Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Malware auf jQuery…

https

  1. Thema

Neues Thema Ansicht wechseln


  1. https

    Autor: lestard 24.09.14 - 17:05

    "Das ist einer der Gründe, warum es sich auch für Webseiten ohne sensible Daten, die nur gelesen werden, lohnen kann, mittels HTTPS die Sicherheit zu erhöhen."

    Und trotzdem ist https://www.golem.de nicht möglich.

  2. Re: https

    Autor: TheUnichi 25.09.14 - 09:05

    Völlig egal. Golem läd alle 3rd-Party Scripts via HTTPS, die hier nachgeladen werden.
    Die restlichen liegen auf dem golem.de-Space

    Bis auf die öffentlichen Kommentare hier im Forum, die nicht wirklich sensibel, da von jedem einsehbar sind, werden da auch erst bei Golem-Plus sensible Daten übertragen.

    Wenn du oben auf Abo klickst, nutzt er HTTPS.

    Dauert 4 Minuten, das mal schnell selbst via Konsole und Quelltext zu checken.

  3. Re: https

    Autor: lestard 25.09.14 - 10:20

    Wenn das HTML über eine unverschlüsselte Leitung geht wäre es doch denkbar, dass jemand per man-in-the-middle dort sein eigenes Script-Tag einträgt und mir damit ein ungewolltes JavaScript unterschiebt. Dieses Script kann der Angreifer dann gerne auch wieder per https laden lassen aber das macht es dann ja nicht besser.
    Sowas kann man natürlich per Konsole und Quelltext rausbekommen, aber man möchte ja nicht jedes mal alles checken.

    Würde sofort https funktionieren, wäre diese Art von Angriff zumindest ausgeschlossen/unwahrscheinlicher.

  4. Re: https

    Autor: TheUnichi 25.09.14 - 12:37

    lestard schrieb:
    --------------------------------------------------------------------------------
    > Wenn das HTML über eine unverschlüsselte Leitung geht wäre es doch denkbar,
    > dass jemand per man-in-the-middle dort sein eigenes Script-Tag einträgt und
    > mir damit ein ungewolltes JavaScript unterschiebt. Dieses Script kann der
    > Angreifer dann gerne auch wieder per https laden lassen aber das macht es
    > dann ja nicht besser.
    > Sowas kann man natürlich per Konsole und Quelltext rausbekommen, aber man
    > möchte ja nicht jedes mal alles checken.
    >
    > Würde sofort https funktionieren, wäre diese Art von Angriff zumindest
    > ausgeschlossen/unwahrscheinlicher.

    Dann könnte man ja auch einfach den gesamten Quelltext während einer Man-in-The-Middle Attack austauschen und hätte auch bei HTTPS dasselbe Ergebnis

  5. Re: https

    Autor: lestard 25.09.14 - 12:59

    Bei HTTPS bekomme ich als Angreifer in der Mitte den Quelltext ja gar nicht zu gesicht. Das ist ja die Idee hinter HTTPS. Ich sehe nur Datensalat. Und die Datenintegrität wird ja durch HTTPS auch gesichert.

  6. Re: https

    Autor: TheUnichi 26.09.14 - 14:44

    lestard schrieb:
    --------------------------------------------------------------------------------
    > Bei HTTPS bekomme ich als Angreifer in der Mitte den Quelltext ja gar nicht
    > zu gesicht. Das ist ja die Idee hinter HTTPS. Ich sehe nur Datensalat. Und
    > die Datenintegrität wird ja durch HTTPS auch gesichert.

    Warum, greift Man-in-the-Middle in HTTP ein?
    Du kannst damit den gesamten Datentransfer modifizieren, nicht nur den HTTP Body.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Berliner Verkehrsbetriebe (BVG), Berlin
  2. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  3. ADAC IT Service GmbH, München
  4. OEDIV KG, Bielefeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 32,99€
  2. (-83%) 9,99€
  3. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minecraft Earth angespielt: Die Invasion der Klötzchen
Minecraft Earth angespielt
Die Invasion der Klötzchen

Kämpfe mit Skeletten im Stadtpark, Begegnungen mit Schweinchen im Einkaufszentrum: Golem.de hat Minecraft Earth ausprobiert. Trotz Sammelaspekten hat das AR-Spiel ein ganz anderes Konzept als Pokémon Go - aber spannend ist es ebenfalls.
Von Peter Steinlechner

  1. Microsoft Minecraft hat 112 Millionen Spieler im Monat
  2. Machine Learning Facebooks KI-Assistent hilft beim Bau von Minecraft-Werken
  3. Nvidia Minecraft bekommt Raytracing statt Super-Duper-Grafik

WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Teamviewer: Ein schwäbisches Digitalwunder
Teamviewer
Ein schwäbisches Digitalwunder

Team wer? Eine schwäbische Softwarefirma hilft weltweit, per Fernzugriff Computer zu reparieren. Nun geht Teamviewer an die Börse - mit einer Milliardenbewertung.
Ein Bericht von Lisa Hegemann

  1. Fernwartungssoftware Permiras Teamviewer erhofft sich 5 Milliarden Euro Bewertung

  1. China: Internetanschluss oder Telefonnummer nur gegen Gesichtsscan
    China
    Internetanschluss oder Telefonnummer nur gegen Gesichtsscan

    In China soll es ab Dezember Telefonnummern oder Internet-Anschlüsse nur noch mit Identitätsfeststellung per Gesichtserkennung geben. Eine entsprechende Regelung wurde kürzlich erlassen und soll auch für bereits registrierte Anschlüsse gelten.

  2. Nach Attentat in Halle: Seehofer möchte "Gamerszene" stärker kontrollieren
    Nach Attentat in Halle
    Seehofer möchte "Gamerszene" stärker kontrollieren

    Nach dem rechtsextremistisch motivierten Attentat in Halle gibt Bundesinnenminister Horst Seehofer in einem Interview der "Gamerszene" eine Mitschuld und kündigte mehr Überwachung an. Kritiker werfen ihm eine Verharmlosung des Rechtsextremismus und Inkompetenz vor.

  3. Siri: Apple will Sprachbefehle wieder auswerten
    Siri
    Apple will Sprachbefehle wieder auswerten

    Nach einem weltweiten Stopp möchte Apple die Sprachbefehle der Siri-Nutzer wieder auswerten - diesmal jedoch mit expliziter Zustimmung durch den Nutzer. Das gilt allerdings nur für Audioaufnahmen, die in Text umgewandelten Mitschnitte möchte Apple weiter ungefragt auswerten.


  1. 15:37

  2. 15:15

  3. 12:56

  4. 15:15

  5. 13:51

  6. 12:41

  7. 22:35

  8. 16:49