Zu große Sicherheitsbedenken: Apple und Mozilla sträuben sich gegen Googles ‚falsche‘ AMP-URLs

chrome 

Vor wenigen Tagen hat Google eine große Veränderung für AMP angekündigt und damit für einige Diskussionen gesorgt. In der Adressleiste des Browsers soll dabei nicht unbedingt die URL stehen, die tatsächlich im Browser angezeigt wird. Auch im Vorfeld sorgte dieses Feature unter den Browserherstellern für Diskussionen und wurde sowohl von Mozilla als auch von Apple abgelehnt. Dennoch wird es Google es umsetzen.


Viele Browser erscheinen in sehr kurzen Intervallen in immer neuen Versionen und haben ständig Änderungen und Verbesserungen im Gepäck – ob der Nutzer das nun will oder nicht. Doch auf eines konnte man sich bisher immer verlassen: Die in der Adressleiste angezeigte URL und die geladene Webseite sind eine Einheit, an der nicht gerüttelt wird. Doch genau das hat Google mit den AMP-Webseiten vor, wenn auch noch in kontrollierter Form.

AMP-Logo

Googles Pläne sehen vor, dass AMP-URLs verändert werden sollen und statt der Adresse des Google Cache die originale URL angezeigt werden soll. Das hat auch unter den Browserentwicklern für viele Diskussionen gesorgt, an deren Ende sich sowohl Mozilla mit dem Firefox als auch Apples Safari-Team gegen eine Umsetzung entschieden haben. Das erklärt auch, warum in der Ankündigung die Umsetzung im Chromium Edge hervorgehoben wurde: Weil andere vorerst nicht mitziehen.

Als Grund geben beide Hersteller vor allem Sicherheitsbedenken an, die ihr in folgenden Statements nachlesen könnt:

Mozilla

Mozilla has concerns about the shift in the web security model required for handling web-packaged information. Specifically, the ability for an origin to act on behalf of another without a client ever contacting the authoritative server is worrisome, as is the removal of a guarantee of confidentiality from the web security model (the host serving the web package has access to plain text). We recognise that the use cases satisfied by web packaging are useful, and would be likely to support an approach that enabled such use cases so long as the foregoing concerns could be addressed.

Apple

But even so, I’d say we are pretty uncomfortable with this approach, for similar reasons to Mozilla. We can see some advantages to Google re-serving the whole web from their own servers and getting browsers to present it as if it comes from the origin, but it also seems like a worrisome change to the web security model.

» Große Veränderungen für AMP und das Web: Browser können nun die ‚echte‘ URL zum ‚falschen‘ Inhalt zeigen

[9to5Google]




Teile diesen Artikel:

Facebook twitter Pocket Pocket

comment 1 Kommentare zum Thema "Zu große Sicherheitsbedenken: Apple und Mozilla sträuben sich gegen Googles ‚falsche‘ AMP-URLs"

  • Meine Meinung: Was in der URL steht muss weiterhin absolut genau dem aufgerufenen Server entsprechen. URL-Fälschungen sind de facto eine Form von Irreführung, also Betrug!

Kommentare sind geschlossen.