1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Javascript-Code…

Das zugrundeliegende Problem ist letztendlich

  1. Thema

Neues Thema Ansicht wechseln


  1. Das zugrundeliegende Problem ist letztendlich

    Autor: Ovaron 03.11.14 - 17:12

    >Das zugrundeliegende Problem ist letztendlich, dass
    >Browser Javascript-Code auch dann ausführen,

    Näk. Falsch. Das zugrunde liegende Problem ist letztendlich das Browser auch Javascript-Code ausführen wo es gar nicht notwendig ist.

    Ernsthafte Frage daher: Kann NoScript die Attacke abwehren?

  2. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: Nightdive 03.11.14 - 17:24

    Ovaron schrieb:

    > Ernsthafte Frage daher: Kann NoScript die Attacke abwehren?

    Noscript für Firefox ?
    Gecko ist von dem sniffing Problem nicht betroffen, im gegensatz zu anderen Browserengines

  3. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: hannob (golem.de) 03.11.14 - 19:27

    Firefox ist sehr wohl von dem sniffing-Problem betroffen, sogar noch stärker weil es den nosniff-header bisher nicht unterstützt. (Ich hab einen kleinen test: http://gifjs.tlsfun.de )

    Zur Frage wegen NoScript: Das ist ganz interessant, das implementiert nämlich den nosniff-Header für Firefox - auch wenn man Javascript zulässt. Das hatte ich erst nachdem der Artikel schon geschrieben war gesehen.

  4. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: FibreFoX 03.11.14 - 20:14

    Also irgendwie steh ich auf dem Schlauch, bei mir (Firefox 34) ist bisher kein für mich unnormales Verhalten festzustellen (application/x-javascript und text/plain funktionieren). Dass der Browser nicht so genau auf den MIME-type vom Server schaut, liegt ja wohl an 2 Dingen:
    1. es gibt viele falsch konfigurierte Web-Server
    2. allgemeine Fehlertolleranz

    Was ist nun wichtiger? Dass der Server richtig eingestellt werden muss (gerade bei ALT-Software eine interessante Anforderung), oder dass der Browser schnell und "wie gewünscht" arbeitet?! Genau: der Browser muss für die Schlamperei alles ausbaden!

    Das ist das gleiche wie mit dem <script>-Tag, hier achtet eh kein vernünftiger Browser drauf, was dort steht.

    Und als nächstes kommt bestimmt die Forderung, dass jede ausgelieferte Seite mit ".html" enden muss, hm?

    ----
    www.dynamicfiles.de - Projekt- und Portfolio-Seite

  5. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: M. 03.11.14 - 20:48

    Das wäre das schöne am XHTML-Neuanfang gewesen, man hätte endlich Browser bauen können, die bei Fehlern auch hart failen und nicht versuchen, alles durch einen Tagsoup-Parser zu drehen und irgendwie zu interpretieren, wie es *möglicherweise* gemeint gewesen sein *könnte*. HTML5 hingegen führt noch mehr Toleranzen und Ausnahmen ein als schon in HTML4 drin waren.

    Von mir aus kann sich ein Browser auch 'kompatibel' verhalten, wenn ein veralteter oder ein Transitional-DOCTYPE angegeben wird. Allerdings sollte es auch einen wirklich strikten Strict-Modus geben, der solche Fehler (und auch z.B. ungültiges Markup) nicht einfach blind ignoriert, sondern in solchen Fällen abbricht. Das über verschiedene HTML-Header zu lösen, halte ich zwar eher für eine Krücke, aber immerhin. Besser wäre, wenn man über einen HTML-Header oder einen DOCTYPE den Browser anweisen könnte, für eine Seite *alles* 'pragmatische', 'kompatible' Verhalten zu deaktivieren und bei Abweichungen vom Standard sofort mit einer Fehlermeldung abzubrechen. Das wäre auch beim Entwickeln ganz hilfreich.



    1 mal bearbeitet, zuletzt am 03.11.14 20:50 durch M..

