Risiken und Chancen

Ratgeber: HTML5 sicher einsetzen

Client-side storage - Vor- und Nachteile

Einst zeigten Browser nur die Daten an, die sie vom Webserver vorgegeben bekamen. Schnell erkannten Entwickler die begrenzten Möglichkeiten dieses "Server-Client-Prinzips": Eine Interaktion zwischen Website und Nutzer war kaum möglich. Cookies sollten Abhilfe schaffen. Die kleinen Datenschnipsel werden beim Besuch einer Website ungefragt auf dem Anwenderrechner abgelegt - später senden sie Daten an den Server zurück.

Doch Cookies werden häufig gelöscht oder gleich ganz gesperrt, sind also auch keine gute Lösung. Erst HTML5 erlaubt es Entwicklern, Online-Daten im größeren Stil auf dem Client abzulegen - sieht man einmal davon ab, dass dafür auch Technologien wie Java, Flash oder Silverlight genutzt werden können.

Interaktion: Cookies lassen sich in allen modernen Browsern unterbinden, automatisch oder manuell löschen. Für die dauerhafte Datenspeicherung auf Client-Seite sind sie somit ungeeignet.
Interaktion: Cookies lassen sich in allen modernen Browsern unterbinden, automatisch oder manuell löschen. Für die dauerhafte Datenspeicherung auf Client-Seite sind sie somit ungeeignet.

Aus der Client-seitigen Datenspeicherung ergeben sich mehrere Vorteile. Zum Beispiel lassen sich Daten auf verschiedene Art und Weise zwischenspeichern, um sie zu einem späteren Zeitpunkt innerhalb der Webapplikation wieder zu verwenden oder anderen Applikationen zur Weiterverwendung anzubieten. Webanwendungen können dank Client-side storage aber auch vollständig auf dem Client abgelegt werden, sodass sie ohne Internetverbindung nutzbar bleiben.

Leider hat der Anwender kaum Möglichkeiten, das Client-seitige Speichern von Daten zu steuern. In der Regel ist er dem Verhalten der Applikation vollständig ausgeliefert. Da Client-side storage sogar den Zugriff auf die Festplatte des Clients ermöglicht, könnten Angreifer ziemlich leichtes Spiel haben, sowohl Daten der Webapplikation als auch den Anwenderrechner selbst zu manipulieren - sagen jedenfalls einige Experten.

Manche Fachleute befürchten gar, dass Malware-infizierte Daten auf Client-Seite nach Abruf durch den Server diesen ebenfalls infizieren könnten. Fest steht, dass alle Verfahren des Client-side storage einer gründlichen Absicherung bedürfen und im Zweifelsfall nicht für die Speicherung sensibler Daten genutzt werden sollten - zumindest, solange es keine finale Spezifikation des HTML5-Standards durch das W3C gibt.