Schaden verursachen?

Verzeihung, ich kenne mich nicht gut aus, aber bedeutet dies nicht auch, dass man Schad-Code schnell mal wieder verbreiten kann/könnte?

Prinzipiell ja, denn man könnte eine Seite analysieren und dann eine PNG vorbereiten, die Schadcode enthält. Man muss die Seite dann nur dazu verleiten diese zu laden und dann Boom...

Grüße vom Planeten Deviluke!

das ist verdammt übel, ich sehe jetzt schon wie tausende von Werbeservern entsprechende PNGs ausliefern und millionen von Rechnern infizieren weil die Browser den Code in den PNGs ausführen.

höchste Zeit, daß alle Browser die Lücke dicht machen -.-

Der Browser macht gar nichts! Um das PNG "auszuführen", muss man ein JS im Browser laden, welches das PNG in ein <canvas> packt und per getImageData() ausliest, in einen String wandelt und in ein <script>-Tag packt. Das ist keine Sicherheitslücke. Es braucht also ein zusätzliches Skript, welches die Arbeit verrichtet.

Du meinst einfach getImageData() abschaffen? Weiß auch nicht wozu diese Funktion nützlich sein sollte...

Grüße vom Planeten Deviluke!

Wenn aber die Seiten ein solches Script haben bräuchte man nur die PNG-Quelle manipulieren.

Grüße vom Planeten Deviluke!

Eine Seite hat kein solches Skript... :D Das wäre so, als ob ein Blog auf die strip_tags()-Funktion verzichtet... dann könnte jeder ein Skript einbinden.

Lala Satalin Deviluke schrieb:
--------------------------------------------------------------------------------
> bräuchte man nur

Was ja soviel einfacher ist, wie die Seite selbst zu manipulieren.

Lala Satalin Deviluke schrieb:
--------------------------------------------------------------------------------
> Wenn aber die Seiten ein solches Script haben bräuchte man nur die
> PNG-Quelle manipulieren.

Weil es ja auch so schrecklich viele Seiten gibt, die eine solche Funktion brauchen...

Ein Beispiel wären zum Beispiel Adserver.

Grüße vom Planeten Deviluke!

Du kannst deine Werbung heute schon mit JS ausliefern. Worauf du aber hinaus willst, ist einfach nur grob fahrlässiges Verhalten. Ein bisschen Restverstand kann man dem Menschen schon abverlangen.

Lala Satalin Deviluke schrieb:
--------------------------------------------------------------------------------
> Ein Beispiel wären zum Beispiel Adserver.

Aha? Die packen ihr Javascript in Bilddateien?
Das wäre mir neu.
Die lassen ihr Javascript ganz regulär vom Weberserver, der die Werbung ausliefert, in den Seitenquelltext einbetten.


Ich habe das Gefühl, daß du nicht verstehst, was hier gemacht wird und wann und wo das relevant ist.

inwiefern kann denn ein modifiziertes png gefährlich werden? Da der "dekomprimierte" Code ja auf Client Seite ausgeführt wird? Denn jetzt könnte ja auch jeder einfach Firebug nutzen und JS Code ändern. Bei AJAX Anwendungen könnte ich es mir noch evtl. vorstellen, aber selbst da sollte jemand der von der Client Seite Daten empfängt einen entsprechenden Filter einbauen... und wenn es nur strip_tags() ist ;-)

oder seh ich da was falsch?

Es wurden doch schon öfter Exploits per Adserver eingeschleust...

Zum Glück nutze ich NoScript und Adblock.

Grüße vom Planeten Deviluke!

Lala Satalin Deviluke schrieb:
--------------------------------------------------------------------------------
> Es wurden doch schon öfter Exploits per Adserver eingeschleust...

Kannst du der Unterhaltung noch folgen?
Die Frage war, welche Anwendungen es für diese Funktion (HTML+CSS+JS in einem PNG komprimieren) gibt, und deine Antwort war "Adserver".
Diese Antwort ist falsch, weil es m.W. keinen Werbelieferanten gibt, der das nutzt.


Aber vermutlich ist es schwer, den Überblick über den ganzen Kram
zu behalten, den man schreibt, wenn man überall seinen Senf dazugibt, hmm?

Richtig, es gibt kein Adserver, der das nutzt. Und das rechtfertigt dir, dass es nicht möglich sein kann dieses "Feature" auch bösartig ausnutzen zu können, nur weil die kein Canvas nutzen um aus PNGs Daten zu entpacken?

Grüße vom Planeten Deviluke!

Sicherheitstechnisch ist die Sache recht unproblematisch,
es kann erstmal genau nur das gemacht werden was der Browser so "unterstützt" es wird ja keine Sicherheitslücke verwendet sondern einfach das Kompressions-Verfahren von PNG verwendet um das ganze zu Komprimieren. Wenn der Browser eine generische Verlustfreie Komprimierung unterstützt, hätte das den selben Effekt.
Dadurch entstehen keine neuen Sicherheitslücken es werden auch keine Ausgenutzt....

Grüße
Kermitted

coresploit schrieb:
--------------------------------------------------------------------------------
> Eine Seite hat kein solches Skript... :D Das wäre so, als ob ein Blog auf
> die strip_tags()-Funktion verzichtet... dann könnte jeder ein Skript
> einbinden.

strip_tags() für Kommentare ist der größte Scheiß. Beispiel:

<3 coresploit! coresploit > *

Natürlich wird auch jeder andere Kommentar verstümmelt, der das kleiner-Zeichen benutzt (muss ja nicht mal absichtlich sein). Toll auch in Blogs, die sich an Webentwickler richten, in denen man einen Kommentar über (nicht mit) HTML hinterlassen möchte.

--
Bitte prüfen Sie, ob Sie diesen Beitrag wirklich ausdrucken müssen!

Du kannst damit nur javascript ausführen, was du auch normal ausgecodet machen könntest.

Also in svg kann man javascript einbetten, ich frage mich was wohl gefährlicher ist ;).

Also regt euch nicht auf.