Wikiup:Technik/Browser/Ressourceneinbindung
Diese Projektseite beschreibt einen Sicherheitsmechanismus in Browsern, der die Nutzung erweiterter Werkzeuge beim Bearbeiten von Wiki-Seiten oder fortgeschrittene Darstellungselemente verhindern kann.
Hintergrund
Es gibt Schutz-Software für den Browser, die aus Sicherheitsgründen eine Ausführung von bestimmten Skripten still und leise verhindert, etwa NoScript.
Grundsätzlich sollen in eine im Browser dargestellte Seite (HTML-Dokument) nur solche Ressourcen eingebunden werden, die aus der gleichen Domain stammen, also de.wikipedia.org
für die deutschsprachige Wikipedia (wobei oft nur auf wikipedia.org
geprüft wird; also alle anderen Wikipedia-Sprachversionen akzeptiert würden). Ressourcen anderer Herkunft werden als gefährlich eingestuft und können blockiert werden.
Unter „Ressourcen“ sind zu verstehen:
- JavaScript
- Häufig als Benutzerskripte; auch eigene Skripte in einem anderen Wiki.
- Weltweite Gadgets.
- Einige Cloud-Helferlein antworten mit einer Skripteinbindung.
- CSS
- Selten, aber gelegentlich vorkommend.
- Bilder
- Praktisch nie; in der Regel werden die Bilder direkt aus der URL im Browser dargestellt.
In einer guten Skript-Dokumentation wird dargestellt, wenn Ressourcen von unerwarteten Stellen benötigt werden.
Es ist aber nicht notwendigerweise alles, was in einem Wiki-Projekt und selbst in der eigenen Domain angeboten wird, völlig unbedenklich; siehe Benutzerskripte/Hinweise.
Befreundete Domains
Es wären ggf. die folgenden Second-Level-Domains freizugeben:
mediawiki.org
(openstreetmap.org)
toolserver.org (auslaufend seit 1. Juli 2014)
toolforge.org
translatewiki.net
wikibooks.org
wikidata.org
wikimedia.at
wikimedia.ch
wikimedia.de
wikimedia.org
wikimediafoundation.org
wikinews.org
wikipedia.de
wikipedia.org
wikiquote.org
wikisource.org
wikispecies.org
wikiversity.org
wikivoyage.org
wiktionary.org
wmcloud.org
wmflabs.org
wmfusercontent.org
Siehe zu Details und Subdomains auch: Netzwerk/Domains
Konfiguration
Je nach Mechanismus ist unterschiedlich vorzugehen. Meist ist nur JavaScript betroffen.
- NoScript: [Einstellungen] → [Positivliste]
- Es müssen die vollständigen Domain-Bezeichnungen angegeben werden, also etwa
en.wikipedia.org
für ein Skript aus der englischsprachigen Wikipedia. - Der deutschsprachigen Wikipedia wurde vermutlich längst durch einfachen Mausklick die Ausführung von Skripten erlaubt.
- In seltenen Ausnahmefällen kann bei komplexen Skripten auch Cross-Site-Scripting (XSS) notwendig werden: [Einstellungen] → [Erweitert] → [XSS]
- Es müssen die vollständigen Domain-Bezeichnungen angegeben werden, also etwa
- Im Internet Explorer müssen die Second-Level-Domains ggf. unter [Internetoptionen] der Liste „Vertrauenswürdige Sites“ hinzugefügt werden.
- Den „Vertrauenswürdigen Sites“ muss erlaubt sein: „Auf Datenquellen über Domänengrenzen hinweg zugreifen“ (wohl standardmäßig vorgegeben).