Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HEIST: Timing- und…

wie funktioniert das trotz Same Origin Policy?

  1. Thema

Neues Thema Ansicht wechseln


  1. wie funktioniert das trotz Same Origin Policy?

    Autor: StopTrolling 04.08.16 - 15:05

    Es geht ja um Webseiten von dritten, oder? Andernfalls könnte man ja dank Javascript sowieso jeden Inhalt aus der Webseite auslesen. Wie kann das trotz Same Origin Policy funktionieren?
    Wenn wir mal das Szenario aus Kapitel 3.2.1 Search-based information disclosure in deren Paper ( https://tom.vg/papers/heist_blackhat2016.pdf ) annehmen:
    catpicz.com gehört dem Angreifer und kann damit bösartige Javascript ausführen, soweit so gut. Um an die Kreditkartenummer zu kommen werden Suchanfragen auf https://snailmail.org/search ausgeführt. Der Javascript Code liegt doch aber auf catpicz.com und damit sollte ein Request aus dem Kontext von catpicz.com auf snailmail.com doch zu einem Fehler führen, sofern nicht explizit ein CORS Header gesetzt wurde. Wo ist mein Denkfehler?

  2. Re: wie funktioniert das trotz Same Origin Policy?

    Autor: hannob (golem.de) 04.08.16 - 18:00

    Die Same Origin Policy schützt davor, dass ein Angreifer Daten von einem fremden Host lesen kann. Sie verbietet aber nicht Requests an einen fremden Host.

    Der Angreifer kann daher zwar die Antwort auf den Request nicht sehen, aber er kann den Request auslösen.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ElringKlinger AG, Reutlingen
  2. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart
  3. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  4. Carl Spaeter Südwest GmbH, Karlsruhe

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. (2 Monate Sky Ticket für nur 4,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Esa Sonnensystemforschung ohne Plutonium
  2. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  3. Mission Horizons @Astro_Alex fliegt wieder

  1. Satelliteninternet: Fraunhofer erreicht hohe Datenrate mit Beam Hopping
    Satelliteninternet
    Fraunhofer erreicht hohe Datenrate mit Beam Hopping

    Satelliteninternet kann mit DVB-S2X und Beam Hopping sehr viel mehr als bisher. Das will das Fraunhofer IIS bewiesen haben.

  2. Yager: Berliner Entwicklerstudio stellt Actionspiel The Cycle vor
    Yager
    Berliner Entwicklerstudio stellt Actionspiel The Cycle vor

    In 20 Minuten so viel erledigen wie möglich, Koop-Partnerschaften schließen - und überleben: Das ist das Grundprinzip von The Cycle. Hinter dem Shooter steckt das Entwicklerstudio Yager, vor allem für Spec Ops: The Line und Dreadnought bekannt ist.

  3. Macbook Pro: Apple kann den Core i9 nicht kühlen
    Macbook Pro
    Apple kann den Core i9 nicht kühlen

    Wird auf dem Macbook Pro ein längeres Videoprojekt exportiert, ist das Modell mit Core i9 langsamer als das von 2017, da die CPU unter den Basistakt drosselt. Apple könnte per Firmware-Update eingreifen.


  1. 18:05

  2. 17:46

  3. 17:31

  4. 17:15

  5. 17:00

  6. 15:40

  7. 15:16

  8. 15:00