1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Javascript-Code…

Ich stehe warscheinlich gerade auf dem Schlauch

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Hans Schmucker 03.11.14 - 12:03

    Aber wo ist denn die Gefahr? Ich habe jetzt eine Script Datei auf einem Server, der eigentlich nur ein Bild von mir wollte. Schön. Ich kann sie auch ausführen, indem ich einen Script Tag auf MEINER Seite setzt und den Code damit wieder in MEINER Domäne ausführe. Sofern mir der andere Server aber nicht das setzen von Script Tags erlaubt kann ich ihn nicht in seiner Domäne ausführen, was effektiv heißt, dass ich nichts gewonnen habe, außer die Bandbreite des Servers für mein Script zu klauen.

    Nur wenn der andere Server mir das setzen von Script-Tags erlaubt, die er mittels Whitelist filtert (was nie eine gute Idee wäre) tritt eine gefährliche Situation auf.

    Korrekt?

    EDIT:
    Sorry, das hier ist quasi ein Duplikat von diesem Thread

    ...zeitgleich gepostet.



    3 mal bearbeitet, zuletzt am 03.11.14 12:06 durch Hans Schmucker.

  2. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hannob (golem.de) 03.11.14 - 12:07

    Also wie im Text steht: Um das auszunutzen brauchst Du *zusätzlich* eine andere Lücke mit der Du den HTML-Tag <script> einfügen kannst.

    Aber: Genau das ausnutzen solcher Lücken sollte CSP eigentlich verhindern. Da solche einfachen XSS-Lücken sehr häufig sind hat man CSP überhaupt erst erfunden.

    Oder anders ausgedrückt: Das alleine ist noch keine Lücke. Aber es hilft dabei, andere Lücken, die eigentlich geblockt werden sollten, wieder kritisch zu machen.

  3. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Itchy 03.11.14 - 13:14

    Fassen wir also zusammen:

    - Das eigentliche Problem ist, dass Anwendungen schlampig programmiert sind und XSS Lücken aufweisen
    - Anstatt das Problem in der Ursache zu beheben (Anwendungen korrekt programmieren), wird mit CSP ein NEUER Header eingeführt, der das Problem kaschieren kann (sofern jemand die Header setzt)
    - Diese Lösung wird dadurch aber wieder aufgerissen, dass Browser sich über MIME-Type Angaben der Webserver hinwegsetzen, weil diese oftmals schlampig konfiguriert sind
    - Anstatt die Header richtig zu setzen und das Browserverhalten zu korrigieren wird ein NEUER Header eingeführt, der dieses Verhalten explizit außer Kraft setzen soll

    Es dauert genau noch 2 Jahre und es gibt den nächsten Header, garantiert.

  4. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Anonymer Nutzer 03.11.14 - 13:29

    ein html komplett frei von javascript zu machen, ist eine unglaublich komplizierte aufgabe. csp ist nur ein weg, um diese aufgabe noch einmal abzusichern. sicherheit ist halt dann doch oft eine sammlung an maßnahmen und nicht nur eine.

  5. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Itchy 03.11.14 - 14:32

    Ich finde es nur paradox, wie angenommen wird, dass zwar die Anwendungsentwickler nicht in der Lage sind, XSS-freie Anwendungen zu schreiben aber den Administratoren zugetraut wird, diese Schwächen durch das Setzen von irgendwelchen obskuren Headern zu mitigieren.

    Aber gut, die Hersteller von Application Firewalls müssen auch von etwas leben.

  6. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hannob (golem.de) 03.11.14 - 14:58

    Itchy schrieb:
    --------------------------------------------------------------------------------
    > Ich finde es nur paradox, wie angenommen wird, dass zwar die
    > Anwendungsentwickler nicht in der Lage sind, XSS-freie Anwendungen zu
    > schreiben aber den Administratoren zugetraut wird, diese Schwächen durch
    > das Setzen von irgendwelchen obskuren Headern zu mitigieren.

    Um CSP müssen sich auch die Anwendungsentwickler kümmern. Man muss da im Prinzip von Grund auf eine Applikation drauf designen, weil inline-javascript damit nicht mehr erlaubt ist.

