1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Javascript-Code…

Das zugrundeliegende Problem ist letztendlich

  1. Thema

Neues Thema Ansicht wechseln


  1. Das zugrundeliegende Problem ist letztendlich

    Autor: Ovaron 03.11.14 - 17:12

    >Das zugrundeliegende Problem ist letztendlich, dass
    >Browser Javascript-Code auch dann ausführen,

    Näk. Falsch. Das zugrunde liegende Problem ist letztendlich das Browser auch Javascript-Code ausführen wo es gar nicht notwendig ist.

    Ernsthafte Frage daher: Kann NoScript die Attacke abwehren?

  2. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: Nightdive 03.11.14 - 17:24

    Ovaron schrieb:

    > Ernsthafte Frage daher: Kann NoScript die Attacke abwehren?

    Noscript für Firefox ?
    Gecko ist von dem sniffing Problem nicht betroffen, im gegensatz zu anderen Browserengines

  3. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: hannob (golem.de) 03.11.14 - 19:27

    Firefox ist sehr wohl von dem sniffing-Problem betroffen, sogar noch stärker weil es den nosniff-header bisher nicht unterstützt. (Ich hab einen kleinen test: http://gifjs.tlsfun.de )

    Zur Frage wegen NoScript: Das ist ganz interessant, das implementiert nämlich den nosniff-Header für Firefox - auch wenn man Javascript zulässt. Das hatte ich erst nachdem der Artikel schon geschrieben war gesehen.

  4. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: FibreFoX 03.11.14 - 20:14

    Also irgendwie steh ich auf dem Schlauch, bei mir (Firefox 34) ist bisher kein für mich unnormales Verhalten festzustellen (application/x-javascript und text/plain funktionieren). Dass der Browser nicht so genau auf den MIME-type vom Server schaut, liegt ja wohl an 2 Dingen:
    1. es gibt viele falsch konfigurierte Web-Server
    2. allgemeine Fehlertolleranz

    Was ist nun wichtiger? Dass der Server richtig eingestellt werden muss (gerade bei ALT-Software eine interessante Anforderung), oder dass der Browser schnell und "wie gewünscht" arbeitet?! Genau: der Browser muss für die Schlamperei alles ausbaden!

    Das ist das gleiche wie mit dem <script>-Tag, hier achtet eh kein vernünftiger Browser drauf, was dort steht.

    Und als nächstes kommt bestimmt die Forderung, dass jede ausgelieferte Seite mit ".html" enden muss, hm?

  5. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: M. 03.11.14 - 20:48

    Das wäre das schöne am XHTML-Neuanfang gewesen, man hätte endlich Browser bauen können, die bei Fehlern auch hart failen und nicht versuchen, alles durch einen Tagsoup-Parser zu drehen und irgendwie zu interpretieren, wie es *möglicherweise* gemeint gewesen sein *könnte*. HTML5 hingegen führt noch mehr Toleranzen und Ausnahmen ein als schon in HTML4 drin waren.

    Von mir aus kann sich ein Browser auch 'kompatibel' verhalten, wenn ein veralteter oder ein Transitional-DOCTYPE angegeben wird. Allerdings sollte es auch einen wirklich strikten Strict-Modus geben, der solche Fehler (und auch z.B. ungültiges Markup) nicht einfach blind ignoriert, sondern in solchen Fällen abbricht. Das über verschiedene HTML-Header zu lösen, halte ich zwar eher für eine Krücke, aber immerhin. Besser wäre, wenn man über einen HTML-Header oder einen DOCTYPE den Browser anweisen könnte, für eine Seite *alles* 'pragmatische', 'kompatible' Verhalten zu deaktivieren und bei Abweichungen vom Standard sofort mit einer Fehlermeldung abzubrechen. Das wäre auch beim Entwickeln ganz hilfreich.



    1 mal bearbeitet, zuletzt am 03.11.14 20:50 durch M..

  6. Re: Das zugrundeliegende Problem ist letztendlich

    Autor: neustart 03.11.14 - 22:20

    M. schrieb:
    --------------------------------------------------------------------------------
    > Das wäre das schöne am XHTML-Neuanfang gewesen...

    Jap, hab ich auch gedacht. Wenn man die Sicherheitsschlacht irgendwie bewältigen will, kommt man um harte Standards nicht herum. Es ist schon schwer die üblichen Fehler in der Fertigung von Software zu vermeiden.

    Weiche Konzepte erschweren alles nur noch mehr... unterstützen sie doch vor allem eines: den menschlichen "Faktor" Bequemlichkeit der wiederum dazu einlädt schluderig zu arbeiten bzw. sich dem Zeitdruck zu schnell zu beugen, um dann doch nicht genug zu Testen.

    Wenn es gar nicht erst funktioniert, sondern siuch einfach verweigert, muss man sauber arbeiten.



    1 mal bearbeitet, zuletzt am 03.11.14 22:23 durch neustart.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ERAMON GmbH, Raum Augsburg
  2. SIZ GmbH, Bonn
  3. Zentiva Pharma GmbH, Berlin
  4. Deutsche Rentenversicherung Bund, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  2. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen
  3. Support-Ende Neben Windows 7 ist jetzt auch Server 2008 unsicher

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Keychron K6 Kompakte drahtlose Tastatur mit austauschbaren Switches
  2. Charachorder Schneller tippen als die Tastatur erlaubt
  3. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad

Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

  1. Pakete: Neue DHL-Packstationen nur noch mit App nutzbar
    Pakete
    Neue DHL-Packstationen nur noch mit App nutzbar

    Die DHL testet an rund 20 neuen Packstationen den Betrieb nur mit der App. Die Packstationen haben kein Display mehr.

  2. P-CUP: Ultraschnelle Kamera bildet Ausbreitung von Schockwellen ab
    P-CUP
    Ultraschnelle Kamera bildet Ausbreitung von Schockwellen ab

    Sie ist zwar nur ein Zehntel so schnell wie die schnellste Kamera der Welt; aber dafür kann P-CUP schnelle Prozesse in transparenten Objekten erfassen und vielleicht auch die Kommunikation von Nervenzellen untereinander.

  3. Tarife: Noch kein genauer Starttermin für 5G bei Telefónica
    Tarife
    Noch kein genauer Starttermin für 5G bei Telefónica

    Das 5G-Netz der Telefónica wird bereits aufgebaut. Wann es losgehen soll, ist weiterhin unklar. Doch einige Informationen sind bereits verfügbar.


  1. 18:40

  2. 18:22

  3. 17:42

  4. 17:32

  5. 16:02

  6. 15:15

  7. 15:00

  8. 14:45