Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HEIST: Timing- und…

Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: mustermensch 04.08.16 - 10:38

    Die Frage hat sich mir beim lesen des Artikels zuerst gestellt.

    Was wohl gemeint ist: Das Javascript kann sich auf einer beliebigen ANDEREN Seite befinden, nicht auf der anzugreifenden.

    Also reicht es den User z.B. verleiten auf eine Pr0n-Seite zu klicken, die dann im Hintergrund Anfragen an dessen Homebanking-Seite schickt und mit Glück seinen Login dort stehlen kann sollte er zu dem Zeitpunkt dort auch eingeloggt sein.

  2. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: chefin 04.08.16 - 11:23

    Es reicht irgendwo ein Javascript einzuschleusen. Weil fast keine Seiten mehr ausschliesslich mit Zurgriff auf eine Domain funktionieren. Fast alle binden Werbung ein und die kommt von einer dritten Stelle.

    Potentiell unsichere Seite verwendet man anders als potentiell sichere. Wie zb deine Bankingseite. Die aber mehr als einen Server abfragt. Auch dort sind tracking und Werbeserver eingebunden die nicht unter der Kontrolle dr Bank stehen.

    Sicher ist es also nur, wenn die Seite ausschliesslich daten von einer Domain bezieht und du diese Domain sauber absicherst. Den Angriff könnte man auch unterbinden indem man ALLE Seiten die es gibt sauber absichert, so das Kriminelle nichts einschluesen können. Tja...und daran siehst du das diese Lücke anders geschlossen werden muss.

  3. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: LASERwalker 04.08.16 - 11:41

    Du hast das falsch gelesen. HTTP2 kann gleichzeitig mehrere Seiten vom GLEICHEM Server anfordern.

    Dabei werden aber beide Seiten zusammen komprimiert. Wenn nun der eingeschleuste Text (zB. dieser Text hier im Forum) eine Zeichenfolge mit dem geheimen Session-Cookie (zB. phorum_session_v5_dev) geheimsam hat, wird die Antwort durch die Komprimierung kleiner.

  4. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: mustermensch 09.08.16 - 13:56

    LASERwalker schrieb:
    --------------------------------------------------------------------------------
    > Du hast das falsch gelesen. HTTP2 kann gleichzeitig mehrere Seiten vom
    > GLEICHEM Server anfordern.

    Nein habe ich nicht. Das mit Http2 ist eine weitere Variante des Angriffs (du benötigst dann keinen Parameter der reflektiert wird in der anzugreifenen Seite mehr, es reicht wenn irgendeine Seite auf dem Server dies hat).
    Das Angriff an sich funktioniert aber auch mit ganz normalem HTTP.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. msg DAVID GmbH, Braunschweig
  2. ELO Digital Office GmbH über HÖRRMANN & KNÖRINGER Personalberatung GmbH, Stuttgart
  3. Max Weishaupt GmbH, Schwendi
  4. Schaeffler Technologies AG & Co. KG, Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Mini-Schraubendreher-Set für 8,99€ und Digitalmultimeter EM393 für 13,99€)
  2. und mit Gutscheincode bis zu 40€ sparen
  3. 52,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Krypto-Mining AMDs Threadripper schürft effizient Monero
  2. AMD Zen+ und Zen 2 sind gegen Spectre gehärtet
  3. Pinnacle Ridge Asus aktualisiert Mainboard für Ryzen 2000

Dorothee Bär: Netzbetreiber werden über 100 MBit/s angeblich kaum los
Dorothee Bär
Netzbetreiber werden über 100 MBit/s angeblich kaum los
  1. FTTH/B Glasfaser wird in Deutschland besser nachgefragt
  2. Koalitionsvertrag fertig "Glasfaser möglichst direkt bis zum Haus"
  3. Glasfaser Telekom weitet FTTH-Pilotprojekt auf vier Orte aus

Hightech im Haushalt: Der Bügel-Battle fällt leider aus
Hightech im Haushalt
Der Bügel-Battle fällt leider aus
  1. Smart Home Hardwareteams von Nest und Google werden zusammengeführt
  2. Lingufino Sprachgesteuerter Kobold kuschelt auch mit Datenschützern
  3. Apple Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

  1. Microsoft: Windows on ARM ist inkompatibel zu 64-Bit-Programmen
    Microsoft
    Windows on ARM ist inkompatibel zu 64-Bit-Programmen

    Microsoft hat die Dokumentation zu Windows on ARM veröffentlicht. Der zweite Versuch, Windows mit ARM zusammenzubringen, hat deutlich weniger Einschränkungen als Windows RT. Aber an einigen Stellen bleiben Limitierungen.

  2. Fehler bei Zwei-Faktor-Authentifizierung: Facebook will keine Benachrichtigungen per SMS schicken
    Fehler bei Zwei-Faktor-Authentifizierung
    Facebook will keine Benachrichtigungen per SMS schicken

    In den vergangenen Tagen ist Facebook damit aufgefallen, dass das soziale Netzwerk die Telefonnummer für die Zwei-Faktor-Authentifizierung des Nutzers für das Verschicken seiner Benachrichtigungen missbraucht. Mittlerweile bestätigt Facebook dies und gibt einem Fehler im System die Schuld.

  3. Europa-SPD: Milliardenfonds zum Ausbau von Elektrotankstellen gefordert
    Europa-SPD
    Milliardenfonds zum Ausbau von Elektrotankstellen gefordert

    Der Ausbreitung der Elektromobilität und Wasserstoffwirtschaft steht eine nur schwach ausgebaute Infrastruktur gegenüber, meinen die europäischen Sozialdemokraten. Sie wollen den Aufbau über einen EU-Fonds fördern. Dafür seien 24 Milliarden Euro nötig.


  1. 19:40

  2. 14:41

  3. 13:45

  4. 13:27

  5. 09:03

  6. 17:10

  7. 16:45

  8. 15:39