In diesen Tagen erhalten zahlreiche Webmaster eine Warnmeldung wegen der unsicheren Verwendung von SharedArrayBuffers auf ihren Websites. Die Ursache für diese Meldung könnte Google Analytics sein.
Derzeit erhalten viele Webmaster eine Warnung von der Google Search Console. Darin wird darauf hingewiesen, dass auf ihrer Website SharedArrayBuffers verwendet werden, ohne dass COOP- und COEP-Header zum Einsatz kommen:
SharedArrayBuffers sind Datenobjekte, die verschiedene Views auf Shared Memory bieten. Sie können auf Websites, auf denen Daten verschiedener Quellen ausgetauscht oder genutzt werden, zum potentiellen Sicherheitsrisiko werden. Betroffen können zum Beispiel Websites mit externen Zahlungsanbietern sein. In diesem Zusammenhang ist Spectre zu nennen, eine Sicherheitslücke in manchen CPUs, die es Angreifern grundsätzlich ermöglicht, vertrauliche Daten auszulesen.
Bild: Google - siehe auch das passende Erklärvideo
Aus diesem Grund erlaubt Google Chrome ab Version 91 die Verwendung von SharedArrayBuffers nur auf Webseiten, die cross-origin isolated sind. Dazu müssen im HTTP-Header des jeweiligen Hauptdokuments diese beiden Einträge stehen:
Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin
Die Warnung der Google Search Console zu SharedArrayBuffers hat zu einiger Verwirrung gesorgt. Unklar ist noch, warum einige Websites diese Meldung erhalten, andere jedoch nicht.
Eine mögliche Ursache könnte die Verwendung von Google Analytics sein, genauer gesagt die Geschwindigkeitsmessung. Das schrieb Joost de Valk vom Pluginanbieter Yoast per Twitter:
John Müller von Google antwortete, man werde sich das ansehen und demnächst mehr Details dazu nennen:
"We're looking into some details and hope to have a bit more soon (though TBH I'm super-zonked, so maybe it'll be tomorrow). I appreciate the flagging & discussion!"
Wer eine entsprechende Warnung per Google Search Console erhalten hat, kann erst einmal auf weitere Informationen warten. In der Zwischenzeit sollte bereits die Implementierung der entsprechenden COEP- und COOP-Header eruiert werden.