+++LIVE+++ #WWSIV heute gegen 20:00 Uhr LIVE auf Twitch! +++LIVE+++

HTML Sanitizer API mit Frederik Braun

Folge №31 · Veröffentlicht am: · Spielzeit: 146 Minuten

Strings bereinigen mit Web-Standards! Was klingt wie ein Arbeitsauftrag der Wäscherei vom Puff nebenan, könnte bald Einzug in die Browserwelt halten: die HTML Sanitizer API! Sie tritt an um HTML Strings, die mit JavaScript gebaut werden, endlich sicher, und Libraries wie DOMPurify überflüssig zu machen. String rein, sicheres HTML raus. Wie, was, wo und warum erklärt uns Frederik Braun, Staff Security Engineer bei Mozilla und Mitverfasser des W3C Standard-Drafts. Dazu berichten wir noch vom Twitch Leak, und Constantin erklärt und die CSS-Eigenschaft „offset“. Eine Runde Sache (die ins Eck musste, oder so).

Shownotes

Begrüßung – [00:00:53]

Retro

Property der Woche: CSS offset(-path) – [00:16:59]

Vorstellung Frederik – [00:22:26]

Entscheide Dich! – [00:23:19]

Kurzer Ausschweif zu mobilen OS und FirefoxOS – [00:26:57]

Tagesthema: HTML Sanitizer API – [00:31:34]

  1. Wie ist es zur Entwicklung dieses Standards gekommen (XSS) – [00:33:26]
  2. innerHTML vs DOM-Methoden – [00:52:04]
  3. Wie soll die API funktionieren? – [00:56:41]
  4. Wie kann man Ideen und Feedback einbringen? – [01:17:10]
  5. Wann ist mit der Implementierung der API zu rechnen? – [01:25:38]
  6. Bedingungen für XSS-Sicherheit mit den Default Options – [01:29:04]
  7. Wie läuft die Kommunikation untereinander? – [01:45:07]
  8. Wie hoch sind die Hürden, an Standards mitzuarbeiten? – [01:49:02]
  9. Wie läuft die Einigung ab? – [01:57:28]

Wie ist es, bei Mozilla zu arbeiten? – [02:03:14]

GeilTeil

Verabschiedung und Schlusswort – [02:24:39]

Kommentare

Name

Svenjakommentierte

am

Danke für diese sehr lehrreiche Folge. Auf die API freu ich mich schon. Hab auch einiges über Angriffsszenarien gelernt, bin was Websicherheit angeht noch sehr unerfahren.

Name

Lars Pourlardkommentierte

am

Wenn Ihr „git worktree“ nutzt, dann bieten sich dazu „orphaned branches“ an, i.e. Branches ohne gemeinsame History, die man in parallelen Worktrees offen haben kann, z.B. in Branch B gezielt eine einzelne Datei aus Branch A fixen und das Resultat dann von B nach A kopieren, ohne dass eventuelles Gefrickele aus B die History von A verhunzt oder damit konfligiert (falls im Hintergrund ein kleines Glöckchen läutet, dann will es sagen: ja, es gibt vielleicht noch mehr als „Merge vs. Rebase“ bzw. „ich darf im Fixing-Branch keine Zwischenstände committen, sonst lachen mich nachher im Main-Branch alle aus“ stimmt so nicht).

Name

Lars Pourlardkommentierte

am

Mit „kopieren“ meine ich natürlich z.B. (oder konkret) „cherry pick –edit“

Name

Constantinkommentierte

am

Test 123

Name

Lars Pourlardkommentierte

am

456

Name

Constantinkommentierte

am

😄
Mist – vergessen, zu löschen.

Name

Moritzkommentierte

am

🤘

Name

Lars Pourlardkommentierte

am

Mit mathematischen Kenntnissen prahlt man immer gerne, gerade bei Webdevs, die alle nur so da rein gerutscht sind (ohne klassisches fundiertes Informatikwissen, i.e. „Halbgruppe“ und so)

Name

Constantinkommentierte

am

Also mir liegt nichts ferner, als mit meinen nicht vorhandenen mathematischen Kenntnissen zu prahlen! 😂

Kommentiere!
Folgendes HTML erlaubt
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

Die E-Mail-Adresse wird nicht öffentlich angezeigt.

Wir sind im Moment live auf Twitch!