Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HEIST: Timing- und…

Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: mustermensch 04.08.16 - 10:38

    Die Frage hat sich mir beim lesen des Artikels zuerst gestellt.

    Was wohl gemeint ist: Das Javascript kann sich auf einer beliebigen ANDEREN Seite befinden, nicht auf der anzugreifenden.

    Also reicht es den User z.B. verleiten auf eine Pr0n-Seite zu klicken, die dann im Hintergrund Anfragen an dessen Homebanking-Seite schickt und mit Glück seinen Login dort stehlen kann sollte er zu dem Zeitpunkt dort auch eingeloggt sein.

  2. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: chefin 04.08.16 - 11:23

    Es reicht irgendwo ein Javascript einzuschleusen. Weil fast keine Seiten mehr ausschliesslich mit Zurgriff auf eine Domain funktionieren. Fast alle binden Werbung ein und die kommt von einer dritten Stelle.

    Potentiell unsichere Seite verwendet man anders als potentiell sichere. Wie zb deine Bankingseite. Die aber mehr als einen Server abfragt. Auch dort sind tracking und Werbeserver eingebunden die nicht unter der Kontrolle dr Bank stehen.

    Sicher ist es also nur, wenn die Seite ausschliesslich daten von einer Domain bezieht und du diese Domain sauber absicherst. Den Angriff könnte man auch unterbinden indem man ALLE Seiten die es gibt sauber absichert, so das Kriminelle nichts einschluesen können. Tja...und daran siehst du das diese Lücke anders geschlossen werden muss.

  3. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: LASERwalker 04.08.16 - 11:41

    Du hast das falsch gelesen. HTTP2 kann gleichzeitig mehrere Seiten vom GLEICHEM Server anfordern.

    Dabei werden aber beide Seiten zusammen komprimiert. Wenn nun der eingeschleuste Text (zB. dieser Text hier im Forum) eine Zeichenfolge mit dem geheimen Session-Cookie (zB. phorum_session_v5_dev) geheimsam hat, wird die Antwort durch die Komprimierung kleiner.

  4. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: mustermensch 09.08.16 - 13:56

    LASERwalker schrieb:
    --------------------------------------------------------------------------------
    > Du hast das falsch gelesen. HTTP2 kann gleichzeitig mehrere Seiten vom
    > GLEICHEM Server anfordern.

    Nein habe ich nicht. Das mit Http2 ist eine weitere Variante des Angriffs (du benötigst dann keinen Parameter der reflektiert wird in der anzugreifenen Seite mehr, es reicht wenn irgendeine Seite auf dem Server dies hat).
    Das Angriff an sich funktioniert aber auch mit ganz normalem HTTP.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hella Gutmann Solutions GmbH, Ihringen
  2. SIZ GmbH, Bonn
  3. Spiegel-Verlag Rudolf Augstein GmbH & Co. KG, Hamburg
  4. SCISYS Deutschland GmbH, Bochum

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 704,99€ inkl. Versand (Vergleichspreis 748,88€)
  2. 49,99€/59,99€
  3. für 849€ (Einzelpreis der Grafikkarte im Vergleich teurer als das Bundle)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Deutsche Siri auf dem Homepod im Test: Amazon und Google können sich entspannt zurücklehnen
Deutsche Siri auf dem Homepod im Test
Amazon und Google können sich entspannt zurücklehnen

In diesem Monat kommt der dritte digitale Assistent auf einem smarten Lautsprecher nach Deutschland: Siri. Wir haben uns angehört, was die deutsche Version auf dem Homepod leistet.
Ein Test von Ingo Pakalski

  1. Patentantrag von Apple Neues Verfahren könnte Siri schlauer machen
  2. Siri vs. Google Assistant Apple schnappt sich Googles KI-Chefentwickler
  3. Digitaler Assistent Apple will Siri verbessern

Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
Kreuzschifffahrt
Wie Brennstoffzellen Schiffe sauberer machen

Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
Von Werner Pluta

  1. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  2. Roboat MIT-Forscher drucken autonom fahrende Boote
  3. Elektromobilität Norwegen baut mehr Elektrofähren

In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
In eigener Sache
Freie Schreiber/-innen für Jobthemen gesucht

IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

  1. Leserumfrage Wie sollen wir Golem.de erweitern?
  2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
  3. Leserumfrage Wie gefällt Ihnen Golem.de?

  1. Notebook: Apple gibt nach Monaten Fehler bei Macbook-Tastatur zu
    Notebook
    Apple gibt nach Monaten Fehler bei Macbook-Tastatur zu

    Die Tastaturen in Macbook- oder Macbook-Pro-Modellen können fehlerhaft sein. Das hat Apple nach mehreren Monaten zugegeben. Betroffene Kunden können sich kostenlos eine funktionierende Tastatur in ihr Notebook einbauen lassen.

  2. Oberstes US-Gericht: Durchsuchungsbefehl für Abfrage von Handyposition notwendig
    Oberstes US-Gericht
    Durchsuchungsbefehl für Abfrage von Handyposition notwendig

    Der oberste US-Gerichtshof der USA hat den Schutz der Privatsphäre erhöht. Sicherheitsbehörden dürfen nicht einfach auf die Funkmastdaten eines Handys zugreifen. Dafür wird ein richterlich angeordneter Durchsuchungsbefehl verlangt.

  3. Vodafone: Edeka Mobil erhält mehr ungedrosseltes Datenvolumen
    Vodafone
    Edeka Mobil erhält mehr ungedrosseltes Datenvolumen

    Edeka Mobil von Vodafone lebt weiter und die Leistungen des Tarifs werden aufgestockt. Das ungedrosselte Datenvolumen erhöht sich ohne Preisaufschlag. Zudem ist es einfacher geworden, das Guthaben aufzuladen.


  1. 11:59

  2. 11:33

  3. 10:59

  4. 10:22

  5. 09:02

  6. 17:15

  7. 16:45

  8. 16:20