1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Javascript-Code…

Ich stehe warscheinlich gerade auf dem Schlauch

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Hans Schmucker 03.11.14 - 12:03

    Aber wo ist denn die Gefahr? Ich habe jetzt eine Script Datei auf einem Server, der eigentlich nur ein Bild von mir wollte. Schön. Ich kann sie auch ausführen, indem ich einen Script Tag auf MEINER Seite setzt und den Code damit wieder in MEINER Domäne ausführe. Sofern mir der andere Server aber nicht das setzen von Script Tags erlaubt kann ich ihn nicht in seiner Domäne ausführen, was effektiv heißt, dass ich nichts gewonnen habe, außer die Bandbreite des Servers für mein Script zu klauen.

    Nur wenn der andere Server mir das setzen von Script-Tags erlaubt, die er mittels Whitelist filtert (was nie eine gute Idee wäre) tritt eine gefährliche Situation auf.

    Korrekt?

    EDIT:
    Sorry, das hier ist quasi ein Duplikat von diesem Thread

    ...zeitgleich gepostet.



    3 mal bearbeitet, zuletzt am 03.11.14 12:06 durch Hans Schmucker.

  2. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hab (Golem.de) 03.11.14 - 12:07

    Also wie im Text steht: Um das auszunutzen brauchst Du *zusätzlich* eine andere Lücke mit der Du den HTML-Tag <script> einfügen kannst.

    Aber: Genau das ausnutzen solcher Lücken sollte CSP eigentlich verhindern. Da solche einfachen XSS-Lücken sehr häufig sind hat man CSP überhaupt erst erfunden.

    Oder anders ausgedrückt: Das alleine ist noch keine Lücke. Aber es hilft dabei, andere Lücken, die eigentlich geblockt werden sollten, wieder kritisch zu machen.

  3. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Itchy 03.11.14 - 13:14

    Fassen wir also zusammen:

    - Das eigentliche Problem ist, dass Anwendungen schlampig programmiert sind und XSS Lücken aufweisen
    - Anstatt das Problem in der Ursache zu beheben (Anwendungen korrekt programmieren), wird mit CSP ein NEUER Header eingeführt, der das Problem kaschieren kann (sofern jemand die Header setzt)
    - Diese Lösung wird dadurch aber wieder aufgerissen, dass Browser sich über MIME-Type Angaben der Webserver hinwegsetzen, weil diese oftmals schlampig konfiguriert sind
    - Anstatt die Header richtig zu setzen und das Browserverhalten zu korrigieren wird ein NEUER Header eingeführt, der dieses Verhalten explizit außer Kraft setzen soll

    Es dauert genau noch 2 Jahre und es gibt den nächsten Header, garantiert.

  4. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Anonymer Nutzer 03.11.14 - 13:29

    ein html komplett frei von javascript zu machen, ist eine unglaublich komplizierte aufgabe. csp ist nur ein weg, um diese aufgabe noch einmal abzusichern. sicherheit ist halt dann doch oft eine sammlung an maßnahmen und nicht nur eine.

  5. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Itchy 03.11.14 - 14:32

    Ich finde es nur paradox, wie angenommen wird, dass zwar die Anwendungsentwickler nicht in der Lage sind, XSS-freie Anwendungen zu schreiben aber den Administratoren zugetraut wird, diese Schwächen durch das Setzen von irgendwelchen obskuren Headern zu mitigieren.

    Aber gut, die Hersteller von Application Firewalls müssen auch von etwas leben.

  6. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hab (Golem.de) 03.11.14 - 14:58

    Itchy schrieb:
    --------------------------------------------------------------------------------
    > Ich finde es nur paradox, wie angenommen wird, dass zwar die
    > Anwendungsentwickler nicht in der Lage sind, XSS-freie Anwendungen zu
    > schreiben aber den Administratoren zugetraut wird, diese Schwächen durch
    > das Setzen von irgendwelchen obskuren Headern zu mitigieren.

    Um CSP müssen sich auch die Anwendungsentwickler kümmern. Man muss da im Prinzip von Grund auf eine Applikation drauf designen, weil inline-javascript damit nicht mehr erlaubt ist.

    Generell ist es halt so: Wir wissen seit circa 20 Jahren was XSS ist. Trotzdem sind XSS-Lücken weit verbreitet - und das nicht nur bei unfähigen Programmierern von 08/15-Webklitschen, das passiert regelmäßig auch den ganz großen Seiten. Es gibt unglaublich viele Tricks wie man in verschiedenen Situationen XSS hervorrufen kann und moderne Webanwendungen mit JSON, WYSIWYG-Editoren etc. führen immer wieder neue potentielle Risiken ein.

