Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Web Components: HTML-Elemente selber…

Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

  1. Thema

Neues Thema Ansicht wechseln


  1. Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: JuriStranowsky 17.05.13 - 12:54

    Klingt toll.

    Aber eine Laienfrage: Macht dieses Konzept nicht viele Sicherheitslücken auf Client-Seite wieder auf, die mit viel Arbeit Serverseitig geschlossen wurden?

    Juri

  2. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: EqPO 17.05.13 - 12:59

    Ne wieso? Das ist ja einfach "nur" die Clientseite. Man kann die Daten, die dann clientseitig erfasst sind, schön an den Server senden und ihrer ganz normalen Prüfung unterziehen. Bisher ist es oft so, dass man Daten bekommt und die jetzt irgendeinem Element beispielsweise einem Texteingabefeld zuordnet. Jetzt ändert man einfach die Modeldaten und die wiederum geben das an die Ansicht, also das Texteingabefeld weiter. Und anders rum genauso. Man braucht also nicht mehr mit dem DOM reden, sondern nur noch mit den Modeldaten. Der Rest wird automatisch verändert.



    1 mal bearbeitet, zuletzt am 17.05.13 13:00 durch EqPO.

  3. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: Haxx 17.05.13 - 13:10

    Im Gegenteil, hier entsteht eine neue Sicherheit das Bestandteile deiner App/Webseite nicht versehentlich geändert werden.

  4. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: k@rsten 17.05.13 - 13:20

    Lieber Haxx antworte doch mal dem Nutzer auf den sich deine Antwort auch bezieht. Nur so ein Tipp "Ansicht wechseln"

  5. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: JohnPaters61 17.05.13 - 14:07

    k@rsten schrieb:
    --------------------------------------------------------------------------------
    > Lieber Haxx antworte doch mal dem Nutzer auf den sich deine Antwort auch
    > bezieht. Nur so ein Tipp "Ansicht wechseln"

    Oder man hält sich einfach an die von Golem präsentierte Ansicht. ;-) Dann zersplittern Diskussionen auch nicht so extrem, in denen dadurch ständig das Selbe gesagt wird.

  6. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: droptable 17.05.13 - 14:14

    Krass fände ich es ja, wenn man mit der P2P API im Browser ein Botnetz entwickeln könnte.
    Man stelle sich das mal vor :O

  7. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: Schattenwerk 17.05.13 - 14:51

    droptable schrieb:
    --------------------------------------------------------------------------------
    > Krass fände ich es ja, wenn man mit der P2P API im Browser ein Botnetz
    > entwickeln könnte.
    > Man stelle sich das mal vor :O

    Kannst du schon seit vielen Jahren... dafür brauchst du nur ein Browser.

    Du schleust in einen Werbeverteiler JS ein, welches bei den Clients dann ausgeführt wird und per Ajax permanent eine Seite anspricht. Oder noch einfacher: Immer wieder ein gleiches Bild lädt - dafür brauchst du nicht mal Ajax.

    Und fertig ist der clientseitige DDoS

  8. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: Haxx 17.05.13 - 15:10

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > droptable schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Krass fände ich es ja, wenn man mit der P2P API im Browser ein Botnetz
    > > entwickeln könnte.
    > > Man stelle sich das mal vor :O
    >
    > Kannst du schon seit vielen Jahren... dafür brauchst du nur ein Browser.
    >
    > Du schleust in einen Werbeverteiler JS ein, welches bei den Clients dann
    > ausgeführt wird und per Ajax permanent eine Seite anspricht. Oder noch
    > einfacher: Immer wieder ein gleiches Bild lädt - dafür brauchst du nicht
    > mal Ajax.
    >
    > Und fertig ist der clientseitige DDoS

    Nö das geht nicht, schon mal was von CSP gehört? ;)

    Auch die P2P API ist so gestaltet das man eben nicht wild angriffe fahren kann. Die Zeiten in denen solche Features ohne hinblick auf Security gebaut werden ist lange vorbei

  9. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: GodsBoss 18.05.13 - 08:45

