Electron
Electron Security-Maßnahmen: Cross-Plattform Desktop-Apps - Teil 4 [Screencast]
Thinktecture Cloud-Native- und Infrastructure-as-Code-Spezialist Thorsten Hans erklärt in einer fünfteiligen Screencast-Serie das Framework Electron. Nachdem er bereits in die Grundlagen und Architektur, Developer-Essentials und die UX-Optimierung einführte, geht es im vierten Teil um die Verbesserung der Sicherheit einer Electron-Anwendung.
Inhalte des Screencasts
- Content Security Policies: In Electron können Sie über Content Security Policies (CSPs) beispielsweise kontrollieren, ob und in welcher Art der Renderer-Prozess JavaScript-Dateien lädt. Durch die explizite Definition von vertrauenswürdigen Quellen können Sie Angriffsvektoren, wie Cross Site Scripting (XSS), minimieren.
- Node.js Integration deaktivieren: In Electron haben Sie die Möglichkeit den Zugriff auf Node.js-Schnittstellen für den Runderer-Prozess zu unterbinden, wodurch sichergestellt werden kann, dass Code aus dem Client (in Form von JavaScript) nicht über privilegierte APIs mit Betriebssystem-Schnittstellen kommunizieren kann.
- Fachliche APIs für den Renderer-Prozess: Mit deaktivierter Node.js Integration minimieren sich die Möglichkeiten Ihrer Electron Anwendung. Code aus dem Renderer-Prozess kann nich mehr mit dem Main-Prozess kommunizieren. Über explizit definierte, fachliche APIs können Sie dem Renderer-Prozess Zugriff auf notwendige Funktionen im Main-Prozess geben. Sie minimieren dadurch Angriffsvektoren, und definieren klare Kommunikationswege.
Im letzten Teil geht es darum, wie Sie Anwendungen mit dem electron-packager paketieren. Wenn Sie die weiteren Screencasts nicht verpassen möchten, melden Sie sich hier für unsere monatlichen Tech News an.