    CSP ist der Versuch, dem grundsätzlich einen Riegel vorzuschieben, weil die Erfahrung einfach zeigt: XSS-Lücken einzeln fixen funktioniert nicht zuverlässig.

    Die Sache dass Browser falsche mimetypes akzeptieren ist eines von leider vielen Problemen, wo man in der Vergangenheit "aus Kompatibilitätsgründen" Unterstützung für problematische Dinge eingeführt hat, die einem jetzt auf die Füße fallen. POODLE war ja auch so eine Sache.

    Was man sich halt klarmachen muss: Websicherheit ist eine riesige Dauerbaustelle. Das ganze ist halt "organisch gewachsen" und viele Features wurden von Leuten entwickelt, bei denen Sicherheit nicht unbedingt an erster Stelle stand. Damit müssen wir leben, weil es kaum realistisch ist, das Web von Grund auf neu zu entwickeln.

  7. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Nightdive 03.11.14 - 17:22

    hannob (golem.de) schrieb:
    > Die Sache dass Browser falsche mimetypes akzeptieren ist eines von leider
    > vielen Problemen, wo man in der Vergangenheit "aus Kompatibilitätsgründen"
    > Unterstützung für problematische Dinge eingeführt hat, die einem jetzt auf
    > die Füße fallen. POODLE war ja auch so eine Sache.

    IE hat mit dem Content-sniffing angefangen und musste jetzt so einen seltsamen Header einführen um davon wieder weg zu kommen.

    Die Gecko Engine hat eigentlich noch nie Content-sniffing gemacht wenn der Server einen Content-type mitgeliefert hat. Die einzige Ausnahme sind image/* wo Gecko auch ein Gif Bild als image/png akzeptiert aber das ist normalerweise kein Sicherheitsproblem. Genutzt wird dabei auch die Magic Number (GIF98a ,...)

    webkit/blink hat dann den selben dämlichen Weg wie IE eingeschlagen und braucht nun den zusätzlichen Header.

    > Was man sich halt klarmachen muss: Websicherheit ist eine riesige
    > Dauerbaustelle. Das ganze ist halt "organisch gewachsen" und viele Features
    > wurden von Leuten entwickelt, bei denen Sicherheit nicht unbedingt an
    > erster Stelle stand. Damit müssen wir leben, weil es kaum realistisch ist,
    > das Web von Grund auf neu zu entwickeln.

    Content-sniffing war noch nie notwendig wenn ein Content-type mitgeliefert wurde !
    Der Header wurde doch extra dafür eingeführt damit der Client nicht raten muss.

    Die Sauerei mit diesem Artikel ist das der Eindruck erweckt wird das IE/Chrome hier die guten sind weil sie diesen Header unterstützen und Firefox wieder hinterherhängt.
    Fakt ist aber das Firefox nicht von dieser neuauflage einer alten Sicherheitslücke nicht betroffen ist.



    1 mal bearbeitet, zuletzt am 03.11.14 17:30 durch Nightdive.

  8. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Heinzel 03.11.14 - 23:11

    Der GIF-JS-Trick ist alter Wein in neuen Schläuchen...

    Viel lustiger ist doch, daß viele Leute ihren alternativen Webserver (z.B. nginx) so falsch aufsetzen, daß in hochgeladene Bilder eingebetteter PHP-Code ausgeführt wird. Da PHP so ein ziemlich Allesfresser ist muss man sich plötzlich selbst darum kümmern, festzustellen, daß eine Datei existiert und tatsächlich PHP enthält...

    JavaScript ist dagegen doch nur Pillepalle. ;)

  9. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hab (Golem.de) 04.11.14 - 11:32

    Nightdive schrieb:
    --------------------------------------------------------------------------------
    > Die Gecko Engine hat eigentlich noch nie Content-sniffing gemacht wenn der
    > Server einen Content-type mitgeliefert hat.
    [...]
    > Die Sauerei mit diesem Artikel ist das der Eindruck erweckt wird das
    > IE/Chrome hier die guten sind weil sie diesen Header unterstützen und
    > Firefox wieder hinterherhängt.
    > Fakt ist aber das Firefox nicht von dieser neuauflage einer alten
    > Sicherheitslücke nicht betroffen ist.

    Sorry, nein: Das ist falsch. Firefox macht genauso Content Sniffing wie die anderen Browser. Schau dir mal meinen testcase unter gifjs.tlsfun.de an.
    Das Javascript im GIF wird von Firefox ausgeführt. Das GIF wird als image/gif ausgeliefert.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. dSPACE GmbH, Paderborn
  2. Amprion GmbH, Ludwigsburg
  3. über grinnberg GmbH, Frankfurt am Main
  4. Haufe Group, Freiburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 6,50€
  2. (u. a. Standard Edition PC für 44,99€, Xbox One / Series S/X für 62,99€, Deluxe Edition PC...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme