1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Javascript-Code…

Ich stehe warscheinlich gerade auf dem Schlauch

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Hans Schmucker 03.11.14 - 12:03

    Aber wo ist denn die Gefahr? Ich habe jetzt eine Script Datei auf einem Server, der eigentlich nur ein Bild von mir wollte. Schön. Ich kann sie auch ausführen, indem ich einen Script Tag auf MEINER Seite setzt und den Code damit wieder in MEINER Domäne ausführe. Sofern mir der andere Server aber nicht das setzen von Script Tags erlaubt kann ich ihn nicht in seiner Domäne ausführen, was effektiv heißt, dass ich nichts gewonnen habe, außer die Bandbreite des Servers für mein Script zu klauen.

    Nur wenn der andere Server mir das setzen von Script-Tags erlaubt, die er mittels Whitelist filtert (was nie eine gute Idee wäre) tritt eine gefährliche Situation auf.

    Korrekt?

    EDIT:
    Sorry, das hier ist quasi ein Duplikat von diesem Thread

    ...zeitgleich gepostet.



    3 mal bearbeitet, zuletzt am 03.11.14 12:06 durch Hans Schmucker.

  2. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hannob (golem.de) 03.11.14 - 12:07

    Also wie im Text steht: Um das auszunutzen brauchst Du *zusätzlich* eine andere Lücke mit der Du den HTML-Tag <script> einfügen kannst.

    Aber: Genau das ausnutzen solcher Lücken sollte CSP eigentlich verhindern. Da solche einfachen XSS-Lücken sehr häufig sind hat man CSP überhaupt erst erfunden.

    Oder anders ausgedrückt: Das alleine ist noch keine Lücke. Aber es hilft dabei, andere Lücken, die eigentlich geblockt werden sollten, wieder kritisch zu machen.

  3. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Itchy 03.11.14 - 13:14

    Fassen wir also zusammen:

    - Das eigentliche Problem ist, dass Anwendungen schlampig programmiert sind und XSS Lücken aufweisen
    - Anstatt das Problem in der Ursache zu beheben (Anwendungen korrekt programmieren), wird mit CSP ein NEUER Header eingeführt, der das Problem kaschieren kann (sofern jemand die Header setzt)
    - Diese Lösung wird dadurch aber wieder aufgerissen, dass Browser sich über MIME-Type Angaben der Webserver hinwegsetzen, weil diese oftmals schlampig konfiguriert sind
    - Anstatt die Header richtig zu setzen und das Browserverhalten zu korrigieren wird ein NEUER Header eingeführt, der dieses Verhalten explizit außer Kraft setzen soll

    Es dauert genau noch 2 Jahre und es gibt den nächsten Header, garantiert.

  4. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Anonymer Nutzer 03.11.14 - 13:29

    ein html komplett frei von javascript zu machen, ist eine unglaublich komplizierte aufgabe. csp ist nur ein weg, um diese aufgabe noch einmal abzusichern. sicherheit ist halt dann doch oft eine sammlung an maßnahmen und nicht nur eine.

  5. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Itchy 03.11.14 - 14:32

    Ich finde es nur paradox, wie angenommen wird, dass zwar die Anwendungsentwickler nicht in der Lage sind, XSS-freie Anwendungen zu schreiben aber den Administratoren zugetraut wird, diese Schwächen durch das Setzen von irgendwelchen obskuren Headern zu mitigieren.

    Aber gut, die Hersteller von Application Firewalls müssen auch von etwas leben.

  6. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hannob (golem.de) 03.11.14 - 14:58

    Itchy schrieb:
    --------------------------------------------------------------------------------
    > Ich finde es nur paradox, wie angenommen wird, dass zwar die
    > Anwendungsentwickler nicht in der Lage sind, XSS-freie Anwendungen zu
    > schreiben aber den Administratoren zugetraut wird, diese Schwächen durch
    > das Setzen von irgendwelchen obskuren Headern zu mitigieren.

