Sign up to save your podcasts
Or
Share Revision 702: Das <geolocation>-Element, mit Thomas Steiner
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Revision 702: Das <geolocation>-Element, mit Thomas Steiner
In dieser Revision sprechen wir mit Thomas Steiner von Google über einen lange offenen Schmerzpunkt im Web: Permission-Dialoge. Ausgangspunkt ist das neue -Element, das Chrome eingeführt hat und das Permissions kontextueller, deklarativer und weniger fehleranfällig machen soll.
Event-Tipp
Am 27.–28. April 2026 findet die beyond tellerrand Düsseldorf 2026 statt – zwei Tage Inspiration für Kreative und Entwickler:innen in Düsseldorf. Tickets kosten 349 €.
Alle Infos gibt’s auf beyondtellerrand.com
Praktischer Hinweis: „Holiday Inn Express“ oder „Holiday Inn – the niu, Tab“ direkt an der Venue buchen und abends noch mit Speakern und Community an der Bar abhängen. Wir freuen uns, wenn wir uns dort sehen!
Dabei schauen wir zurück auf die Geschichte der Geolocation API, diskutieren Permission-Spam, Browser-Mitigations wie den „Blue Chip“ und werfen einen Blick auf PEPC (Page Embedded Permission Control) als ursprünglichen Ansatz. Außerdem geht es um UX, Security, Styling-Grenzen und die Frage, wie neue Webstandards sich in einer Welt voller Frameworks und KI-Generatoren durchsetzen können.
Schaunotizen
[00:01:42] Das -Element
Permissions im Web waren lange implizit oder API-getrieben: Wer etwa navigator.geolocation.getCurrentPosition() aufruft, triggert einen Browser-Dialog. Alternativ gibt es explizite Anfragen wie Notification.requestPermission(). Beide Varianten haben über die Jahre zu Permission-Spam, „Permission Fatigue“ und UX-Problemen geführt.
Ein früher Versuch zur Vereinheitlichung war navigator.permissions.request(), der jedoch nach Diskussionen im W3C Permissions Repository (Issue #83) wieder verworfen wurde. Stattdessen entstand bei der TPAC 2023 die Idee der Page Embedded Permission Control (PEPC): ein deklaratives -Element mit type-Attribut und optionalem type-ext für Details wie Präzision oder Constraints.
Daraus wurde schließlich ein spezialisierter Ansatz: Statt eines generischen Elements gibt es nun dedizierte Elemente wie . Chrome hat dieses Element mittlerweile geshipped (siehe Blogpost, Feature-Status auf ChromeStatus). Es kapselt nicht nur die Permission-Abfrage, sondern liefert direkt Positionsdaten – deklarativ und mit Events statt Callback-basierter Legacy-API.
UX-seitig bringt das neue Modell einige Änderungen: Der Dialog wird zentriert angezeigt, der Hintergrund kann abgedunkelt werden, und es gibt differenzierte Zustände („Allow on every visit“, „Allow this time“, „Continue not allowing“). Damit soll „Permission Regret“ reduziert werden – also das nachträgliche Bereuen einer Entscheidung.
Es gibt außerdem Styling-Regeln: Bestimmte CSS-Eigenschaften sind eingeschränkt, um Clickjacking oder visuelle Täuschung zu verhindern. Pseudo-Klassen wie :granted oder :invalid sowie Events wie onvalidationstatuschange, onpromptaction und onpromptdismiss ermöglichen dennoch eine Integration ins UI.
In der Standardisierungsdiskussion gab es unterschiedliche Positionen: WebKit und Mozilla äußerten zunächst Vorbehalte gegenüber dem generischen Permissions-Element. Mit dem fokussierten -Ansatz scheint sich die Lage zu entspannen; Mozilla signalisiert vorsichtige Zustimmung, während WebKit noch prüft.
