1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Javascript-Code…

Das zugrundeliegende Problem ist letztendlich

  1. Thema

Neues Thema Ansicht wechseln


  1. Das zugrundeliegende Problem ist letztendlich

    Autor: Ovaron 03.11.14 - 17:12

    >Das zugrundeliegende Problem ist letztendlich, dass
    >Browser Javascript-Code auch dann ausführen,

    Näk. Falsch. Das zugrunde liegende Problem ist letztendlich das Browser auch Javascript-Code ausführen wo es gar nicht notwendig ist.

    Ernsthafte Frage daher: Kann NoScript die Attacke abwehren?

  2. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: Nightdive 03.11.14 - 17:24

    Ovaron schrieb:

    > Ernsthafte Frage daher: Kann NoScript die Attacke abwehren?

    Noscript für Firefox ?
    Gecko ist von dem sniffing Problem nicht betroffen, im gegensatz zu anderen Browserengines

  3. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: hannob (golem.de) 03.11.14 - 19:27

    Firefox ist sehr wohl von dem sniffing-Problem betroffen, sogar noch stärker weil es den nosniff-header bisher nicht unterstützt. (Ich hab einen kleinen test: http://gifjs.tlsfun.de )

    Zur Frage wegen NoScript: Das ist ganz interessant, das implementiert nämlich den nosniff-Header für Firefox - auch wenn man Javascript zulässt. Das hatte ich erst nachdem der Artikel schon geschrieben war gesehen.

  4. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: FibreFoX 03.11.14 - 20:14

    Also irgendwie steh ich auf dem Schlauch, bei mir (Firefox 34) ist bisher kein für mich unnormales Verhalten festzustellen (application/x-javascript und text/plain funktionieren). Dass der Browser nicht so genau auf den MIME-type vom Server schaut, liegt ja wohl an 2 Dingen:
    1. es gibt viele falsch konfigurierte Web-Server
    2. allgemeine Fehlertolleranz

    Was ist nun wichtiger? Dass der Server richtig eingestellt werden muss (gerade bei ALT-Software eine interessante Anforderung), oder dass der Browser schnell und "wie gewünscht" arbeitet?! Genau: der Browser muss für die Schlamperei alles ausbaden!

    Das ist das gleiche wie mit dem <script>-Tag, hier achtet eh kein vernünftiger Browser drauf, was dort steht.

    Und als nächstes kommt bestimmt die Forderung, dass jede ausgelieferte Seite mit ".html" enden muss, hm?

  5. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: M. 03.11.14 - 20:48

    Das wäre das schöne am XHTML-Neuanfang gewesen, man hätte endlich Browser bauen können, die bei Fehlern auch hart failen und nicht versuchen, alles durch einen Tagsoup-Parser zu drehen und irgendwie zu interpretieren, wie es *möglicherweise* gemeint gewesen sein *könnte*. HTML5 hingegen führt noch mehr Toleranzen und Ausnahmen ein als schon in HTML4 drin waren.

    Von mir aus kann sich ein Browser auch 'kompatibel' verhalten, wenn ein veralteter oder ein Transitional-DOCTYPE angegeben wird. Allerdings sollte es auch einen wirklich strikten Strict-Modus geben, der solche Fehler (und auch z.B. ungültiges Markup) nicht einfach blind ignoriert, sondern in solchen Fällen abbricht. Das über verschiedene HTML-Header zu lösen, halte ich zwar eher für eine Krücke, aber immerhin. Besser wäre, wenn man über einen HTML-Header oder einen DOCTYPE den Browser anweisen könnte, für eine Seite *alles* 'pragmatische', 'kompatible' Verhalten zu deaktivieren und bei Abweichungen vom Standard sofort mit einer Fehlermeldung abzubrechen. Das wäre auch beim Entwickeln ganz hilfreich.



    1 mal bearbeitet, zuletzt am 03.11.14 20:50 durch M..

  6. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: neustart 03.11.14 - 22:20

    M. schrieb:
    --------------------------------------------------------------------------------
    > Das wäre das schöne am XHTML-Neuanfang gewesen...

    Jap, hab ich auch gedacht. Wenn man die Sicherheitsschlacht irgendwie bewältigen will, kommt man um harte Standards nicht herum. Es ist schon schwer die üblichen Fehler in der Fertigung von Software zu vermeiden.

    Weiche Konzepte erschweren alles nur noch mehr... unterstützen sie doch vor allem eines: den menschlichen "Faktor" Bequemlichkeit der wiederum dazu einlädt schluderig zu arbeiten bzw. sich dem Zeitdruck zu schnell zu beugen, um dann doch nicht genug zu Testen.

    Wenn es gar nicht erst funktioniert, sondern siuch einfach verweigert, muss man sauber arbeiten.



    1 mal bearbeitet, zuletzt am 03.11.14 22:23 durch neustart.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Stadtverwaltung Eisenach, Eisenach
  2. DENIC Services GmbH & Co. KG, Darmstadt
  3. STRABAG BRVZ GMBH & CO.KG, Stuttgart
  4. Madsack Market Solutions GmbH, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-10%) 35,99€
  2. 14,99€
  3. 2,79
  4. 37,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Magenta-TV-Stick im Test: Android-TV-Stick gleicht Magenta-TV-Schwächen nicht aus
Magenta-TV-Stick im Test
Android-TV-Stick gleicht Magenta-TV-Schwächen nicht aus

Eine bequeme Nutzung von Magenta TV verspricht die Telekom mit dem Magenta-TV-Stick. Wir haben uns die Hardware angeschaut und dabei auch einen Blick auf Magenta TV geworfen. Der Dienst hat uns derzeit noch zu viele Schwächen.
Ein Test von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Erneuerbare Energien: Windkraft in Luft speichern
Erneuerbare Energien
Windkraft in Luft speichern

In Zukunft wird es mehr Strom aus Windkraft geben. Weil die Anlagen aber nicht kontinuierlich liefern, werden Stromspeicher immer wichtiger. Batterien sind eine Möglichkeit, das britische Startup Highview Power hat jedoch eine andere gefunden: flüssige Luft.
Ein Bericht von Wolfgang Kempkens

  1. Energiewende Norddeutschland wird H
  2. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  3. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

  1. Sicherheitslücken: L1DES und VRS machen Intel-Chips angreifbar
    Sicherheitslücken
    L1DES und VRS machen Intel-Chips angreifbar

    Neue Attacken per Microarchitectural Data Sampling (MDS) treffen Intel-Prozessoren: Bei L1DES alias Cache Out ist der L1-Puffer das Ziel, bei VRS werden Vector-Register ausgenutzt. Intel arbeitet an Microcode-Updates.

  2. Gute Nacht: Spielen und schlafen im Atari Hotel
    Gute Nacht
    Spielen und schlafen im Atari Hotel

    Der Ruf von Atari bei Gamern ist mindestens angeschlagen, trotzdem sind Spieler die Hauptzielgruppe für eine neue Hotelkette. Vorerst sind acht Häuser in den USA geplant, zumindest einige sollen Platz für E-Sport-Veranstaltungen bieten.

  3. Chris Lattner: LLVM-Gründer wechselt zu RISC-V-Spezialist
    Chris Lattner
    LLVM-Gründer wechselt zu RISC-V-Spezialist

    Der Gründer des Compiler-Projekts LLVM, Chris Lattner, ist künftig für das Platform Engineering der RISC-V-Spezialisten Sifive zuständig. Zuvor war Lattner bei Apple, Tesla und Google.


  1. 10:49

  2. 10:32

  3. 09:52

  4. 09:00

  5. 07:45

  6. 07:30

  7. 07:14

  8. 06:29