1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Javascript-Code…

Ich stehe warscheinlich gerade auf dem Schlauch

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Hans Schmucker 03.11.14 - 12:03

    Aber wo ist denn die Gefahr? Ich habe jetzt eine Script Datei auf einem Server, der eigentlich nur ein Bild von mir wollte. Schön. Ich kann sie auch ausführen, indem ich einen Script Tag auf MEINER Seite setzt und den Code damit wieder in MEINER Domäne ausführe. Sofern mir der andere Server aber nicht das setzen von Script Tags erlaubt kann ich ihn nicht in seiner Domäne ausführen, was effektiv heißt, dass ich nichts gewonnen habe, außer die Bandbreite des Servers für mein Script zu klauen.

    Nur wenn der andere Server mir das setzen von Script-Tags erlaubt, die er mittels Whitelist filtert (was nie eine gute Idee wäre) tritt eine gefährliche Situation auf.

    Korrekt?

    EDIT:
    Sorry, das hier ist quasi ein Duplikat von diesem Thread

    ...zeitgleich gepostet.



    3 mal bearbeitet, zuletzt am 03.11.14 12:06 durch Hans Schmucker.

  2. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hannob (golem.de) 03.11.14 - 12:07

    Also wie im Text steht: Um das auszunutzen brauchst Du *zusätzlich* eine andere Lücke mit der Du den HTML-Tag <script> einfügen kannst.

    Aber: Genau das ausnutzen solcher Lücken sollte CSP eigentlich verhindern. Da solche einfachen XSS-Lücken sehr häufig sind hat man CSP überhaupt erst erfunden.

    Oder anders ausgedrückt: Das alleine ist noch keine Lücke. Aber es hilft dabei, andere Lücken, die eigentlich geblockt werden sollten, wieder kritisch zu machen.

  3. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Itchy 03.11.14 - 13:14

    Fassen wir also zusammen:

    - Das eigentliche Problem ist, dass Anwendungen schlampig programmiert sind und XSS Lücken aufweisen
    - Anstatt das Problem in der Ursache zu beheben (Anwendungen korrekt programmieren), wird mit CSP ein NEUER Header eingeführt, der das Problem kaschieren kann (sofern jemand die Header setzt)
    - Diese Lösung wird dadurch aber wieder aufgerissen, dass Browser sich über MIME-Type Angaben der Webserver hinwegsetzen, weil diese oftmals schlampig konfiguriert sind
    - Anstatt die Header richtig zu setzen und das Browserverhalten zu korrigieren wird ein NEUER Header eingeführt, der dieses Verhalten explizit außer Kraft setzen soll

    Es dauert genau noch 2 Jahre und es gibt den nächsten Header, garantiert.

  4. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Anonymer Nutzer 03.11.14 - 13:29

    ein html komplett frei von javascript zu machen, ist eine unglaublich komplizierte aufgabe. csp ist nur ein weg, um diese aufgabe noch einmal abzusichern. sicherheit ist halt dann doch oft eine sammlung an maßnahmen und nicht nur eine.

  5. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Itchy 03.11.14 - 14:32

    Ich finde es nur paradox, wie angenommen wird, dass zwar die Anwendungsentwickler nicht in der Lage sind, XSS-freie Anwendungen zu schreiben aber den Administratoren zugetraut wird, diese Schwächen durch das Setzen von irgendwelchen obskuren Headern zu mitigieren.

    Aber gut, die Hersteller von Application Firewalls müssen auch von etwas leben.

  6. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hannob (golem.de) 03.11.14 - 14:58

    Itchy schrieb:
    --------------------------------------------------------------------------------
    > Ich finde es nur paradox, wie angenommen wird, dass zwar die
    > Anwendungsentwickler nicht in der Lage sind, XSS-freie Anwendungen zu
    > schreiben aber den Administratoren zugetraut wird, diese Schwächen durch
    > das Setzen von irgendwelchen obskuren Headern zu mitigieren.

    Um CSP müssen sich auch die Anwendungsentwickler kümmern. Man muss da im Prinzip von Grund auf eine Applikation drauf designen, weil inline-javascript damit nicht mehr erlaubt ist.

