1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HEIST: Timing- und…

wie funktioniert das trotz Same Origin Policy?

  1. Thema

Neues Thema Ansicht wechseln


  1. wie funktioniert das trotz Same Origin Policy?

    Autor: StopTrolling 04.08.16 - 15:05

    Es geht ja um Webseiten von dritten, oder? Andernfalls könnte man ja dank Javascript sowieso jeden Inhalt aus der Webseite auslesen. Wie kann das trotz Same Origin Policy funktionieren?
    Wenn wir mal das Szenario aus Kapitel 3.2.1 Search-based information disclosure in deren Paper ( https://tom.vg/papers/heist_blackhat2016.pdf ) annehmen:
    catpicz.com gehört dem Angreifer und kann damit bösartige Javascript ausführen, soweit so gut. Um an die Kreditkartenummer zu kommen werden Suchanfragen auf https://snailmail.org/search ausgeführt. Der Javascript Code liegt doch aber auf catpicz.com und damit sollte ein Request aus dem Kontext von catpicz.com auf snailmail.com doch zu einem Fehler führen, sofern nicht explizit ein CORS Header gesetzt wurde. Wo ist mein Denkfehler?

  2. Re: wie funktioniert das trotz Same Origin Policy?

    Autor: hab (Golem.de) 04.08.16 - 18:00

    Die Same Origin Policy schützt davor, dass ein Angreifer Daten von einem fremden Host lesen kann. Sie verbietet aber nicht Requests an einen fremden Host.

    Der Angreifer kann daher zwar die Antwort auf den Request nicht sehen, aber er kann den Request auslösen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. BEHG HOLDING AG, Berlin
  2. DAW SE, Ober-Ramstadt
  3. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  4. SENSIS GmbH, Viersen bei Mönchengladbach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de