1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › HEIST: Timing- und…

wie funktioniert das trotz Same Origin Policy?

  2. Thema

Neues Thema

  1. wie funktioniert das trotz Same Origin Policy?

    Autor: StopTrolling 04.08.16 - 15:05

    Es geht ja um Webseiten von dritten, oder? Andernfalls könnte man ja dank Javascript sowieso jeden Inhalt aus der Webseite auslesen. Wie kann das trotz Same Origin Policy funktionieren?
    Wenn wir mal das Szenario aus Kapitel 3.2.1 Search-based information disclosure in deren Paper ( https://tom.vg/papers/heist_blackhat2016.pdf ) annehmen:
    catpicz.com gehört dem Angreifer und kann damit bösartige Javascript ausführen, soweit so gut. Um an die Kreditkartenummer zu kommen werden Suchanfragen auf https://snailmail.org/search ausgeführt. Der Javascript Code liegt doch aber auf catpicz.com und damit sollte ein Request aus dem Kontext von catpicz.com auf snailmail.com doch zu einem Fehler führen, sofern nicht explizit ein CORS Header gesetzt wurde. Wo ist mein Denkfehler?

  2. Re: wie funktioniert das trotz Same Origin Policy?

    Autor: hab (Golem.de) 04.08.16 - 18:00

    Die Same Origin Policy schützt davor, dass ein Angreifer Daten von einem fremden Host lesen kann. Sie verbietet aber nicht Requests an einen fremden Host.

    Der Angreifer kann daher zwar die Antwort auf den Request nicht sehen, aber er kann den Request auslösen.

  2. Thema

Neues Thema

Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login
Stellenmarkt
  1. Digital Process Spezialist:in
    enercity AG, Hannover
  2. Systemadministrator*in ARD Zentrale Mediensysteme (ARD-Sternpunkt)
    Hessischer Rundfunk Anstalt des öffentlichen Rechts, Frankfurt am Main
  3. IT-Innovation-Manager*in (w/m/d)
    Bundesanstalt für Immobilienaufgaben, Berlin, Potsdam, Bonn
  4. Koordinatorin / Koordinator (w/m/d) im operativen Betrieb der Rechenzentren
    Informationstechnikzentrum Bund (ITZBund), Bonn

Detailsuche

Golem pur
  • Golem.de ohne Werbung nutzen
Anzeige
Top-Angebote
  1. 79,99€ (Vergleichspreis 106,89€)
  3. 499€ (Vergleichspreis 715,14€)
  4. u. a. Fractal Design Ion+ 2 Platinum 660 W für 99,90€ + 6,99€ Versand statt 161,05€ im...
Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Playstation 5
PS5 Access Controller ausprobiert: Playstation-5-Spielspaß für alle Gamer
PS5 Access Controller ausprobiert
Playstation-5-Spielspaß für alle Gamer

Maximal konfigurierbar: Der PS5 Access Controller ist für Spieler mit Einschränkungen gedacht. Golem.de hat das Gamepad ausprobiert.
Von Peter Steinlechner

  1. Sony 50 Millionen Playstation 5 verkauft
  2. Sony Playstation 5 Slim in Deutschland verfügbar
  3. Sammelklage Playstation Store könnte Sony 7,2 Milliarden Euro kosten
golem retro_
Super Mario 64 (1996): Als Mario die dritte Dimension eroberte
Super Mario 64 (1996)
Als Mario die dritte Dimension eroberte

Super Mario 64 ist ein Grund, warum das Nintendo 64 zum Erfolg wurde. Unser Golem retro_ zeigt, wie das Spiel ein ganzes Genre definierte.
Von Oliver Nickel

  1. Mega Man 2 (1988) Mega Man rockt
Balkonkraftwerk
Powerstream-Wechselrichter: Mein Balkonkraftwerk, mein Strom
Powerstream-Wechselrichter
Mein Balkonkraftwerk, mein Strom

Mit dem Powerstream-Wechselrichter hat Ecoflow ein Gerät, das verschiedene Powerstationen des Herstellers als Energiespeicher nutzen kann. Wie gut das funktioniert und wie wirtschaftlich es ist, haben wir ein halbes Jahr lang getestet.
Von Mario Keller

  1. Erleichterungen bei Balkonkraftwerken Bundestag tritt bei Solarpaket auf die Bremse
  2. Juristisches Gutachten Wer haftet bei Schäden durch ein Balkonkraftwerk?
  3. Eigentümer und Mieter Anspruch auf Balkonkraftwerke kommt im Frühjahr 2024
Aktuelle Artikel »
  1. Candy Crushed: Royal Match wird profitabelstes Mobile Game
    Candy Crushed
    Royal Match wird profitabelstes Mobile Game

    Die langanhaltende Dominanz von Candy Crush Saga ist vorbei. Das meiste Geld verdient jetzt ein Start-up aus Istanbul mit einem Puzzlespiel.

  2. Datenschutz: ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern
    Datenschutz
    ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern

    Eigentlich sollte der Chatbot auf diese Anfrage gar nicht antworten. Tut er es dennoch, lauern womöglich noch viel brisantere Informationen.

  3. Updates für GPT-3 und GPT-4: GPT im Geschwindigkeitsrausch
    Updates für GPT-3 und GPT-4
    GPT im Geschwindigkeitsrausch

    OpenAIs Updates für GPT-4 und GPT-3 machen die Modelle zuverlässiger, vor allem aber anpassungsfähiger. Die Änderungen und neuen Features im Detail.

Ticker »
  1. Candy Crushed Royal Match wird profitabelstes Mobile Game

    14:12

  2. Datenschutz ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern

    13:27

  3. Updates für GPT-3 und GPT-4 GPT im Geschwindigkeitsrausch

    12:30

  4. Donald E. Knuth 30 Jahre Weihnachtsvorlesungen frei verfügbar

    11:12

  5. Autonomes Fahren Im Märzen der Bauer den Roboter einspannt

    10:00

  6. 25 Jahre Grim Fandango Toller Trip durch das Reich der Toten

    09:00

  7. Lohn und Gehalt OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr

    13:32

  8. USA Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu

    13:17