Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Malware auf jQuery…

https

  1. Thema

Neues Thema Ansicht wechseln


  1. https

    Autor: lestard 24.09.14 - 17:05

    "Das ist einer der Gründe, warum es sich auch für Webseiten ohne sensible Daten, die nur gelesen werden, lohnen kann, mittels HTTPS die Sicherheit zu erhöhen."

    Und trotzdem ist https://www.golem.de nicht möglich.

  2. Re: https

    Autor: TheUnichi 25.09.14 - 09:05

    Völlig egal. Golem läd alle 3rd-Party Scripts via HTTPS, die hier nachgeladen werden.
    Die restlichen liegen auf dem golem.de-Space

    Bis auf die öffentlichen Kommentare hier im Forum, die nicht wirklich sensibel, da von jedem einsehbar sind, werden da auch erst bei Golem-Plus sensible Daten übertragen.

    Wenn du oben auf Abo klickst, nutzt er HTTPS.

    Dauert 4 Minuten, das mal schnell selbst via Konsole und Quelltext zu checken.

  3. Re: https

    Autor: lestard 25.09.14 - 10:20

    Wenn das HTML über eine unverschlüsselte Leitung geht wäre es doch denkbar, dass jemand per man-in-the-middle dort sein eigenes Script-Tag einträgt und mir damit ein ungewolltes JavaScript unterschiebt. Dieses Script kann der Angreifer dann gerne auch wieder per https laden lassen aber das macht es dann ja nicht besser.
    Sowas kann man natürlich per Konsole und Quelltext rausbekommen, aber man möchte ja nicht jedes mal alles checken.

    Würde sofort https funktionieren, wäre diese Art von Angriff zumindest ausgeschlossen/unwahrscheinlicher.

  4. Re: https

    Autor: TheUnichi 25.09.14 - 12:37

    lestard schrieb:
    --------------------------------------------------------------------------------
    > Wenn das HTML über eine unverschlüsselte Leitung geht wäre es doch denkbar,
    > dass jemand per man-in-the-middle dort sein eigenes Script-Tag einträgt und
    > mir damit ein ungewolltes JavaScript unterschiebt. Dieses Script kann der
    > Angreifer dann gerne auch wieder per https laden lassen aber das macht es
    > dann ja nicht besser.
    > Sowas kann man natürlich per Konsole und Quelltext rausbekommen, aber man
    > möchte ja nicht jedes mal alles checken.
    >
    > Würde sofort https funktionieren, wäre diese Art von Angriff zumindest
    > ausgeschlossen/unwahrscheinlicher.

    Dann könnte man ja auch einfach den gesamten Quelltext während einer Man-in-The-Middle Attack austauschen und hätte auch bei HTTPS dasselbe Ergebnis

  5. Re: https

    Autor: lestard 25.09.14 - 12:59

    Bei HTTPS bekomme ich als Angreifer in der Mitte den Quelltext ja gar nicht zu gesicht. Das ist ja die Idee hinter HTTPS. Ich sehe nur Datensalat. Und die Datenintegrität wird ja durch HTTPS auch gesichert.

  6. Re: https

    Autor: TheUnichi 26.09.14 - 14:44

    lestard schrieb:
    --------------------------------------------------------------------------------
    > Bei HTTPS bekomme ich als Angreifer in der Mitte den Quelltext ja gar nicht
    > zu gesicht. Das ist ja die Idee hinter HTTPS. Ich sehe nur Datensalat. Und
    > die Datenintegrität wird ja durch HTTPS auch gesichert.

    Warum, greift Man-in-the-Middle in HTTP ein?
    Du kannst damit den gesamten Datentransfer modifizieren, nicht nur den HTTP Body.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. JDM Innovation GmbH, Murr bei Ludwigsburg
  2. Biotrics Bioimplants GmbH, Berlin
  3. Bayerische Versorgungskammer, München
  4. Hays AG, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Recruiting: Wenn das eigene Wachstum zur Herausforderung wird
Recruiting
Wenn das eigene Wachstum zur Herausforderung wird

Gerade im IT-Bereich können Unternehmen sehr schnell wachsen. Dabei können der Fachkräftemangel und das schnelle Onboarding von neuen Mitarbeitern zum Problem werden. Wir haben uns bei kleinen Startups und Großkonzernen umgehört, wie sie in so einer Situation mit den Herausforderungen umgehen.
Von Robert Meyer

  1. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  2. LoL Was ein E-Sport-Trainer können muss
  3. IT-Arbeit Was fürs Auge

E-Auto: Byton zeigt die Produktionsversion des M-Byte
E-Auto
Byton zeigt die Produktionsversion des M-Byte

IAA 2019 Die Premiere von Byton in Frankfurt ist überraschend. Da der M-Byte im kommenden Jahr in China startet, ist die Vorstellung des produktionsreifen Elektroautos in Deutschland etwas Besonderes.
Ein Bericht von Dirk Kunde


    MX Series im Hands on: Logitechs edle Eingabegeräte
    MX Series im Hands on
    Logitechs edle Eingabegeräte

    Beleuchtet, tolles Tippgefühl und kabellos, dazu eine Maus mit magnetischem Schweizer Präzisionsrad: Logitech hat neue Eingabegeräte für seine Premium-Reihe veröffentlicht - beide unterstützen USB Typ C. Golem.de konnte MX Keys und MX Master 3 unter Windows und MacOS bereits ausprobieren.
    Ein Hands on von Peter Steinlechner

    1. Unifying Sicherheitsupdate für Logitech-Tastaturen umgangen
    2. Gaming Logitech bringt mechanische Tastaturen mit flachen Schaltern
    3. Logitacker Kabellose Logitech-Tastaturen leicht zu hacken

    1. Elektromobilität: Stromwirtschaft will keine Million öffentlicher Ladesäulen
      Elektromobilität
      Stromwirtschaft will keine Million öffentlicher Ladesäulen

      Verkehrsminister Scheuer will günstige Elektroautos stärker fördern, Vizekanzler Olaf Scholz fordert "so was wie ein Eine-Million-Ladesäulen-Programm". Doch die Stromversorger warnen vor einer "überdimensionierten Ladeinfrastruktur".

    2. Saudi-Arabien: Drohnenangriffe legen halbe Erdölproduktion lahm
      Saudi-Arabien
      Drohnenangriffe legen halbe Erdölproduktion lahm

      Drohnen aus dem Jemen sollen die wichtigste Erdölraffinerie Saudi-Arabiens in Brand gesetzt haben. Die USA beschuldigen den Iran, die Huthi-Rebellen mit der Waffentechnik ausgerüstet zu haben.

    3. Biografie erscheint: Union lehnt Asyl für Snowden weiter ab
      Biografie erscheint
      Union lehnt Asyl für Snowden weiter ab

      US-Whistleblower Edward Snowden hätte weiterhin nichts dagegen, Russland in Richtung Deutschland zu verlassen. Doch Schutz vor einer Auslieferung in die USA kann er hierzulande nicht erwarten.


    1. 14:21

    2. 12:41

    3. 11:39

    4. 15:47

    5. 15:11

    6. 14:49

    7. 13:52

    8. 13:25