Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Javascript-Code…

Das zugrundeliegende Problem ist letztendlich

  1. Thema

Neues Thema Ansicht wechseln


  1. Das zugrundeliegende Problem ist letztendlich

    Autor: Ovaron 03.11.14 - 17:12

    >Das zugrundeliegende Problem ist letztendlich, dass
    >Browser Javascript-Code auch dann ausführen,

    Näk. Falsch. Das zugrunde liegende Problem ist letztendlich das Browser auch Javascript-Code ausführen wo es gar nicht notwendig ist.

    Ernsthafte Frage daher: Kann NoScript die Attacke abwehren?

  2. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: Nightdive 03.11.14 - 17:24

    Ovaron schrieb:

    > Ernsthafte Frage daher: Kann NoScript die Attacke abwehren?

    Noscript für Firefox ?
    Gecko ist von dem sniffing Problem nicht betroffen, im gegensatz zu anderen Browserengines

  3. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: hannob (golem.de) 03.11.14 - 19:27

    Firefox ist sehr wohl von dem sniffing-Problem betroffen, sogar noch stärker weil es den nosniff-header bisher nicht unterstützt. (Ich hab einen kleinen test: http://gifjs.tlsfun.de )

    Zur Frage wegen NoScript: Das ist ganz interessant, das implementiert nämlich den nosniff-Header für Firefox - auch wenn man Javascript zulässt. Das hatte ich erst nachdem der Artikel schon geschrieben war gesehen.

  4. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: FibreFoX 03.11.14 - 20:14

    Also irgendwie steh ich auf dem Schlauch, bei mir (Firefox 34) ist bisher kein für mich unnormales Verhalten festzustellen (application/x-javascript und text/plain funktionieren). Dass der Browser nicht so genau auf den MIME-type vom Server schaut, liegt ja wohl an 2 Dingen:
    1. es gibt viele falsch konfigurierte Web-Server
    2. allgemeine Fehlertolleranz

    Was ist nun wichtiger? Dass der Server richtig eingestellt werden muss (gerade bei ALT-Software eine interessante Anforderung), oder dass der Browser schnell und "wie gewünscht" arbeitet?! Genau: der Browser muss für die Schlamperei alles ausbaden!

    Das ist das gleiche wie mit dem <script>-Tag, hier achtet eh kein vernünftiger Browser drauf, was dort steht.

    Und als nächstes kommt bestimmt die Forderung, dass jede ausgelieferte Seite mit ".html" enden muss, hm?

    ----
    www.dynamicfiles.de - Projekt- und Portfolio-Seite

  5. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: M. 03.11.14 - 20:48

    Das wäre das schöne am XHTML-Neuanfang gewesen, man hätte endlich Browser bauen können, die bei Fehlern auch hart failen und nicht versuchen, alles durch einen Tagsoup-Parser zu drehen und irgendwie zu interpretieren, wie es *möglicherweise* gemeint gewesen sein *könnte*. HTML5 hingegen führt noch mehr Toleranzen und Ausnahmen ein als schon in HTML4 drin waren.

    Von mir aus kann sich ein Browser auch 'kompatibel' verhalten, wenn ein veralteter oder ein Transitional-DOCTYPE angegeben wird. Allerdings sollte es auch einen wirklich strikten Strict-Modus geben, der solche Fehler (und auch z.B. ungültiges Markup) nicht einfach blind ignoriert, sondern in solchen Fällen abbricht. Das über verschiedene HTML-Header zu lösen, halte ich zwar eher für eine Krücke, aber immerhin. Besser wäre, wenn man über einen HTML-Header oder einen DOCTYPE den Browser anweisen könnte, für eine Seite *alles* 'pragmatische', 'kompatible' Verhalten zu deaktivieren und bei Abweichungen vom Standard sofort mit einer Fehlermeldung abzubrechen. Das wäre auch beim Entwickeln ganz hilfreich.



    1 mal bearbeitet, zuletzt am 03.11.14 20:50 durch M..

  6. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: neustart 03.11.14 - 22:20

    M. schrieb:
    --------------------------------------------------------------------------------
    > Das wäre das schöne am XHTML-Neuanfang gewesen...

    Jap, hab ich auch gedacht. Wenn man die Sicherheitsschlacht irgendwie bewältigen will, kommt man um harte Standards nicht herum. Es ist schon schwer die üblichen Fehler in der Fertigung von Software zu vermeiden.

    Weiche Konzepte erschweren alles nur noch mehr... unterstützen sie doch vor allem eines: den menschlichen "Faktor" Bequemlichkeit der wiederum dazu einlädt schluderig zu arbeiten bzw. sich dem Zeitdruck zu schnell zu beugen, um dann doch nicht genug zu Testen.

    Wenn es gar nicht erst funktioniert, sondern siuch einfach verweigert, muss man sauber arbeiten.



    1 mal bearbeitet, zuletzt am 03.11.14 22:23 durch neustart.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Conduent, Poole (England)
  2. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  3. Transdev GmbH, Berlin
  4. CHECK24 Services GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 259€ + Versand oder kostenlose Marktabholung
  2. 72,99€ (Release am 19. September)
  3. 294€
  4. 245,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. Sindelfingen Mercedes und Telefónica Deutschland errichten 5G-Netz
  2. iPhone-Modem Apple will Intels deutsches 5G-Team übernehmen
  3. Bundesnetzagentur Mobilfunkbetreiber vermissen Chefplaner bei 5G-Auktion

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


    5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
    5G-Auktion
    Warum der Preis der 5G-Frequenzen so hoch war

    Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
    Eine Analyse von Achim Sawall

    1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
    2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
    3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

    1. Energiespeicher: Heiße Steine sind effizienter als Brennstoffzellen
      Energiespeicher
      Heiße Steine sind effizienter als Brennstoffzellen

      30 Megawattstunden Strom soll ein Speicher in 1.000 Tonnen Vulkangestein speichern können. Die einfache Technologie ist mit 45 Prozent Effizienz besser als die Speicherung mit Wasserstoff und Brennstoffzelle. Was würde das für die Energiewende bedeuten?

    2. Amazon: Neuer Kindle Oasis kommt mit verstellbarer Farbtemperatur
      Amazon
      Neuer Kindle Oasis kommt mit verstellbarer Farbtemperatur

      Amazons neue Version seines Edel-Readers Kindle Oasis sieht aus wie der Vorgänger, das Display wurde allerdings verbessert. Nutzer können jetzt automatisch die Farbtemperatur der Displaybeleuchtung an die Umgebung anpassen lassen. Die Preise bleiben gleich.

    3. Libra: Politiker kritisieren Facebooks Kryptowährung
      Libra
      Politiker kritisieren Facebooks Kryptowährung

      Facebooks Pläne zur Einführung der Kryptowährung Libra sollen besser kontrolliert oder sogar ausgesetzt werden, lauten die Forderungen von Politikern aus den USA und Europa. Erst sollten mögliche Probleme geklärt werden.


    1. 16:46

    2. 16:22

    3. 15:18

    4. 15:00

    5. 14:46

    6. 14:26

    7. 14:12

    8. 13:09