat so einen Ruf zu verlieren… Google chrome hat auch für eine Weile ungefragt über das Mikrophon gelauscht.

Die Sache ist, es stört mich und ich bin hin und her gerissen. Ich sehe mich bereits dabei, einen font zu clonen, die Interna zu prüfen und ihn dann selber zu hosten.

Vertrauen ist einfach nur ein schlechtes Argument. Die Wirklichkeit ist nämlich eine ganz andere. Wir sehe heute das Vorantreiben von Security-Guidelines, allen voran, https als default aber keineswegs dort endend.

Ich akzeptiere deine Meinung, und deine ausführlichere Antwort, die ja nicht selbstverständlich ist. Aber ich stehe hier eben für ein etwas anderes Bewusstsein.

Und damit können wir die Frage angehen: Unter welchen Umständen wäre ich bereit, remso in meine Website einzubinden? Denn wenn ich jemandem Rat erteile, dann soll das ja mein eigenes Bewusstsein richtig wiedergeben und fair sein.

• Der Inhalt ist als iframe einzubinden (Trennung von Document-Structur)
• Der zu ladende Inhalt muss via https ausgeliefert werden und muss sich auf eine domain beschränken.
• optional darf die Ressource mit einem Parameter aufgerufen werden, der zur Folge hat, dass das CSS des iframes farblich und anderweitig zu meinem eigenen Site-Theme passt.
• natürlich auch Datenbank-relevante Parameter.
• Der Inhalt darf nicht über eine Funktionalität verfügen, die Abfragen darstellt, für die ich nicht gerade stehe (Abfragen zu Events, die ich nicht befürworte).

Aber eventuell würde ich auch einen server-server Datenaustausch vorziehen, indem mein Server selber eine API auf remso.de benutzt, und das Resultat selber cacht. Für den Client wäre ich da selber verantwortlich, und könnte somit selbstverantwortlich bezüglich der Datenintegrität vorgehen.

mfg