Qt WebEngine Sicherheitserwägungen

Diese Seite behandelt Sicherheitsaspekte für Benutzer von Qt WebEngine. Als Teil von Qt folgt Qt WebEngine den Sicherheitsrichtlinien von Qt. Siehe Sicherheit in Qt für Informationen zu den Richtlinien.

Chromium Releases und Sicherheitsfixes

Qt WebEngine folgt dem Veröffentlichungsplan von Chromium. Die neueste Version von Qt WebEngine enthält die in Chromium veröffentlichten Sicherheitskorrekturen. Die genauen Versionsnummern und veröffentlichten Korrekturen finden Sie auf der Wikiseite QtWebEngine/ChromiumVersions.

Weitere Informationen darüber, wie Qt WebEngine Core die Chromium-Funktionen und spezifische Versionen implementiert, finden Sie im Abschnitt Qt WebEngine Core Module. Es ist auch von Vorteil, mit der Sicherheitspolitik von Chromium vertraut zu sein.

Sicherheitsthemen für Qt WebEngine Anwendungen

Achten Sie auf den Umgang mit nicht vertrauenswürdigen Daten und sensiblen Daten innerhalb Ihrer Anwendung. Daten wie Bilder, Benutzerinformationen und Systeminformationen können von entfernten Ressourcen, innerhalb der Anwendung oder lokal auf dem System geladen werden. Achten Sie darauf, wie Sie nicht vertrauenswürdige Daten auf sichere Weise verarbeiten, ohne die Leistung zu beeinträchtigen und sensible Informationen preiszugeben. Selbst die Offenlegung von Dateinamen und Verzeichnispfaden kann sensible Daten wie Systeminformationen und Datenbankstrukturen preisgeben.

Qt WebEngine und Chromium verfügen über Mechanismen wie die Same-Origin-Policy, um das Risiko des Ladens aus unbekannten Quellen zu minimieren. Viele Websites täuschen Benutzer mit Dialogen und der Nachahmung beliebter Websites. Mit Qt WebEngineist es möglich, nur vertrauenswürdige Daten zu laden und anzuzeigen und die Benutzeroberfläche zu sperren, um unerwünschte Eingaben zu verhindern. Ihre Benutzeroberfläche sollte robust sein, um Fehleingaben und unerwartete Ereignisse zu verarbeiten.

Ein ernstes Sicherheitsproblem für Webanwendungen ist das Cross-Site-Scripting (XSS). Bei diesem Angriff wird ein Code ausgeführt, der eine Webanwendung dazu verleitet, bösartige HTML-Inhalte zu generieren, um das Vertrauen des Benutzers zu gewinnen. Ihre Anwendung nimmt beispielsweise unwissentlich bösartigen Code auf, um ein Dialogfeld zu generieren, das nach den Anmeldedaten des Benutzers fragt. Diese Anmeldedaten werden dann an einen externen Dienst gesendet, was dazu führen kann, dass Konten missbraucht werden. Da es Ihre Anwendung ist, die das Dialogfeld generiert, vertrauen die Benutzer der bösartigen Aktion. Seien Sie beim Parsen von URLs vorsichtig und stellen Sie sicher, dass niemand Ihre Benutzeroberfläche missbrauchen kann.

Unter Umgang mit nicht vertrauenswürdigen Daten finden Sie weitere Informationen zu Risiken und Abhilfemaßnahmen.

Konfigurieren Sie Qt WebEngine Einstellungen

Es ist eine gute Praxis, Zero-Trust-Richtlinien durchzusetzen, die den Zugriff standardmäßig einschränken. Die Konfiguration Ihrer Qt WebEngine -Bereitstellung kann dazu beitragen, die Ausführung durch Benutzer und aus der Ferne einzuschränken. QWebEngineSettings verfügt über Attribute, die die Ausführung von JavaScript, das automatische Laden von Bildern oder andere Mechanismen deaktivieren können, um eine unbeabsichtigte Verwendung zu verhindern. Durch die Deaktivierung von QWebEngineSettings::LocalContentCanAccessFileUrls kann beispielsweise eine Sandbox-Umgebung ähnlich wie bei Chrome oder Firefox geschaffen werden.