Der Martin: Daten von Frame zu Frame übertragen

Beitrag lesen

Hallo Rolf,

soweit ich mir selbst vertraue

wir beiden gehören (hoffentlich) zu den paar Millionen Menschen dieser Welt, die ihren Computer soweit im Griff haben, dass dieses Vertrauen gerechtfertigt ist.

ja, und trotzdem ...

Stell Dir vor, du bist Marty McSure, Sachbearbeiter in einer Versicherung, und du bekommst von Trixi Tannen (die böse Schwester von Biff Tannen, natürlich) eine tolle HTML Datei mit einem Script drin, um einfacher irgendwelche Beiträge ausrechnen zu können.

Du bist begeistert und lässt sie täglich laufen (die HTML-Seite, nicht die Trixi). Und nun stell Dir vor, alles auf file:/// wäre der gleiche Origin. Boshafte Komponenten in Trixis Script können nun per fetch-API deinen ganzen PC ausforschen. Trixis Seite könnte auch noch Script vom Netz, aus file:///corp/public/trixtan/superscript.js nachladen. Und irgendwann ganz stiekum den echten Schnüffler scharfschalten.

Deswegen plädiere ich ja dafür, dass Dokumente von localhorst auch nur auf andere Informationen von localhorst zugreifen dürfen und auf nichts anderes außerhalb davon. Egal ob via file:/// oder http://. Zugriffe auf eine andere IP-Adresse im lokalen Netz sind schon wieder heikel. Die können im Einzelfall erwünscht sein, aber ich möchte sie nicht pauschal erlauben.

Ja, ich weiß, Trixis Schwester Conny Swindleman-Tannen hat eine Excel-Datei erstellt, die diese Berechnungen noch viel besser ausführt. Und dank VBA kann sie Martys PC vieeel effizienter ausspionieren. Weil Excel überhaupt keine Hürden aufstellt, was VBA anrichten kann, sobald man es erlaubt hat.

Das ist noch eine ganz andere Baustelle. Immerhin warnen die MS-Office-Programme ja auch ganz laut davor, dass sie möglicherweise schädliche Macros enthalten.

Fun Fact: MS Outlook auf meinem Work-PC warnt mich regelmäßig beim Öffnen von PDF-Attachments: Achtung, gefährlich! Das muss ich dann jedesmal noch bestätigen; die Checkbox "Diesen Dateityp immer zulassen" (oder so ähnlich) ist dabei deaktiviert. Aber Word- oder Excel-Anhänge darf ich ohne jegliche Umschweife direkt öffnen. *kopfschüttel*

Aber die Browser wollen sich diesen Mist nicht zuschreiben lassen müssen. file:/// ist nicht vertrauenswürdig. Punkt.

Wie gesagt: Bescheuert.

Einen schönen Tag noch
 Martin

--
Prostituierte zum Stammgast: Schön, dass du mal wieder gekommen bist.