Offen und trotzdem sicher
Es mag auf den ersten Blick paradox erscheinen, doch die Spezifikation trägt langfristig nicht nur zu einem offeneren, sondern auch zu einem sichereren Web bei. Das gilt vor allem in Hinblick auf die dadurch möglich gewordene Ablösung von JavaScript-On-Demand, bei dem mit dynamischen <script>-Elementen der Zugriff auf fremde Ressourcen auch heute bequem möglich ist. Das ist allerdings bei nicht vertrauenswürdigen Quellen eine äußerst unsichere Methode, weil dadurch auf einfache Weise Code in eine Applikation eingeschleust werden kann.
Die Arbeit des W3C stellt einen Schritt in die richtige Richtung dar, es sind aber weiterhin Fragen offen. Auch wenn der Mechanismus prinzipiell unabhängig ist, bleibt seine Wirkung auf die Verwendung von XMLHttpRequests beschränkt. Sie liefert aber keinen Status zurück, sodass die Same Origin Policy für die Kommunikation zwischen verschiedenen Frames weiterhin bestehen bleibt. Um dieses Manko zu überwinden, schlägt der JSON-Erfinder Douglas Crockford das Element <module> vor, das vergleichbar einem Iframe fremde Inhalte einbindet und die kooperative Kommunikation mittels „send/receive“-Methoden und JSON gestattet. Seiner Feststellung, dass die Webapplikationsentwicklung mittlerweile einen signifikanten Vorsprung vor der Browsertechnologie besitzt und ein differenzierteres Sicherheitsmodell benötigt, ist folglich nichts hinzuzufügen. Vor dem Hintergrund des großen Interesses an diesem Thema und der zahlreichen Diskussionen über mögliche Lösungsansätze sind aber bereits in naher Zukunft weitere spannende Entwicklungen zu erwarten.
Claus Augusti arbeitet seit mehr als zehn Jahren als Entwickler, Autor und Dozent im Bereich Web Development und User Interface Design. Am Web fasziniert ihn die Interaktion zwischen Menschen und seine Leidenschaft zielt auf JavaScript und die Mozilla Platttform. In seinem Blog (http://blog.formatvorlage.de) hält er fest, was gerade durch seinen Kopf geht.