  6. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: neustart 03.11.14 - 22:20

    M. schrieb:
    --------------------------------------------------------------------------------
    > Das wäre das schöne am XHTML-Neuanfang gewesen...

    Jap, hab ich auch gedacht. Wenn man die Sicherheitsschlacht irgendwie bewältigen will, kommt man um harte Standards nicht herum. Es ist schon schwer die üblichen Fehler in der Fertigung von Software zu vermeiden.

    Weiche Konzepte erschweren alles nur noch mehr... unterstützen sie doch vor allem eines: den menschlichen "Faktor" Bequemlichkeit der wiederum dazu einlädt schluderig zu arbeiten bzw. sich dem Zeitdruck zu schnell zu beugen, um dann doch nicht genug zu Testen.

    Wenn es gar nicht erst funktioniert, sondern siuch einfach verweigert, muss man sauber arbeiten.



    1 mal bearbeitet, zuletzt am 03.11.14 22:23 durch neustart.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. KION Group AG, Frankfurt am Main
  3. Stadt Norderstedt, Norderstedt
  4. ITEOS, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 3,99€
  2. 4,32€
  3. 2,62€
  4. (-40%) 23,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen Mobile 4000 (Renoir): Lasst die Ära der schrottigen AMD-Notebooks enden!
Ryzen Mobile 4000 (Renoir)
Lasst die Ära der schrottigen AMD-Notebooks enden!

Seit vielen Jahren gibt es kaum Premium-Geräte mit AMD-Chips und selbst bei vermeintlich identischer Ausstattung fehlen Eigenschaften wie eine beleuchtete Tastatur oder Thunderbolt 3. Schluss damit!
Ein IMHO von Marc Sauter

  1. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  2. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks
  3. Zen+ AMD verkauft Ryzen 5 1600 mit flotteren CPU-Kernen

Mr. Robot rezensiert: Domo Arigato, Mr. Robot!
Mr. Robot rezensiert
Domo Arigato, Mr. Robot!

Wie im Achtziger-Klassiker Mr. Roboto von Styx hat auch Elliot in Mr. Robot Geheimnisse. Die Dramaserie um den Hacker ist nicht nur wegen Rami Malek grandios. Sie hat einen ganz eigenen beeindruckenden visuellen Stil und zeigt Hacking, wie es wirklich ist. Wir blicken nach dem Serienfinale zurück.
Eine Rezension von Oliver Nickel und Moritz Tremmel

  1. Openideo-Wettbewerb Die fünf besten Hacker-Symbolbilder sind ausgewählt
  2. Cyberangriffe Attribution ist wie ein Indizienprozess
  3. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken

Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

  1. Vodafone: Kabelfernsehkunden sterben in Zukunft aus
    Vodafone
    Kabelfernsehkunden sterben in Zukunft aus

    Vodafone sieht bei jungen Menschen wenig Interesse, Kabelfernsehen zu abonnieren. Ein deutscher Netflix-Manager sprach über den Streaminganbieter.

  2. FBI-Wunsch: Apple verzichtete auf iCloud-Verschlüsselung
    FBI-Wunsch
    Apple verzichtete auf iCloud-Verschlüsselung

    Apple war einer Bitte des FBI laut der Nachrichtenagentur Reuters nachgekommen und verzichtete auf die Einführung verschlüsselter iPhone-Backups in der iCloud. Apple habe einem Streit mit Beamten aus dem Weg gehen wollen, erklärte eine Reuters-Quelle - geholfen hat es indes nicht.

  3. Rainbow Six Siege: Ubisoft verklagt DDoS-Anbieter
    Rainbow Six Siege
    Ubisoft verklagt DDoS-Anbieter

    Seit Monaten gibt es DDOS-Angriffe gegen Rainbow Six Siege, nun klagt Ubisoft gegen einen Anbieter. Der offeriert das Lahmlegen der Server ab 150 Euro, offenbar stecken auch Deutsche hinter den Attacken.


  1. 19:21

  2. 18:24

  3. 17:16

  4. 17:01

  5. 16:47

  6. 16:33

  7. 15:24

  8. 15:09