Wie man die Webseite, ohne JavaScript aktiviert zu haben, wieder sichtbar machen kann, zeigt ein weiteres Beispiel aus der Serie -Jugend forscht-. Siehe unten unter „Den Teufel mit Belzebub ausgetrieben“.
Eine ziemlich stümperhafte Lösung
Ich habe bereits mehrfach etwas über Angriffe mittels X-Frame geschrieben. Wenn eine Webseite nicht gegen X-Frame abgesichert ist, kann es zu bösen Überraschungen für den Nutzer einer solchen Webseite kommen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf diese Sicherheitslücke hin. Das BSI hat auch einen Vorschlag mit JavaScript veröffentlicht, wie man solche Angriffe abwehren kann. Dummerweise ist die vom BSI veröffentlichte Lösung völlig unbrauchbar und wird auch noch als: „Best-Practice-Ansatz„ geadelt.
Ohne JavaScript werden Webseiten, die dieses Script einsetzen, NICHT mehr angezeigt.
Interessanterweise weist das BSI auch darauf hin „JavaScript“ abzuschalten. Was denn jetzt? 🙁
Einem Anfänger könnte der Fehler passieren und dem Vorschlag vom BSI blind folgen. Wenn es darum geht, eine Webseite sicherzumachen, darf ich keine Anfänger damit beauftragen, die jeden Code ohne nachzudenken einbauen.
Warum wundert mich bei Behörden nichts mehr?
Um das Problem zu beseitigen, gibt es mehrerer Möglichkeiten.
Die dümmste Lösung wäre die folgende. Diese Lösung empfiehlt auch das BSI. 🙁
Warum? Ganz einfach. Wenn der Nutzer JavaScrip abgeschaltet hat, sieht der Borwser den HTML-Code wie folgt:
JavaScript wird NICHT ausgeführt. Die Webseite wird NICHT angezeigt.
Also Webmaster. Macht bitte nicht so einen Blödsinn. Es gibt ganz elegante Lösungen um Angriffe mittels X-Frame zu verhindern. Eine Sache von max. fünf Minuten.
Nachtrag. Code wurde erweitert. Siehe auch Kommentare.
Den Teufel mit Belzebub ausgetrieben.
Damit
hat man zwar das Problem mit der Webseitenanzeige abgestellt, aber gleichzeitig den Angriff mit X-Frame bei deaktiviertem JavaScript wieder zugelassen. Das MUSS man doch erkennen. 🙁
Zwei anonyme Kommentare kamen zeitnah nach der durchgeführten Änderung
Siehe auch
Aus gegebenem Anlass. JavaScript
Rödermark intern.
Aus dem Haushaltsplan 2024/2025
Haushaltssicherungskonzept
Ein Haushaltssicherungskonzept gem.
§ 92 a Abs. 1 Nr. 1 HGO entfällt in den Fällen, in denen der Saldo des Zahlungsmittelflusses aus laufender Verwaltungstätigkeit zwar nicht so hoch ist, dass daraus die Auszahlungen zur ordentlichen Tilgung von Krediten sowie ggf. an das Sondervermögen „Hessenkasse“ geleistet werden können, jedoch ausreichend ungebundene Liquidität für die Tilgungsleistungen und ggf. Auszahlungen an das Sondervermögen „Hessenkasse“ zur Verfügung steht.
Amerkung:
Wie es die zugänglichen Daten zum Haushalt zeigen, dürfte Rödermark Anfang 2025 nicht mehr in der Lage sein, die oben genannten Zahlungen weder aus laufender Verwaltungstätigkeit noch aus ungebundener Liquidität zu begleichen.
Wann wird der Magistrat den Stadtverordneten das Haushaltssicherungskonzept vorlegen? Nach der Bürgermeisterwahl?
Rödermark und ihr Webmaster. Keine Anzeige ohne JavaScript. Hoffentlich arbeiten die bei anderen Aufgaben sorgfältiger. Hier es ganz offensichtlich. Wenig Kompetenz.
Blamaga, Blamage und hochmal Blamage.
Rödermark umd Internet bekommt man nicht unter einen Hut. Die Stadt bekommt auch einfachste Sachen niicht geregelt. Siehe Radweg Waldacker. Blamage, Blamage und hochmal Blamage.
Bürger werden mit Duldung der Stadtverordnetenvorsteherin ausgelacht.
Neuer Stand.
Bürger lachen den Magistrat aus. Ha, ha, ha
Die Seite funktiniert doch ohne Java-Script. Das was Sie betreiben ist schon in der Nähe der Rufschädigung.
Admin
Ich gebe Ihnen völlig recht. Nach einem Hinweis von mir am Sonntag an die Stadt und diesem Artikel hier, hat man nachgebessert. Das oben angezeigte Script wurde, kurz vor Ihrem Kommentar, erweitert. Dort steht jetzt:
noscript style html{display : block ; } /style /noscript (Die spitze Klammer habe ich weggelassen.)
Das bedeutet: Wenn KEIN JaveScript zugelassen ist, wird die Webseite angezeigt. Dazu wird ich aber noch etwas formulieren.
Zur Rufschädigung.
Welchen Ruf habe ich geschädigt. Ich habe nicht die Stadt erwähnt. Warum schreiben Sie eigentlich nicht unter Ihrem Klarnamen.
Bei mir funktioniert auch alles einwandfrei. Da ist wohl einer nicht gut auf die Stadt zu sprechen… Schlimm, wenn Menschen versuchen zu zuerstören anstatt zu helfen… Herr Donners
Admin
Zu helfen. Man muss sich nur helfen lassen. Der Stadt ist bekannt, dass die Webseite gegen X-Frame angreifbar ist. Lösungsvorschläge hierzu gab es auch. Da sich nichts getan hat, habe ich in der vergangenen Woche Herrn … (MA der Stadt) angeschrieben. Ich war davon begeistert wie schnell eine Lösung herbeigeführt wurde. Innerhalb weniger Stunden war das Problem (oberflächlich gesehen) beseitigt. Also, nicht über den Magistrat sondern über einen MA geht das ganz fix. Dann das Problem mit JavaScript. Auch hier habe ich die Stadt (Sonntag, 23.06.2015) angeschrieben.
Wo fehlt hier das Helfen? Die OBEREN reagieren einfach nicht.
Zu dem Funktionieren
Ich gebe Ihnen völlig recht. Nach einem Hinweis von mir am Sonntag an die Stadt und diesem Artikel hier, hat man nachgebessert. Das oben angezeigte Script wurde, kurz vor Ihrem Kommentar, erweitert. Dort steht jetzt:
noscript style html{display : block ; } /style /noscript (Spitze Klammer habe ich weggelassen.)
Das bedeutet: Wenn KEIN JaveScript zugelassen ist, wird die Webseite angezeigt. Dazu werde ich aber noch etwas formulieren.
Guten Tag, danke Herr Anonymus, dank Ihnen wusste dann auch ich von welcher Seite Herr Donners spricht.
Ich bin der Meinung das man hier nicht von Rufschädigung sprechen kann, dafür braucht die Stadt nicht Herrn Donners, dass bekommen sie gut alleine hin.
Ich lese den Blog zwar nicht täglich, freue mich aber das so manches Thema auf den Tisch kommt von dem man sonst nichts mitbekommt!
Ich hoffe Herrn Donners macht weiter so!