    Generell ist es halt so: Wir wissen seit circa 20 Jahren was XSS ist. Trotzdem sind XSS-Lücken weit verbreitet - und das nicht nur bei unfähigen Programmierern von 08/15-Webklitschen, das passiert regelmäßig auch den ganz großen Seiten. Es gibt unglaublich viele Tricks wie man in verschiedenen Situationen XSS hervorrufen kann und moderne Webanwendungen mit JSON, WYSIWYG-Editoren etc. führen immer wieder neue potentielle Risiken ein.

    CSP ist der Versuch, dem grundsätzlich einen Riegel vorzuschieben, weil die Erfahrung einfach zeigt: XSS-Lücken einzeln fixen funktioniert nicht zuverlässig.

    Die Sache dass Browser falsche mimetypes akzeptieren ist eines von leider vielen Problemen, wo man in der Vergangenheit "aus Kompatibilitätsgründen" Unterstützung für problematische Dinge eingeführt hat, die einem jetzt auf die Füße fallen. POODLE war ja auch so eine Sache.

    Was man sich halt klarmachen muss: Websicherheit ist eine riesige Dauerbaustelle. Das ganze ist halt "organisch gewachsen" und viele Features wurden von Leuten entwickelt, bei denen Sicherheit nicht unbedingt an erster Stelle stand. Damit müssen wir leben, weil es kaum realistisch ist, das Web von Grund auf neu zu entwickeln.

  7. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Nightdive 03.11.14 - 17:22

    hannob (golem.de) schrieb:
    > Die Sache dass Browser falsche mimetypes akzeptieren ist eines von leider
    > vielen Problemen, wo man in der Vergangenheit "aus Kompatibilitätsgründen"
    > Unterstützung für problematische Dinge eingeführt hat, die einem jetzt auf
    > die Füße fallen. POODLE war ja auch so eine Sache.

    IE hat mit dem Content-sniffing angefangen und musste jetzt so einen seltsamen Header einführen um davon wieder weg zu kommen.

    Die Gecko Engine hat eigentlich noch nie Content-sniffing gemacht wenn der Server einen Content-type mitgeliefert hat. Die einzige Ausnahme sind image/* wo Gecko auch ein Gif Bild als image/png akzeptiert aber das ist normalerweise kein Sicherheitsproblem. Genutzt wird dabei auch die Magic Number (GIF98a ,...)

    webkit/blink hat dann den selben dämlichen Weg wie IE eingeschlagen und braucht nun den zusätzlichen Header.

    > Was man sich halt klarmachen muss: Websicherheit ist eine riesige
    > Dauerbaustelle. Das ganze ist halt "organisch gewachsen" und viele Features
    > wurden von Leuten entwickelt, bei denen Sicherheit nicht unbedingt an
    > erster Stelle stand. Damit müssen wir leben, weil es kaum realistisch ist,
    > das Web von Grund auf neu zu entwickeln.

    Content-sniffing war noch nie notwendig wenn ein Content-type mitgeliefert wurde !
    Der Header wurde doch extra dafür eingeführt damit der Client nicht raten muss.

    Die Sauerei mit diesem Artikel ist das der Eindruck erweckt wird das IE/Chrome hier die guten sind weil sie diesen Header unterstützen und Firefox wieder hinterherhängt.
    Fakt ist aber das Firefox nicht von dieser neuauflage einer alten Sicherheitslücke nicht betroffen ist.



    1 mal bearbeitet, zuletzt am 03.11.14 17:30 durch Nightdive.

  8. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Heinzel 03.11.14 - 23:11

    Der GIF-JS-Trick ist alter Wein in neuen Schläuchen...

    Viel lustiger ist doch, daß viele Leute ihren alternativen Webserver (z.B. nginx) so falsch aufsetzen, daß in hochgeladene Bilder eingebetteter PHP-Code ausgeführt wird. Da PHP so ein ziemlich Allesfresser ist muss man sich plötzlich selbst darum kümmern, festzustellen, daß eine Datei existiert und tatsächlich PHP enthält...

    JavaScript ist dagegen doch nur Pillepalle. ;)

  9. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hannob (golem.de) 04.11.14 - 11:32

    Nightdive schrieb:
    --------------------------------------------------------------------------------
    > Die Gecko Engine hat eigentlich noch nie Content-sniffing gemacht wenn der
    > Server einen Content-type mitgeliefert hat.
    [...]
    > Die Sauerei mit diesem Artikel ist das der Eindruck erweckt wird das
    > IE/Chrome hier die guten sind weil sie diesen Header unterstützen und
    > Firefox wieder hinterherhängt.
    > Fakt ist aber das Firefox nicht von dieser neuauflage einer alten
    > Sicherheitslücke nicht betroffen ist.

