F-Droid ist bestrebt, den App-Entwickler*innen eine angenehme Möglichkeit zu bieten, ihre Apps den Nutzern zu präsentieren. Jede App kann Beschreibungen, dazugehörige Metadaten und Übersetzungen enthalten. Wir haben gerade die Liste der in App-Beschreibungen zulässigen HTML-Formatierungattribute aktualisiert, um deutlicher zu machen, was funktioniert und was nicht. Dies sollte es einfacher machen, die Beschreibungen mit anderen App-Stores, die ebenfalls bestimmtes HTML erlauben, zu synchronisieren. Es gibt zwei Hauptänderungen bei der Website-Erzeugung:

• Nicht zulässige HTML-Tags werden jetzt automatisch entfernt („herausgetrennt“), wohingegen sie zuvor maskiert wurden (z. B. <script>).
• Die Liste zulässiger Attribute/Tags wird nun streng durchgesetzt.

Diese Änderung wurde durch einige Sicherheitsprobleme in Loofah veranlasst, das Tool, dem wir beim Herausschneiden von gefährlichem HTML aus den App-Beschreibungen vertrauen. f-droid.org nutzt mehrere Verteidigungsebenen, die den Umfang der Sicherheitsrisiken weitestgehend einschränkt. Zum Beispiel enthält diese Internetseite eine Content Security Policy, welche die meisten gefährlichen Eigenschaften deaktiviert und den Rest der URLs, die Teil dieser Seite sind, abgrenzt.

Für diejenigen, die an den technischen Einzelheiten interessiert sind: HTML macht es möglich, Daten-Blobs über das data:-Schema inline einzuschleusen. Dies kann dazu missbraucht werden, schädliche Dinge zu laden. Loofah ging damit nicht sauber um. Die Content Security Policy dieser Website verbietet bereits jede Verwendung von data:, sodass das hier kein Problem war. Das Schlüsselwort self bedeutet “erlaube ausschließlich Ressourcen aus der aktuellen Quelle” und die ist https://f-droid.org.