    Generell ist es halt so: Wir wissen seit circa 20 Jahren was XSS ist. Trotzdem sind XSS-Lücken weit verbreitet - und das nicht nur bei unfähigen Programmierern von 08/15-Webklitschen, das passiert regelmäßig auch den ganz großen Seiten. Es gibt unglaublich viele Tricks wie man in verschiedenen Situationen XSS hervorrufen kann und moderne Webanwendungen mit JSON, WYSIWYG-Editoren etc. führen immer wieder neue potentielle Risiken ein.

    CSP ist der Versuch, dem grundsätzlich einen Riegel vorzuschieben, weil die Erfahrung einfach zeigt: XSS-Lücken einzeln fixen funktioniert nicht zuverlässig.

    Die Sache dass Browser falsche mimetypes akzeptieren ist eines von leider vielen Problemen, wo man in der Vergangenheit "aus Kompatibilitätsgründen" Unterstützung für problematische Dinge eingeführt hat, die einem jetzt auf die Füße fallen. POODLE war ja auch so eine Sache.

    Was man sich halt klarmachen muss: Websicherheit ist eine riesige Dauerbaustelle. Das ganze ist halt "organisch gewachsen" und viele Features wurden von Leuten entwickelt, bei denen Sicherheit nicht unbedingt an erster Stelle stand. Damit müssen wir leben, weil es kaum realistisch ist, das Web von Grund auf neu zu entwickeln.

  7. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Nightdive 03.11.14 - 17:22

    hannob (golem.de) schrieb:
    > Die Sache dass Browser falsche mimetypes akzeptieren ist eines von leider
    > vielen Problemen, wo man in der Vergangenheit "aus Kompatibilitätsgründen"
    > Unterstützung für problematische Dinge eingeführt hat, die einem jetzt auf
    > die Füße fallen. POODLE war ja auch so eine Sache.

    IE hat mit dem Content-sniffing angefangen und musste jetzt so einen seltsamen Header einführen um davon wieder weg zu kommen.

    Die Gecko Engine hat eigentlich noch nie Content-sniffing gemacht wenn der Server einen Content-type mitgeliefert hat. Die einzige Ausnahme sind image/* wo Gecko auch ein Gif Bild als image/png akzeptiert aber das ist normalerweise kein Sicherheitsproblem. Genutzt wird dabei auch die Magic Number (GIF98a ,...)

    webkit/blink hat dann den selben dämlichen Weg wie IE eingeschlagen und braucht nun den zusätzlichen Header.

    > Was man sich halt klarmachen muss: Websicherheit ist eine riesige
    > Dauerbaustelle. Das ganze ist halt "organisch gewachsen" und viele Features
    > wurden von Leuten entwickelt, bei denen Sicherheit nicht unbedingt an
    > erster Stelle stand. Damit müssen wir leben, weil es kaum realistisch ist,
    > das Web von Grund auf neu zu entwickeln.

    Content-sniffing war noch nie notwendig wenn ein Content-type mitgeliefert wurde !
    Der Header wurde doch extra dafür eingeführt damit der Client nicht raten muss.

    Die Sauerei mit diesem Artikel ist das der Eindruck erweckt wird das IE/Chrome hier die guten sind weil sie diesen Header unterstützen und Firefox wieder hinterherhängt.
    Fakt ist aber das Firefox nicht von dieser neuauflage einer alten Sicherheitslücke nicht betroffen ist.



    1 mal bearbeitet, zuletzt am 03.11.14 17:30 durch Nightdive.

  8. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: Heinzel 03.11.14 - 23:11

    Der GIF-JS-Trick ist alter Wein in neuen Schläuchen...

    Viel lustiger ist doch, daß viele Leute ihren alternativen Webserver (z.B. nginx) so falsch aufsetzen, daß in hochgeladene Bilder eingebetteter PHP-Code ausgeführt wird. Da PHP so ein ziemlich Allesfresser ist muss man sich plötzlich selbst darum kümmern, festzustellen, daß eine Datei existiert und tatsächlich PHP enthält...

