Campus-Management (HIS-LSF): mit Safari V5 keine korrekte Darstellung
Von verschiedenen Seiten bekommen wir Rückmeldungen, das die Darstellung des Campus-Management-Portals der Universität Freiburg nicht korrekt ist, wenn der Zugriff über einen Safari Browser der Version 5 erfolgt. Das Problem besteht seit der Aktualisierung auf HIS-LSF Version 15 am 25.02.2013. Es hängt mit einer Erhöhung des Sicherheitsniveaus des Systems zusammen. Das Rechenzentrum hat entschieden die betroffenen Nutzer zu befragen, um dann auf Basis der Rückmeldungen zu entscheiden, ob die neuen Sicherheitsfeatures (CSP Content Security Policy) wieder deaktiviert werden.
Wir würden uns deshalb freuen, wenn die betroffenen Benutzer uns Rückmeldung zu folgenden Fragen geben:
- Tritt das Problem nur bei Nutzung mit Safari Version 5, oder auch bei anderen Browsern (Safari 6, Internet Explorer, Firefox, Opera, …) ?
- Welches Gerät / Version / Betriebssystem benutzen sie für den Zugriff?
- Besteht für Sie die Möglichkeit auf dem Gerät einen anderen Browser zu installieren, der von dem Problem nicht betroffen ist oder ein anderes Gerät zu benutzen?
- Welche Funktion des Campus-Management-Systems (Vorlesungsverzeichnis, Ausfallende Veranstaltungen, Prüfungsanmeldung, …) benötigen sie auf dem betroffenen Gerät?
Bitte senden Sie uns eine Mail an cm@rz.uni-freiburg.de oder benutzen sie unser Hotlineformular. Sofern Sie anonym bleiben wollen, tragen Sie im Hotlineformular die Absender-E-Mail-Adresse anonym@anonym.anonym ein.
Herzlichen Dank für Ihr Verständnis und Ihre Unterstützung
Ihr RZ Team
Detailinformationen zu CSP Content Security Policy im System HIS-LSF [Quelle: FAQ zu CSP im HIS Wiki der HIS GmbH für registrierte Anwender]:
- Content Security Policy (CSP) ist ein W3C-Draft zur Verhinderung von Cross-Site-Scripting-Angriffen. CSP ist eine defensive Maßnahmen, die das Risiko senkt.
- Bei diesem Angriff nutzt ein Angreifer einer Sicherheitslücke in einer Webanwendung aus, um ihr bösartiges JavaScript-Code unterzuschieben. Aus Sicht des Browsers kommt dieses JavaScript von der Webanwendung und hat daher die gleichen Privilegien wie das echte Javascript. CSP verhindert diese Art Angriff, indem es JavaScript direkt im dynamischen HTML-Code komplett verbietet.
- Um CSP nutzen zu können, müssen Webanwendungen so angepasst werden, dass das gesamte gute Javascript aus dem HTML-Code entfernt und in externen Dateien ausgelagert wird.
- Safari 5-Versionen verweigern die Darstellung von Stylesheets mit CSP, obwohl dies laut Regel eigentlich erlaubt sein müsste. Apple hat den Fehler in Safari 6 behoben.