Zum Schutz gegen Cross-Site-Scripting sind Sicherheitsverfahren wie CSP seit Jahren Standard, aber jetzt sollen die Betreiber von Webseiten plötzlich dafür zahlen.
Mit offensichtlich unberechtigten Patentansprüchen in Sachen Browsersicherheit hat eine englische Computerfirma für Verwirrung gesorgt. Die in Haywards Heath ansässige Firma Datawing hat in Schreiben an Webseitenbetreiber das Patent auf die sogenannte Content Security Policy (CSP) 2.0 reklamiert, mit der die Browserhersteller das nicht autorisierte Ausführen von Javascript-Code durch Webseiten per Cross-Site-Scripting (XSS) verhindern wollen. Inzwischen hat sich die Firma für die Briefe entschuldigen müssen.
Der feuchte Traum von Datawing
In dem Schreiben behauptet Datawing-Direktor William Coppock, er habe schon zwei Jahre vor der Veröffentlichung des CSP-2.0-Standards im Jahr 2013 das Verfahren per Nonce-Wert entwickelt. Ein Nonce-Wert muss für jede Verschlüsselungsoperation einmalig sein. Das Verfahren hat sich Datawing angeblich auch durch Patente in Großbritannien (GB 2496107) und den USA (8959628) schützen lassen.
Das Verfahren werde im Datawing-Produkt Scriptlock eingesetzt, das den XSS-Schutz per Nonce auch bei älteren Browsern erlaube, die nur CSP 1.0 unterstützen, heißt es weiter in dem Schreiben. Coppock fordert dann die Webseitenbetreiber auf, entweder Scriptlock zu kaufen oder eine Lizenz für das Patent zu erwerben. Alternativ könne auch der Serviceprovider aufgefordert werden, das zu tun.
Die Realität überrollt Datawing
In seinem Blog hat der Hacker Scott Helme hat Blog Material zusammengetragen, um die Ansprüche der Firma Datawing zu widerlegen. Außerdem ergab sich nach seinem Twitter-Beitrag eine intensive Diskussion unter Entwicklern, was den angeblichen Patentschutz für das Nonce-Verfahren betrifft.
Dabei wurde auch ein Blogpost des inzwischen verstorbenen Entwicklers Gervase Markham verlinkt, der schon 2005 ein entsprechendes Verfahren durch einen Einmalschlüssel vorgeschlagen hatte.