    Um CSP müssen sich auch die Anwendungsentwickler kümmern. Man muss da im Prinzip von Grund auf eine Applikation drauf designen, weil inline-javascript damit nicht mehr erlaubt ist.

    Generell ist es halt so: Wir wissen seit circa 20 Jahren was XSS ist. Trotzdem sind XSS-Lücken weit verbreitet - und das nicht nur bei unfähigen Programmierern von 08/15-Webklitschen, das passiert regelmäßig auch den ganz großen Seiten. Es gibt unglaublich viele Tricks wie man in verschiedenen Situationen XSS hervorrufen kann und moderne Webanwendungen mit JSON, WYSIWYG-Editoren etc. führen immer wieder neue potentielle Risiken ein.

    CSP ist der Versuch, dem grundsätzlich einen Riegel vorzuschieben, weil die Erfahrung einfach zeigt: XSS-Lücken einzeln fixen funktioniert nicht zuverlässig.

    Die Sache dass Browser falsche mimetypes akzeptieren ist eines von leider vielen Problemen, wo man in der Vergangenheit "aus Kompatibilitätsgründen" Unterstützung für problematische Dinge eingeführt hat, die einem jetzt auf die Füße fallen. POODLE war ja auch so eine Sache.

    Was man sich halt klarmachen muss: Websicherheit ist eine riesige Dauerbaustelle. Das ganze ist halt "organisch gewachsen" und viele Features wurden von Leuten entwickelt, bei denen Sicherheit nicht unbedingt an erster Stelle stand. Damit müssen wir leben, weil es kaum realistisch ist, das Web von Grund auf neu zu entwickeln.

  7. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Nightdive 03.11.14 - 17:22

    hannob (golem.de) schrieb:
    > Die Sache dass Browser falsche mimetypes akzeptieren ist eines von leider
    > vielen Problemen, wo man in der Vergangenheit "aus Kompatibilitätsgründen"
    > Unterstützung für problematische Dinge eingeführt hat, die einem jetzt auf
    > die Füße fallen. POODLE war ja auch so eine Sache.

    IE hat mit dem Content-sniffing angefangen und musste jetzt so einen seltsamen Header einführen um davon wieder weg zu kommen.

    Die Gecko Engine hat eigentlich noch nie Content-sniffing gemacht wenn der Server einen Content-type mitgeliefert hat. Die einzige Ausnahme sind image/* wo Gecko auch ein Gif Bild als image/png akzeptiert aber das ist normalerweise kein Sicherheitsproblem. Genutzt wird dabei auch die Magic Number (GIF98a ,...)

    webkit/blink hat dann den selben dämlichen Weg wie IE eingeschlagen und braucht nun den zusätzlichen Header.

    > Was man sich halt klarmachen muss: Websicherheit ist eine riesige
    > Dauerbaustelle. Das ganze ist halt "organisch gewachsen" und viele Features
    > wurden von Leuten entwickelt, bei denen Sicherheit nicht unbedingt an
    > erster Stelle stand. Damit müssen wir leben, weil es kaum realistisch ist,
    > das Web von Grund auf neu zu entwickeln.

    Content-sniffing war noch nie notwendig wenn ein Content-type mitgeliefert wurde !
    Der Header wurde doch extra dafür eingeführt damit der Client nicht raten muss.

    Die Sauerei mit diesem Artikel ist das der Eindruck erweckt wird das IE/Chrome hier die guten sind weil sie diesen Header unterstützen und Firefox wieder hinterherhängt.
    Fakt ist aber das Firefox nicht von dieser neuauflage einer alten Sicherheitslücke nicht betroffen ist.



    1 mal bearbeitet, zuletzt am 03.11.14 17:30 durch Nightdive.

  8. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Heinzel 03.11.14 - 23:11

    Der GIF-JS-Trick ist alter Wein in neuen Schläuchen...

    Viel lustiger ist doch, daß viele Leute ihren alternativen Webserver (z.B. nginx) so falsch aufsetzen, daß in hochgeladene Bilder eingebetteter PHP-Code ausgeführt wird. Da PHP so ein ziemlich Allesfresser ist muss man sich plötzlich selbst darum kümmern, festzustellen, daß eine Datei existiert und tatsächlich PHP enthält...

    JavaScript ist dagegen doch nur Pillepalle. ;)

  9. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hannob (golem.de) 04.11.14 - 11:32

    Nightdive schrieb:
    --------------------------------------------------------------------------------
    > Die Gecko Engine hat eigentlich noch nie Content-sniffing gemacht wenn der
    > Server einen Content-type mitgeliefert hat.
    [...]
    > Die Sauerei mit diesem Artikel ist das der Eindruck erweckt wird das
    > IE/Chrome hier die guten sind weil sie diesen Header unterstützen und
    > Firefox wieder hinterherhängt.
    > Fakt ist aber das Firefox nicht von dieser neuauflage einer alten
    > Sicherheitslücke nicht betroffen ist.

    Sorry, nein: Das ist falsch. Firefox macht genauso Content Sniffing wie die anderen Browser. Schau dir mal meinen testcase unter gifjs.tlsfun.de an.
    Das Javascript im GIF wird von Firefox ausgeführt. Das GIF wird als image/gif ausgeliefert.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Weber Automotive GmbH, Markdorf
  2. VerbaVoice GmbH, München
  3. DATAGROUP Köln GmbH, Leverkusen
  4. COGNOS AG, Idstein, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 38,00€ (bei ubi.com)
  2. 319,00€ (Bestpreis)
  3. 31,49€
  4. (u. a. Die Siedler History Collection 19,99€, Anno 1800 Gold Edition für 38,00€, Tom Clancy's...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

Indiegames-Rundschau: Abenteuer zwischen Horror und Humor
Indiegames-Rundschau
Abenteuer zwischen Horror und Humor

Außerdische reagieren im Strategiespiel Phoenix Point gezielt auf unsere Taktiken, GTFO lässt uns schleichen und das dezent an Portal erinnernde Superliminal schmunzeln: Golem.de stellt die besten aktuellen Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Der letzte Kampf des alten Cops
  2. Indiegames-Rundschau Killer trifft Gans
  3. Indiegames-Rundschau Überleben im Dschungel und tausend Tode im Dunkeln

Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Disney+ Deutsche wollen maximal 23 Euro für Streaming ausgeben
  2. Unterhaltung Plex startet kostenloses Streaming von Filmen und Serien
  3. Generalstaatsanwaltschaft Dresden Zwei mutmaßliche Betreiber von Movie2k.to verhaftet

  1. VPN-Technik: Wireguard in Hauptzweig des Linux-Kernels eingepflegt
    VPN-Technik
    Wireguard in Hauptzweig des Linux-Kernels eingepflegt

    Nach mehreren Jahren Arbeit und vielen Diskussionen ist die freie VPN-Technik Wireguard nun endgültig im Hauptzweig des Linux-Kernels gelandet. Die stabile Veröffentlichung mit dem kommenden Linux 5.6 gilt damit als sicher.

  2. Recycling: Roboter sollen E-Antriebe und Akkus demontieren
    Recycling
    Roboter sollen E-Antriebe und Akkus demontieren

    Neue Akkus aus alten: In Baden-Württemberg soll eine Fabrik gebaut werden, in der die automatisierte Demontage von elektrischen Antriebssträngen im industriellen Maßstab getestet werden soll. Die recycelten Rohstoffe sollen für den Bau neuer Elektroautos und Akkus verwendet werden.

  3. Apple TV+: Abozahlen bleiben geheim
    Apple TV+
    Abozahlen bleiben geheim

    Es bleibt ein Mysterium, wie viele Abonnenten Apple mit Apple TV+ gewinnen konnte. In den aktuellen Quartalszahlen räumte das Unternehmen lediglich ein, dass zahlende Abonnenten keinen wesentlichen Einfluss auf das Geschäftsergebnis gehabt hätten.


  1. 11:52

  2. 11:45

  3. 11:30

  4. 10:55

  5. 10:43

  6. 10:21

  7. 10:10

  8. 09:23