7. Jul 2021
Stud.IP’s getting more strict
War es bis heute noch möglich, Stud.IP in Frames einzubinden, Links von externen Webseiten auf nicht öffentliche Veranstaltungen zu folgen und HTTP-(ohne S)-Inhalte einzubinden, so müssen wir diese Möglichkeiten aus Sicherheitsgründen unterbinden. Übrigens: ILIAS und viele andere der von uns in Zusammenarbeit mit dem @LLZ angebotenen E-Learning-Dienste werden schon seit mehr als einem Jahr problemlos mit diesen Maßnahmen betrieben.
Frames
Das Einbinden von Stud.IP in Frames wird zur Verhinderung von Clickjacking vollständig unterbunden.
Es ist für uns mit ausreichend Vorlaufzeit möglich, Ausnahmen basierend auf dem Domain Namen zu definieren.
Links, Formulare
Links und Formulare von Seiten Dritter — nach Definition der Browserhersteller sind das alle Seiten, die nicht auf uni-halle.de enden — die auf nicht öffentlich einsehbare Bereiche im Stud.IP verweisen, werden dazu führen, dass Nutzende beim Folgen dieser Links oder Formularaktionen sich zunächst in Stud.IP erneut anmelden müssen, um das Ergebnis sehen zu können, selbst wenn sie zuvor bereits in Stud.IP angemeldet waren.
HTTP-Inhalte
Inhalte, die noch über HTTP eingebunden werden, werden versucht unter ihrer HTTPS-URL — also aus http://example.com/img.png würde https://example.com/img.png für den Abruf verwendet — zu laden. Auf in Texte eingebundene externe Bilder hat diese Änderung keinen Einfluss, da diese über Stud.IP und nicht direkt von Extern geladen werden.
Über Felix Pahlow
- Felix ist seit dem 15. August 2024 am ITZ im Bereich E-Learning tätig.