    Sorry, nein: Das ist falsch. Firefox macht genauso Content Sniffing wie die anderen Browser. Schau dir mal meinen testcase unter gifjs.tlsfun.de an.
    Das Javascript im GIF wird von Firefox ausgeführt. Das GIF wird als image/gif ausgeliefert.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. Mediengruppe Pressedruck, Augsburg
  3. SySS GmbH, Tübingen, Frankfurt am Main, München, Wien (Österreich)
  4. Schaeffler Automotive Buehl GmbH & Co. KG, Bühl

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. 3 Spiele für 49€ und SanDisk Ultra 400 GB microSDXC + Adapter für 47€)
  2. 77,90€ (Bestpreis!)
  3. 129,99€ (mit Vorbesteller-Preisgarantie)
  4. 129,99€ (mit Vorbesteller-Preisgarantie)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch
  3. Consumer Electronics Show Die Konzept-Messe

Fitnesstracker im Test: Aldi sportlich abgeschlagen hinter Honor und Mi Band 4
Fitnesstracker im Test
Aldi sportlich abgeschlagen hinter Honor und Mi Band 4

Alle kosten um die 30 Euro, haben ähnliche Funktionen - trotzdem gibt es bei aktuellen Fitnesstrackern von Aldi, Honor und Xiaomi spürbare Unterschiede. Als größte Stärke des Geräts von Aldi empfanden wir kurioserweise eine technische Schwäche.
Von Peter Steinlechner

  1. Wearable Acer und Vatikan präsentieren smarten Rosenkranz
  2. Apple Watch Series 5 im Test Endlich richtungsweisend
  3. Suunto 5 Sportuhr mit schlauem Akku vorgestellt

Holo-Monitor angeschaut: Looking Glass' 8K-Monitor erzeugt Holo-Bild
Holo-Monitor angeschaut
Looking Glass' 8K-Monitor erzeugt Holo-Bild

CES 2020 Mit seinem neuen 8K-Monitor hat Looking Glass Factory eine Möglichkeit geschaffen, ohne zusätzliche Hardware 3D-Material zu betrachten. Die holographische Projektion wird in einem Glaskubus erzeugt und sieht beeindruckend realistisch aus.
Von Tobias Költzsch und Martin Wolf

  1. UHD Alliance Fernseher mit Filmmaker-Modus kommen noch 2020
  2. Alienware Concept Ufo im Hands on Die Switch für Erwachsene
  3. Galaxy Home Mini Samsung schraubt Erwartungen an Bixby herunter

  1. Stuttgart: Vodafone bringt LTE im UMTS-Bereich in die U-Bahn
    Stuttgart
    Vodafone bringt LTE im UMTS-Bereich in die U-Bahn

    Stuttgart erhält besseres Netz in der U-Bahn durch LTE bei 2.100 MHz. Vodafone hat hier die Projektführung. Der Bereich war eigentlich für den UMTS-Betrieb vorgesehen.

  2. Gegen Huawei: Telefónica Deutschland setzt auf Open-RAN-Architektur
    Gegen Huawei
    Telefónica Deutschland setzt auf Open-RAN-Architektur

    Auch wenn Telefónica Deutschland Huawei verteidigt, will man gerne unabhängig werden. Dafür will der Konzern auch in Deutschland Open RAN einsetzen.

  3. 10-nm-Prozessor: Intel-Benchmarks zeigen Ice-Lake-Rückstand
    10-nm-Prozessor
    Intel-Benchmarks zeigen Ice-Lake-Rückstand

    Eigentlich wollte Intel demonstrieren, wie viel besser die eigenen Ultrabook-Chips verglichen mit AMDs (alten) Ryzen-Modellen abschneiden. Dabei zeigt sich aber auch, dass die 10-nm-Ice-Lake-Prozessoren zumindest CPU-seitig langsamer sind als ihre 14-nm-Comet-Lake-Pendants.


  1. 19:02

  2. 18:14

  3. 17:49

  4. 17:29

  5. 17:10

  6. 17:01

  7. 16:42

  8. 16:00