Weitere Stichworte unseres Gesprächs sind die „Line of Death“ (Abgrenzung zwischen Web-Content und Browser-UI), User Activation (siehe User Activation in Chrome) sowie Browser-Mitigations gegen Spam, etwa ML-gestützte Heuristiken und der nicht-modale „Blue Chip“ bei Notification-Prompts (siehe Origin Trial zum Permission-Element und Best Practices).
Links
The HTML element
Vorstellung des neuen deklarativen Geolocation-Elements im Chrome-Entwicklerblog.
WICG/PEPC
Repository zur ursprünglichen Page Embedded Permission Control-Idee.
PEPC Issue #59
Diskussionen zur Weiterentwicklung und Aufsplittung des Permission-Ansatzes.
W3C Permissions Issue #83
Debatte zur Entfernung von navigator.permissions.request().
WebKit Standards Position (PEPC)
WebKits Einschätzung zum ursprünglichen Permissions-Element.
Mozilla Standards Position (PEPC)
Mozillas Positionierung zur deklarativen Permission-Kontrolle.
WebKit Kommentar zu Permission-Details
Diskussion zu UX- und Sicherheitsaspekten rund um Permission-Dialoge.
Mozilla Standards Position (Geolocation Element)
Aktuelle Diskussion zur Unterstützung des neuen Geolocation-Elements.
Permission Element Origin Trial
Erfahrungen und Erkenntnisse aus dem Origin Trial des ursprünglichen Permission-Elements.
Permissions Best Practices
Empfehlungen zum verantwortungsvollen Umgang mit Permissions im Web.
View all episodes
By Vanessa Otto, Peter Kröner, Hans Christian Reinl, Stefan Baumgartner, Christian »Schepp« SchaeferIn dieser Revision sprechen wir mit Thomas Steiner von Google über einen lange offenen Schmerzpunkt im Web: Permission-Dialoge. Ausgangspunkt ist das neue -Element, das Chrome eingeführt hat und das Permissions kontextueller, deklarativer und weniger fehleranfällig machen soll.
Event-Tipp
Am 27.–28. April 2026 findet die beyond tellerrand Düsseldorf 2026 statt – zwei Tage Inspiration für Kreative und Entwickler:innen in Düsseldorf. Tickets kosten 349 €.
Alle Infos gibt’s auf beyondtellerrand.com
Praktischer Hinweis: „Holiday Inn Express“ oder „Holiday Inn – the niu, Tab“ direkt an der Venue buchen und abends noch mit Speakern und Community an der Bar abhängen. Wir freuen uns, wenn wir uns dort sehen!
Dabei schauen wir zurück auf die Geschichte der Geolocation API, diskutieren Permission-Spam, Browser-Mitigations wie den „Blue Chip“ und werfen einen Blick auf PEPC (Page Embedded Permission Control) als ursprünglichen Ansatz. Außerdem geht es um UX, Security, Styling-Grenzen und die Frage, wie neue Webstandards sich in einer Welt voller Frameworks und KI-Generatoren durchsetzen können.
Schaunotizen
[00:01:42] Das -Element
Permissions im Web waren lange implizit oder API-getrieben: Wer etwa navigator.geolocation.getCurrentPosition() aufruft, triggert einen Browser-Dialog. Alternativ gibt es explizite Anfragen wie Notification.requestPermission(). Beide Varianten haben über die Jahre zu Permission-Spam, „Permission Fatigue“ und UX-Problemen geführt.
Ein früher Versuch zur Vereinheitlichung war navigator.permissions.request(), der jedoch nach Diskussionen im W3C Permissions Repository (Issue #83) wieder verworfen wurde. Stattdessen entstand bei der TPAC 2023 die Idee der Page Embedded Permission Control (PEPC): ein deklaratives -Element mit type-Attribut und optionalem type-ext für Details wie Präzision oder Constraints.
