1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Javascript-Code…

Das zugrundeliegende Problem ist letztendlich

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Das zugrundeliegende Problem ist letztendlich

    Autor: Ovaron 03.11.14 - 17:12

    >Das zugrundeliegende Problem ist letztendlich, dass
    >Browser Javascript-Code auch dann ausführen,

    Näk. Falsch. Das zugrunde liegende Problem ist letztendlich das Browser auch Javascript-Code ausführen wo es gar nicht notwendig ist.

    Ernsthafte Frage daher: Kann NoScript die Attacke abwehren?

  2. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: Nightdive 03.11.14 - 17:24

    Ovaron schrieb:

    > Ernsthafte Frage daher: Kann NoScript die Attacke abwehren?

    Noscript für Firefox ?
    Gecko ist von dem sniffing Problem nicht betroffen, im gegensatz zu anderen Browserengines

  3. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: hab (Golem.de) 03.11.14 - 19:27

    Firefox ist sehr wohl von dem sniffing-Problem betroffen, sogar noch stärker weil es den nosniff-header bisher nicht unterstützt. (Ich hab einen kleinen test: http://gifjs.tlsfun.de )

    Zur Frage wegen NoScript: Das ist ganz interessant, das implementiert nämlich den nosniff-Header für Firefox - auch wenn man Javascript zulässt. Das hatte ich erst nachdem der Artikel schon geschrieben war gesehen.

  4. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: FibreFoX 03.11.14 - 20:14

    Also irgendwie steh ich auf dem Schlauch, bei mir (Firefox 34) ist bisher kein für mich unnormales Verhalten festzustellen (application/x-javascript und text/plain funktionieren). Dass der Browser nicht so genau auf den MIME-type vom Server schaut, liegt ja wohl an 2 Dingen:
    1. es gibt viele falsch konfigurierte Web-Server
    2. allgemeine Fehlertolleranz

    Was ist nun wichtiger? Dass der Server richtig eingestellt werden muss (gerade bei ALT-Software eine interessante Anforderung), oder dass der Browser schnell und "wie gewünscht" arbeitet?! Genau: der Browser muss für die Schlamperei alles ausbaden!

    Das ist das gleiche wie mit dem <script>-Tag, hier achtet eh kein vernünftiger Browser drauf, was dort steht.

    Und als nächstes kommt bestimmt die Forderung, dass jede ausgelieferte Seite mit ".html" enden muss, hm?

  5. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: M. 03.11.14 - 20:48

    Das wäre das schöne am XHTML-Neuanfang gewesen, man hätte endlich Browser bauen können, die bei Fehlern auch hart failen und nicht versuchen, alles durch einen Tagsoup-Parser zu drehen und irgendwie zu interpretieren, wie es *möglicherweise* gemeint gewesen sein *könnte*. HTML5 hingegen führt noch mehr Toleranzen und Ausnahmen ein als schon in HTML4 drin waren.

    Von mir aus kann sich ein Browser auch 'kompatibel' verhalten, wenn ein veralteter oder ein Transitional-DOCTYPE angegeben wird. Allerdings sollte es auch einen wirklich strikten Strict-Modus geben, der solche Fehler (und auch z.B. ungültiges Markup) nicht einfach blind ignoriert, sondern in solchen Fällen abbricht. Das über verschiedene HTML-Header zu lösen, halte ich zwar eher für eine Krücke, aber immerhin. Besser wäre, wenn man über einen HTML-Header oder einen DOCTYPE den Browser anweisen könnte, für eine Seite *alles* 'pragmatische', 'kompatible' Verhalten zu deaktivieren und bei Abweichungen vom Standard sofort mit einer Fehlermeldung abzubrechen. Das wäre auch beim Entwickeln ganz hilfreich.



    1 mal bearbeitet, zuletzt am 03.11.14 20:50 durch M..

  6. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: neustart 03.11.14 - 22:20

    M. schrieb:
    --------------------------------------------------------------------------------
    > Das wäre das schöne am XHTML-Neuanfang gewesen...

    Jap, hab ich auch gedacht. Wenn man die Sicherheitsschlacht irgendwie bewältigen will, kommt man um harte Standards nicht herum. Es ist schon schwer die üblichen Fehler in der Fertigung von Software zu vermeiden.

    Weiche Konzepte erschweren alles nur noch mehr... unterstützen sie doch vor allem eines: den menschlichen "Faktor" Bequemlichkeit der wiederum dazu einlädt schluderig zu arbeiten bzw. sich dem Zeitdruck zu schnell zu beugen, um dann doch nicht genug zu Testen.

    Wenn es gar nicht erst funktioniert, sondern siuch einfach verweigert, muss man sauber arbeiten.



    1 mal bearbeitet, zuletzt am 03.11.14 22:23 durch neustart.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Haufe Group, Hannover, Freiburg
  2. über grinnberg GmbH, Frankfurt am Main
  3. Marc Cain GmbH, Bodelshausen
  4. mahl gebhard konzepte Landschaftsarchitekten BDLA Stadtplaner Partnerschaftsgesellschaft mbB, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. be quiet! SILENT BASE 802 White für 129,90€ + 6,99€ Versand)
  2. (u. a. LG OLED77CX6LA 77 Zoll OLED für 2.899€, LG 43UP75009LF 43 Zoll LCD für 399€)
  3. (u. a. Planet Zoo - Deluxe Edition für 19,49€, SnowRunner - Epic Games Store Key für 26,99€)
  4. (u. a. Mad Games Tycoon für 6,50€, Transport Fever 2 für 21€, Shadow Tactics: Blades of the...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme