Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Javascript-Code…

Ich stehe warscheinlich gerade auf dem Schlauch

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Hans Schmucker 03.11.14 - 12:03

    Aber wo ist denn die Gefahr? Ich habe jetzt eine Script Datei auf einem Server, der eigentlich nur ein Bild von mir wollte. Schön. Ich kann sie auch ausführen, indem ich einen Script Tag auf MEINER Seite setzt und den Code damit wieder in MEINER Domäne ausführe. Sofern mir der andere Server aber nicht das setzen von Script Tags erlaubt kann ich ihn nicht in seiner Domäne ausführen, was effektiv heißt, dass ich nichts gewonnen habe, außer die Bandbreite des Servers für mein Script zu klauen.

    Nur wenn der andere Server mir das setzen von Script-Tags erlaubt, die er mittels Whitelist filtert (was nie eine gute Idee wäre) tritt eine gefährliche Situation auf.

    Korrekt?

    EDIT:
    Sorry, das hier ist quasi ein Duplikat von diesem Thread

    ...zeitgleich gepostet.



    3 mal bearbeitet, zuletzt am 03.11.14 12:06 durch Hans Schmucker.

  2. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hannob (golem.de) 03.11.14 - 12:07

    Also wie im Text steht: Um das auszunutzen brauchst Du *zusätzlich* eine andere Lücke mit der Du den HTML-Tag <script> einfügen kannst.

    Aber: Genau das ausnutzen solcher Lücken sollte CSP eigentlich verhindern. Da solche einfachen XSS-Lücken sehr häufig sind hat man CSP überhaupt erst erfunden.

    Oder anders ausgedrückt: Das alleine ist noch keine Lücke. Aber es hilft dabei, andere Lücken, die eigentlich geblockt werden sollten, wieder kritisch zu machen.

  3. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Itchy 03.11.14 - 13:14

    Fassen wir also zusammen:

    - Das eigentliche Problem ist, dass Anwendungen schlampig programmiert sind und XSS Lücken aufweisen
    - Anstatt das Problem in der Ursache zu beheben (Anwendungen korrekt programmieren), wird mit CSP ein NEUER Header eingeführt, der das Problem kaschieren kann (sofern jemand die Header setzt)
    - Diese Lösung wird dadurch aber wieder aufgerissen, dass Browser sich über MIME-Type Angaben der Webserver hinwegsetzen, weil diese oftmals schlampig konfiguriert sind
    - Anstatt die Header richtig zu setzen und das Browserverhalten zu korrigieren wird ein NEUER Header eingeführt, der dieses Verhalten explizit außer Kraft setzen soll

    Es dauert genau noch 2 Jahre und es gibt den nächsten Header, garantiert.

  4. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Anonymer Nutzer 03.11.14 - 13:29

    ein html komplett frei von javascript zu machen, ist eine unglaublich komplizierte aufgabe. csp ist nur ein weg, um diese aufgabe noch einmal abzusichern. sicherheit ist halt dann doch oft eine sammlung an maßnahmen und nicht nur eine.

  5. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Itchy 03.11.14 - 14:32

    Ich finde es nur paradox, wie angenommen wird, dass zwar die Anwendungsentwickler nicht in der Lage sind, XSS-freie Anwendungen zu schreiben aber den Administratoren zugetraut wird, diese Schwächen durch das Setzen von irgendwelchen obskuren Headern zu mitigieren.

    Aber gut, die Hersteller von Application Firewalls müssen auch von etwas leben.

  6. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hannob (golem.de) 03.11.14 - 14:58

    Itchy schrieb:
    --------------------------------------------------------------------------------
    > Ich finde es nur paradox, wie angenommen wird, dass zwar die
    > Anwendungsentwickler nicht in der Lage sind, XSS-freie Anwendungen zu
    > schreiben aber den Administratoren zugetraut wird, diese Schwächen durch
    > das Setzen von irgendwelchen obskuren Headern zu mitigieren.

    Um CSP müssen sich auch die Anwendungsentwickler kümmern. Man muss da im Prinzip von Grund auf eine Applikation drauf designen, weil inline-javascript damit nicht mehr erlaubt ist.

    Generell ist es halt so: Wir wissen seit circa 20 Jahren was XSS ist. Trotzdem sind XSS-Lücken weit verbreitet - und das nicht nur bei unfähigen Programmierern von 08/15-Webklitschen, das passiert regelmäßig auch den ganz großen Seiten. Es gibt unglaublich viele Tricks wie man in verschiedenen Situationen XSS hervorrufen kann und moderne Webanwendungen mit JSON, WYSIWYG-Editoren etc. führen immer wieder neue potentielle Risiken ein.

    CSP ist der Versuch, dem grundsätzlich einen Riegel vorzuschieben, weil die Erfahrung einfach zeigt: XSS-Lücken einzeln fixen funktioniert nicht zuverlässig.

    Die Sache dass Browser falsche mimetypes akzeptieren ist eines von leider vielen Problemen, wo man in der Vergangenheit "aus Kompatibilitätsgründen" Unterstützung für problematische Dinge eingeführt hat, die einem jetzt auf die Füße fallen. POODLE war ja auch so eine Sache.

    Was man sich halt klarmachen muss: Websicherheit ist eine riesige Dauerbaustelle. Das ganze ist halt "organisch gewachsen" und viele Features wurden von Leuten entwickelt, bei denen Sicherheit nicht unbedingt an erster Stelle stand. Damit müssen wir leben, weil es kaum realistisch ist, das Web von Grund auf neu zu entwickeln.

  7. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Nightdive 03.11.14 - 17:22

    hannob (golem.de) schrieb:
    > Die Sache dass Browser falsche mimetypes akzeptieren ist eines von leider
    > vielen Problemen, wo man in der Vergangenheit "aus Kompatibilitätsgründen"
    > Unterstützung für problematische Dinge eingeführt hat, die einem jetzt auf
    > die Füße fallen. POODLE war ja auch so eine Sache.

    IE hat mit dem Content-sniffing angefangen und musste jetzt so einen seltsamen Header einführen um davon wieder weg zu kommen.

    Die Gecko Engine hat eigentlich noch nie Content-sniffing gemacht wenn der Server einen Content-type mitgeliefert hat. Die einzige Ausnahme sind image/* wo Gecko auch ein Gif Bild als image/png akzeptiert aber das ist normalerweise kein Sicherheitsproblem. Genutzt wird dabei auch die Magic Number (GIF98a ,...)

    webkit/blink hat dann den selben dämlichen Weg wie IE eingeschlagen und braucht nun den zusätzlichen Header.

    > Was man sich halt klarmachen muss: Websicherheit ist eine riesige
    > Dauerbaustelle. Das ganze ist halt "organisch gewachsen" und viele Features
    > wurden von Leuten entwickelt, bei denen Sicherheit nicht unbedingt an
    > erster Stelle stand. Damit müssen wir leben, weil es kaum realistisch ist,
    > das Web von Grund auf neu zu entwickeln.

    Content-sniffing war noch nie notwendig wenn ein Content-type mitgeliefert wurde !
    Der Header wurde doch extra dafür eingeführt damit der Client nicht raten muss.

    Die Sauerei mit diesem Artikel ist das der Eindruck erweckt wird das IE/Chrome hier die guten sind weil sie diesen Header unterstützen und Firefox wieder hinterherhängt.
    Fakt ist aber das Firefox nicht von dieser neuauflage einer alten Sicherheitslücke nicht betroffen ist.



    1 mal bearbeitet, zuletzt am 03.11.14 17:30 durch Nightdive.

  8. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Heinzel 03.11.14 - 23:11

    Der GIF-JS-Trick ist alter Wein in neuen Schläuchen...

    Viel lustiger ist doch, daß viele Leute ihren alternativen Webserver (z.B. nginx) so falsch aufsetzen, daß in hochgeladene Bilder eingebetteter PHP-Code ausgeführt wird. Da PHP so ein ziemlich Allesfresser ist muss man sich plötzlich selbst darum kümmern, festzustellen, daß eine Datei existiert und tatsächlich PHP enthält...

    JavaScript ist dagegen doch nur Pillepalle. ;)

  9. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hannob (golem.de) 04.11.14 - 11:32

    Nightdive schrieb:
    --------------------------------------------------------------------------------
    > Die Gecko Engine hat eigentlich noch nie Content-sniffing gemacht wenn der
    > Server einen Content-type mitgeliefert hat.
    [...]
    > Die Sauerei mit diesem Artikel ist das der Eindruck erweckt wird das
    > IE/Chrome hier die guten sind weil sie diesen Header unterstützen und
    > Firefox wieder hinterherhängt.
    > Fakt ist aber das Firefox nicht von dieser neuauflage einer alten
    > Sicherheitslücke nicht betroffen ist.

    Sorry, nein: Das ist falsch. Firefox macht genauso Content Sniffing wie die anderen Browser. Schau dir mal meinen testcase unter gifjs.tlsfun.de an.
    Das Javascript im GIF wird von Firefox ausgeführt. Das GIF wird als image/gif ausgeliefert.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. AWO gemeinnützige Gesellschaft für soziale Einrichtungen und Dienste in Nordhessen mbH, Kassel
  2. Jobware GmbH, Paderborn
  3. serie a logistics solutions AG, Köln
  4. OEDIV Oetker Daten- und Informationsverarbeitung KG, Bielefeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 72,99€ (Release am 19. September)
  2. 469,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Physik: Den Quanten beim Sprung zusehen
Physik
Den Quanten beim Sprung zusehen

Quantensprünge sind niemals groß und nicht vorhersehbar. Forschern ist es dennoch gelungen, den Vorgang zuverlässig zu beobachten, wenn er einmal angefangen hatte - und sie konnten ihn sogar umkehren. Die Fehlerkorrektur in Quantencomputern soll in Zukunft genau so funktionieren.
Von Frank Wunderlich-Pfeiffer


    Digitaler Knoten 4.0: Auto und Ampel im Austausch
    Digitaler Knoten 4.0
    Auto und Ampel im Austausch

    Auf der Autobahn klappt das autonome Fahren schon recht gut. In der Stadt brauchen die Autos jedoch Unterstützung. In Braunschweig testet das DLR die Vernetzung von Autos und Infrastruktur, damit die autonom fahrenden Autos im fließenden Verkehr links abbiegen können.
    Ein Bericht von Werner Pluta

    1. LTE-V2X vs. WLAN 802.11p Wer hat Recht im Streit ums Auto-WLAN?
    2. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
    3. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

    IT-Forensikerin: Beweise sichern im Faradayschen Käfig
    IT-Forensikerin
    Beweise sichern im Faradayschen Käfig

    IT-Forensiker bei der Bundeswehr sichern Beweise, wenn Soldaten Dienstvergehen oder gar Straftaten begehen, und sie jagen Viren auf Militärcomputern. Golem.de war zu Gast im Zentrum für Cybersicherheit, das ebenso wie die IT-Wirtschaft um guten Nachwuchs buhlt.
    Eine Reportage von Maja Hoock

    1. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
    2. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
    3. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht

    1. Bildbearbeitung: Neuronales Netzwerk erkennt Photoshop-Manipulationen
      Bildbearbeitung
      Neuronales Netzwerk erkennt Photoshop-Manipulationen

      Mit Photoshop lassen sich Porträts mitunter sehr subtil, aber aussagekräftig bearbeiten - und für menschliche Betrachter nicht feststellbar. Ein Forscherteam hat ein neuronales Netzwerk darauf trainiert, die Fälschungen zu erkennen.

    2. Firmware: ME-Cleaner startet Support aktueller Intel-Plattformen
      Firmware
      ME-Cleaner startet Support aktueller Intel-Plattformen

      Mit Hilfe des Werkzeugs ME-Cleaner können Nutzer die Intel ME auf ihrem Rechner deaktivieren. Das Team arbeitet nun an dem Support für Version 12 und für die Coffee-Lake-Plattformen.

    3. Game Studios: Amazon entlässt Mitarbeiter und stellt Spiele ein
      Game Studios
      Amazon entlässt Mitarbeiter und stellt Spiele ein

      E3 2019 Parallel zur Spielemesse E3 haben die Amazon Game Studios mehreren Dutzend Angestellten gesagt, sie hätten 60 Tage Zeit, um sich andere Positionen im Unternehmen zu suchen, ansonsten würden sie entlassen.


    1. 10:40

    2. 10:28

    3. 10:13

    4. 09:07

    5. 09:00

    6. 08:48

    7. 08:41

    8. 08:10