Daraus wurde schließlich ein spezialisierter Ansatz: Statt eines generischen Elements gibt es nun dedizierte Elemente wie . Chrome hat dieses Element mittlerweile geshipped (siehe Blogpost, Feature-Status auf ChromeStatus). Es kapselt nicht nur die Permission-Abfrage, sondern liefert direkt Positionsdaten – deklarativ und mit Events statt Callback-basierter Legacy-API.
UX-seitig bringt das neue Modell einige Änderungen: Der Dialog wird zentriert angezeigt, der Hintergrund kann abgedunkelt werden, und es gibt differenzierte Zustände („Allow on every visit“, „Allow this time“, „Continue not allowing“). Damit soll „Permission Regret“ reduziert werden – also das nachträgliche Bereuen einer Entscheidung.
Es gibt außerdem Styling-Regeln: Bestimmte CSS-Eigenschaften sind eingeschränkt, um Clickjacking oder visuelle Täuschung zu verhindern. Pseudo-Klassen wie :granted oder :invalid sowie Events wie onvalidationstatuschange, onpromptaction und onpromptdismiss ermöglichen dennoch eine Integration ins UI.
In der Standardisierungsdiskussion gab es unterschiedliche Positionen: WebKit und Mozilla äußerten zunächst Vorbehalte gegenüber dem generischen Permissions-Element. Mit dem fokussierten -Ansatz scheint sich die Lage zu entspannen; Mozilla signalisiert vorsichtige Zustimmung, während WebKit noch prüft.
Weitere Stichworte unseres Gesprächs sind die „Line of Death“ (Abgrenzung zwischen Web-Content und Browser-UI), User Activation (siehe User Activation in Chrome) sowie Browser-Mitigations gegen Spam, etwa ML-gestützte Heuristiken und der nicht-modale „Blue Chip“ bei Notification-Prompts (siehe Origin Trial zum Permission-Element und Best Practices).
Links
The HTML element
Vorstellung des neuen deklarativen Geolocation-Elements im Chrome-Entwicklerblog.
WICG/PEPC
Repository zur ursprünglichen Page Embedded Permission Control-Idee.
PEPC Issue #59
Diskussionen zur Weiterentwicklung und Aufsplittung des Permission-Ansatzes.
W3C Permissions Issue #83
Debatte zur Entfernung von navigator.permissions.request().
WebKit Standards Position (PEPC)
WebKits Einschätzung zum ursprünglichen Permissions-Element.
Mozilla Standards Position (PEPC)
Mozillas Positionierung zur deklarativen Permission-Kontrolle.
WebKit Kommentar zu Permission-Details
Diskussion zu UX- und Sicherheitsaspekten rund um Permission-Dialoge.
Mozilla Standards Position (Geolocation Element)
Aktuelle Diskussion zur Unterstützung des neuen Geolocation-Elements.
Permission Element Origin Trial
Erfahrungen und Erkenntnisse aus dem Origin Trial des ursprünglichen Permission-Elements.
Permissions Best Practices
Empfehlungen zum verantwortungsvollen Umgang mit Permissions im Web.
More shows like Working Draft
View all
Bits und so
25 Listeners
Freak Show
9 Listeners
AstroGeo - Geschichten aus Astronomie und Geologie
5 Listeners
Geschichten aus der Geschichte
184 Listeners
c’t uplink - der IT-Podcast aus Nerdistan
10 Listeners
Stay Forever - Retrogames & Technik
30 Listeners
Logbuch:Netzpolitik
6 Listeners
programmier.bar – der Podcast für App- und Webentwicklung
0 Listeners
Podcasts von Tichys Einblick
21 Listeners
eat.READ.sleep. Bücher für dich
28 Listeners
Geld ganz einfach - von Saidi & Emil
11 Listeners
Lanz + Precht
322 Listeners
{ungeskriptet} - Gespräche, die dich weiter bringen
29 Listeners
KI-Update – ein heise-Podcast
4 Listeners
Engineering Kiosk
0 Listeners