Google erklärt SharedArrayBuffer-Nachricht

Vor einigen Tagen hat Google per Search Console eine Benachrichtigung mit SharedArrayBuffer-Warnungen an Seitenbetreiber*innen verschickt. Verstanden haben die Hinweise nur wenige und so sorgte der Suchriese für mehr Verwirrung als Aufklärung. Nun macht es Google besser.

Was ist der SharedArrayBuffer?

Frei übersetzt, heißt es von Google-Seite:

„SharedArrayBuffer ist ein JavaScript-Objekt, mit dem ein Speicherplatz für Threads auf einer Website freigegeben wird. Aufgrund der Sicherheitslücke Spectre haben Browser beschlossen, das SharedArrayBuffer-Objekt zu deaktivieren. Ab Version 91 wird Chrome das Objekt hinter der Cross-Origin-Isolation steuern. Firefox wird die Aktivierung bereits in Version 76 in einer isolierten Umgebung durchführen.“

Die Unsicherheiten sind damit aber nicht komplett aufgelöst. Denn nicht alle Adressaten der Nachricht wissen, ob sie betroffen sind und was zu tun ist. Aber auch hier hilft Google weiter und empfiehlt nach Erhalt des SharedArrayBuffer-Hinweises folgende Schritte:

  • Seitenbetreiber*innen müssen zuerst entscheiden, ob sie das SharedArrayBuffer-Objekt benötigen
  • Wenn ja, ist zu entscheiden, wo auf der Website ein SharedArrayBuffer zum Einsatz kommt
  • Final werden Funktionalitäten entfernt oder die Cross-Origin-Isolation aktiviert

Wie wichtig ist das Thema?

SharedArrayBuffer kommen auf Websites zum Einsatz, die Daten verschiedener Quellen verarbeiten. Dazu gehören unter anderem Shops, die Bezahloptionen anderer Anbieter nutzen. Die isolierte Umgebung schließt wesentliche Sicherheitslücken. Ist für eine Website die Cross-Origin-Isolation nicht aktiviert, führen Browser SharedArrayBuffer nicht mehr aus. Dies wirkt sich nicht nur auf die Funktionalität der Seiten an sich aus sondern beeinträchtigt außerdem das Ranking bei Google.

Sofern nicht zwingend erforderlich, sollten die JavaScript-Objekt ausgeschlossen werden. Das verhindert alle hier erwähnten Komplikationen.

Hintergrund zu diesem Beitrag:
Google Search Central | Clarifications about the SharedArrayBuffer object message
Google Developers | Making your website „cross-origin isolated“ using COOP and COEP

Titelbild/Grafik: Google