    JavaScript ist dagegen doch nur Pillepalle. ;)

  9. Re: Ich stehe warscheinlich gerade auf dem Schlauch

    Autor: hannob (golem.de) 04.11.14 - 11:32

    Nightdive schrieb:
    --------------------------------------------------------------------------------
    > Die Gecko Engine hat eigentlich noch nie Content-sniffing gemacht wenn der
    > Server einen Content-type mitgeliefert hat.
    [...]
    > Die Sauerei mit diesem Artikel ist das der Eindruck erweckt wird das
    > IE/Chrome hier die guten sind weil sie diesen Header unterstützen und
    > Firefox wieder hinterherhängt.
    > Fakt ist aber das Firefox nicht von dieser neuauflage einer alten
    > Sicherheitslücke nicht betroffen ist.

    Sorry, nein: Das ist falsch. Firefox macht genauso Content Sniffing wie die anderen Browser. Schau dir mal meinen testcase unter gifjs.tlsfun.de an.
    Das Javascript im GIF wird von Firefox ausgeführt. Das GIF wird als image/gif ausgeliefert.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Deloitte, Düsseldorf, München
  2. Deloitte, Berlin, Düsseldorf, Hamburg
  3. SySS GmbH, Tübingen, Frankfurt am Main, München, Wien (Österreich)
  4. ITEOS, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-40%) 32,99€
  2. 25,99€
  3. 4,65€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch
  3. Consumer Electronics Show Die Konzept-Messe

Fitnesstracker im Test: Aldi sportlich abgeschlagen hinter Honor und Mi Band 4
Fitnesstracker im Test
Aldi sportlich abgeschlagen hinter Honor und Mi Band 4

Alle kosten um die 30 Euro, haben ähnliche Funktionen - trotzdem gibt es bei aktuellen Fitnesstrackern von Aldi, Honor und Xiaomi spürbare Unterschiede. Als größte Stärke des Geräts von Aldi empfanden wir kurioserweise eine technische Schwäche.
Von Peter Steinlechner

  1. Wearable Acer und Vatikan präsentieren smarten Rosenkranz
  2. Apple Watch Series 5 im Test Endlich richtungsweisend
  3. Suunto 5 Sportuhr mit schlauem Akku vorgestellt

Mr. Robot rezensiert: Domo Arigato, Mr. Robot!
Mr. Robot rezensiert
Domo Arigato, Mr. Robot!

Wie im Achtziger-Klassiker Mr. Roboto von Styx hat auch Elliot in Mr. Robot Geheimnisse. Die Dramaserie um den Hacker ist nicht nur wegen Rami Malek grandios. Sie hat einen ganz eigenen beeindruckenden visuellen Stil und zeigt Hacking, wie es wirklich ist. Wir blicken nach dem Serienfinale zurück.
Eine Rezension von Oliver Nickel und Moritz Tremmel

  1. Openideo-Wettbewerb Die fünf besten Hacker-Symbolbilder sind ausgewählt
  2. Cyberangriffe Attribution ist wie ein Indizienprozess
  3. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken

  1. Gesichtserkennung: US-Firma baut heimlich Datenbank mit Milliarden Fotos auf
    Gesichtserkennung
    US-Firma baut heimlich Datenbank mit Milliarden Fotos auf

    Während automatisierte Gesichtserkennung auch in den USA umstritten ist, nutzen Behörden seit einiger Zeit eine enorme Datenbank für die Fahndung nach Verdächtigen. Die Nutzer wissen nichts vom Einsatz ihrer Bilder.

  2. Trotz Protesten: Tesla unterschreibt Kaufvertrag für Gigafactory
    Trotz Protesten
    Tesla unterschreibt Kaufvertrag für Gigafactory

    Der Tesla-Vorstand hat den Kauf eines Grundstücks für den Bau einer Autofabrik bei Berlin besiegelt. Doch in Grünheide befürchten Anwohner, dass ihnen die Fabrik für Elektroautos im trockenen Brandenburg buchstäblich das Wasser abgräbt.

  3. Künstliche Intelligenz: EU erwägt Verbot von Gesichtserkennung
    Künstliche Intelligenz
    EU erwägt Verbot von Gesichtserkennung

    Die EU-Kommission könnte der Bundesregierung einen Strich durch die Rechnung machen. Zumindest vorübergehend könnte der Einsatz automatisierter Systeme zur Gesichtserkennung verboten werden.


  1. 21:57

  2. 16:54

  3. 15:09

  4. 12:52

  5. 21:04

  6. 15:08

  7. 13:26

  8. 13:16