RSS-Feed abonnieren

Passwort vergessen?

v Anmelden

7. Jul 2021

Stud.IP’s getting more strict

Verfasst von

War es bis heute noch möglich, Stud.IP in Frames einzubinden, Links von externen Webseiten auf nicht öffentliche Veranstaltungen zu folgen und HTTP-(ohne S)-Inhalte einzubinden, so müssen wir diese Möglichkeiten aus Sicherheitsgründen unterbinden. Übrigens: ILIAS und viele andere der von uns in Zusammenarbeit mit dem @LLZ angebotenen E-Learning-Dienste werden schon seit mehr als einem Jahr problemlos mit diesen Maßnahmen betrieben.

Frames

Das Einbinden von Stud.IP in Frames wird zur Verhinderung von Clickjacking vollständig unterbunden.

Es ist für uns mit ausreichend Vorlaufzeit möglich, Ausnahmen basierend auf dem Domain Namen zu definieren.

Links, Formulare

Links und Formulare von Seiten Dritter — nach Definition der Browserhersteller sind das alle Seiten, die nicht auf uni-halle.de enden — die auf nicht öffentlich einsehbare Bereiche im Stud.IP verweisen, werden dazu führen, dass Nutzende beim Folgen dieser Links oder Formularaktionen sich zunächst in Stud.IP erneut anmelden müssen, um das Ergebnis sehen zu können, selbst wenn sie zuvor bereits in Stud.IP angemeldet waren.

HTTP-Inhalte

Inhalte, die noch über HTTP eingebunden werden, werden versucht unter ihrer HTTPS-URL — also aus http://example.com/img.png würde https://example.com/img.png für den Abruf verwendet — zu laden. Auf in Texte eingebundene externe Bilder hat diese Änderung keinen Einfluss, da diese über Stud.IP und nicht direkt von Extern geladen werden.

Über Felix Pahlow

  • Felix ist seit dem 1. April 2020 am ITZ im Bereich E-Learning tätig.

Kommentieren


Seiten

Letzte Kommentare