Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HEIST: Timing- und…

wie funktioniert das trotz Same Origin Policy?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. wie funktioniert das trotz Same Origin Policy?

    Autor: StopTrolling 04.08.16 - 15:05

    Es geht ja um Webseiten von dritten, oder? Andernfalls könnte man ja dank Javascript sowieso jeden Inhalt aus der Webseite auslesen. Wie kann das trotz Same Origin Policy funktionieren?
    Wenn wir mal das Szenario aus Kapitel 3.2.1 Search-based information disclosure in deren Paper ( https://tom.vg/papers/heist_blackhat2016.pdf ) annehmen:
    catpicz.com gehört dem Angreifer und kann damit bösartige Javascript ausführen, soweit so gut. Um an die Kreditkartenummer zu kommen werden Suchanfragen auf https://snailmail.org/search ausgeführt. Der Javascript Code liegt doch aber auf catpicz.com und damit sollte ein Request aus dem Kontext von catpicz.com auf snailmail.com doch zu einem Fehler führen, sofern nicht explizit ein CORS Header gesetzt wurde. Wo ist mein Denkfehler?

  2. Re: wie funktioniert das trotz Same Origin Policy?

    Autor: hannob (golem.de) 04.08.16 - 18:00

    Die Same Origin Policy schützt davor, dass ein Angreifer Daten von einem fremden Host lesen kann. Sie verbietet aber nicht Requests an einen fremden Host.

    Der Angreifer kann daher zwar die Antwort auf den Request nicht sehen, aber er kann den Request auslösen.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Consultix GmbH, Bremen
  2. Bäderbetriebe Stuttgart, Stuttgart
  3. HORIBA Europe GmbH, Oberursel
  4. LAWO Informationssysteme GmbH, Rastatt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 56,08€ (Vergleichspreis ab ca. 65€)
  2. 599€ + 5,99€ Versand
  3. 24,04€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bundestagswahl 2017: Ein Hoffnungsschimmer für die Netzpolitik
Bundestagswahl 2017
Ein Hoffnungsschimmer für die Netzpolitik
  1. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher
  2. Störerhaftung abgeschafft Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch
  3. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe

  1. Mobiles Betriebssystem: Apple veröffentlicht überraschend iOS 11.0.1
    Mobiles Betriebssystem
    Apple veröffentlicht überraschend iOS 11.0.1

    Apple hat nur kurz nach der Vorstellung von iOS 11 ein Update hinterhergeschoben. Was iOS 11.0.1 macht, verriet Apple bisher nicht. Es handle sich um ein Wartungsupdate, heißt es beim Hersteller. Einige Nutzer berichten seit iOS 11 von kurzen Akkulaufzeiten und Tonproblemen beim Telefonieren.

  2. Banking-App: Outbank im Insolvenzverfahren
    Banking-App
    Outbank im Insolvenzverfahren

    Der Betreiber der großen Banking-App kann seine Rechnungen nicht mehr bezahlen. Wird kein Käufer gefunden, muss Outbank eingestellt werden.

  3. Glasfaser: Telekom wegen fehlendem FTTH massiv unter Druck
    Glasfaser
    Telekom wegen fehlendem FTTH massiv unter Druck

    Durch ihren radikalen Vectoring-Kurs verliert die Telekom in München, Hamburg und Köln immer mehr Kunden an die Glasfaserbetreiber der Stadtwerke. Daher musste auch Deutschlandchef van Damme gehen.


  1. 23:09

  2. 19:13

  3. 18:36

  4. 17:20

  5. 17:00

  6. 16:44

  7. 16:33

  8. 16:02