Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HEIST: Timing- und…

wie funktioniert das trotz Same Origin Policy?

  1. Thema

Neues Thema Ansicht wechseln


  1. wie funktioniert das trotz Same Origin Policy?

    Autor: StopTrolling 04.08.16 - 15:05

    Es geht ja um Webseiten von dritten, oder? Andernfalls könnte man ja dank Javascript sowieso jeden Inhalt aus der Webseite auslesen. Wie kann das trotz Same Origin Policy funktionieren?
    Wenn wir mal das Szenario aus Kapitel 3.2.1 Search-based information disclosure in deren Paper ( https://tom.vg/papers/heist_blackhat2016.pdf ) annehmen:
    catpicz.com gehört dem Angreifer und kann damit bösartige Javascript ausführen, soweit so gut. Um an die Kreditkartenummer zu kommen werden Suchanfragen auf https://snailmail.org/search ausgeführt. Der Javascript Code liegt doch aber auf catpicz.com und damit sollte ein Request aus dem Kontext von catpicz.com auf snailmail.com doch zu einem Fehler führen, sofern nicht explizit ein CORS Header gesetzt wurde. Wo ist mein Denkfehler?

  2. Re: wie funktioniert das trotz Same Origin Policy?

    Autor: hannob (golem.de) 04.08.16 - 18:00

    Die Same Origin Policy schützt davor, dass ein Angreifer Daten von einem fremden Host lesen kann. Sie verbietet aber nicht Requests an einen fremden Host.

    Der Angreifer kann daher zwar die Antwort auf den Request nicht sehen, aber er kann den Request auslösen.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Deloitte, Berlin
  2. Ruhrbahn GmbH, Essen
  3. TUI InfoTec GmbH, Hannover
  4. Knauf Information Services GmbH, Iphofen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 264€ + 5,99€ Versand
  2. ASUS-Gaming-Produkt kaufen und bis zu 150€ Cashback erhalten
  3. täglich neue Deals


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  2. Vuzix Blade im Hands on Neue Datenbrille mit einem scharfen und hellen Bild
  3. Digitale Assistenten Hey, Google und Alexa, mischt euch nicht überall ein!

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

Security: Das Jahr, in dem die Firmware brach
Security
Das Jahr, in dem die Firmware brach
  1. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  2. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii
  3. Asynchronous Ratcheting Tree Facebook demonstriert sicheren Gruppenchat für Apps

  1. Nintendo Labo: Switch plus Pappe
    Nintendo Labo
    Switch plus Pappe

    Ein ferngesteuertes Auto oder ein kleines Klavier: Nintendo kündigt für die Switch neues Zubehör an - aus Pappe zum Zusammenstecken. Im Trailer macht Nintendo Labo mit seinem Hightech-Innenleben einen faszinierenden Eindruck.

  2. Apple: Messages-App kann mit Nachricht zum Absturz gebracht werden
    Apple
    Messages-App kann mit Nachricht zum Absturz gebracht werden

    Derzeit haben einige Apple-Nutzer Probleme mit einem github.io-Link. Dieser kann die in iOS und MacOS integrierte Nachrichtenapp zum Absturz bringen und zu Darstellungsfehlern führen. Nutzer können über Jugendschutzeinstellungen Abhilfe schaffen.

  3. Analog: Kabelnetzkunden in falscher Sorge wegen DVB-T-Abschaltung
    Analog
    Kabelnetzkunden in falscher Sorge wegen DVB-T-Abschaltung

    Der Hamburger Kabelnetzbetreiber Willy.tel hat viele Kunden, die nicht wissen, woher sie ihr Fernsehsignal beziehen. Sie dachten, sie seien vom Aus für DVB-T betroffen.


  1. 00:02

  2. 19:25

  3. 19:18

  4. 18:34

  5. 17:20

  6. 15:46

  7. 15:30

  8. 15:09