    > > > Krass fände ich es ja, wenn man mit der P2P API im Browser ein Botnetz
    > > > entwickeln könnte.
    > > > Man stelle sich das mal vor :O
    > >
    > > Kannst du schon seit vielen Jahren... dafür brauchst du nur ein Browser.
    > >
    > > Du schleust in einen Werbeverteiler JS ein, welches bei den Clients dann
    > > ausgeführt wird und per Ajax permanent eine Seite anspricht. Oder noch
    > > einfacher: Immer wieder ein gleiches Bild lädt - dafür brauchst du nicht
    > > mal Ajax.
    > >
    > > Und fertig ist der clientseitige DDoS
    >
    > Nö das geht nicht, schon mal was von CSP gehört? ;)
    >
    > Auch die P2P API ist so gestaltet das man eben nicht wild angriffe fahren
    > kann. Die Zeiten in denen solche Features ohne hinblick auf Security gebaut
    > werden ist lange vorbei

    Du hast wohl dem Falschen geantwortet. Der von Schattenwerk beschriebene Angriff funktioniert seit Jahren und wird auch in Zukunft funktionieren. Aufgrund des Konzeptes ist er aber eher wurstig – die meisten HTTP-Clients von Nutzern sind so eingestellt, dass sie Referer mitliefern, damit lässt sich die Quelle des Angriffe schnell feststellen, benachrichtigen und das Ganze wird beendet.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  10. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: Haxx 18.05.13 - 09:56

    Du meinst das ein httprequest von einer host per JavaScript auf dem client auf einem anderen host gemacht wird? Das wird durch CSP verhindert.

  11. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: GodsBoss 18.05.13 - 10:14

    > Du meinst das ein httprequest von einer host per JavaScript auf dem client
    > auf einem anderen host gemacht wird? Das wird durch CSP verhindert.

    Es geht um das von Schattenwerk skizzierte Szenario.
    Teilnehmer: Werbenetzwerk W, werbende Seite S, Opfer der Attacke O und Benutzer B

    W wird befallen und manipuliert. B besucht S, dass Code von W einbindet. Statt des üblichen Werbecodes kommt aber Code, der einfach ein Bild (heimlich) von O einbindet. Der Browser von B setzt also einen HTTP-Request an O ab.

    Wenn ich CSP richtig verstanden habe, kann S entsprechende Policies einbinden, die das verhindern. O hat hingegen, falls S das nicht getan hat, keine Möglichkeit, die DDoS-Attacke zu verhindern.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Giesecke+Devrient Currency Technology GmbH, München
  2. BWI GmbH, Bonn
  3. Conduent, Poole (England)
  4. Trianel GmbH, Aachen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. 3,99€
  3. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Projektmanagement: An der falschen Stelle automatisiert
    Projektmanagement
    An der falschen Stelle automatisiert

    Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
    Ein Erfahrungsbericht von Marvin Engel


      Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
      Ada und Spark
      Mehr Sicherheit durch bessere Programmiersprachen

      Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
      Von Johannes Kanig

      1. Das andere How-to Deutsch lernen für Programmierer
      2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
      3. Software-Entwickler Welche Programmiersprache soll ich lernen?

      1. Graue Flecken: Kabelnetzbetreiber fürchten Überbauen durch gefördertes Glas
        Graue Flecken
        Kabelnetzbetreiber fürchten Überbauen durch gefördertes Glas

        Die Förderung des Ausbaus in grauen Flecken, wo schon ein Netzbetreiber Anschlüsse mit mindestens 30 MBit/s anbietet, alarmiert die Kabelnetzbetreiber. Sie fürchten einen Überbau mit Glasfaser, obwohl Koaxialkabel Gigabitdatenraten liefern kann.

      2. Störung: Google Kalender war weltweit ausgefallen
        Störung
        Google Kalender war weltweit ausgefallen

        Google hatte ein größeres Problem mit seinem Kalender: Nutzer berichteten, dass die Funktion weltweit ausgefallen war. Die Webseite und die Synchronisation zu mobilen Apps waren ausgefallen, mittlerweile scheint aber wieder alles zu funktionieren.

      3. Netzbau: United Internet vor finalen Gesprächen mit 5G-Ausrüstern
        Netzbau
        United Internet vor finalen Gesprächen mit 5G-Ausrüstern

        United Internet sucht sich gegenwärtig einen 5G-Netzausrüster, die finalen Gespräche haben noch nicht begonnen. Doch ab wann kann das neu versteigerte Spektrum eigentlich genutzt werden?


      1. 18:14

      2. 17:13

      3. 17:01

      4. 16:39

      5. 16:24

      6. 15:55

      7. 14:52

      8. 13:50