Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HEIST: Timing- und…

Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: mustermensch 04.08.16 - 10:38

    Die Frage hat sich mir beim lesen des Artikels zuerst gestellt.

    Was wohl gemeint ist: Das Javascript kann sich auf einer beliebigen ANDEREN Seite befinden, nicht auf der anzugreifenden.

    Also reicht es den User z.B. verleiten auf eine Pr0n-Seite zu klicken, die dann im Hintergrund Anfragen an dessen Homebanking-Seite schickt und mit Glück seinen Login dort stehlen kann sollte er zu dem Zeitpunkt dort auch eingeloggt sein.

  2. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: chefin 04.08.16 - 11:23

    Es reicht irgendwo ein Javascript einzuschleusen. Weil fast keine Seiten mehr ausschliesslich mit Zurgriff auf eine Domain funktionieren. Fast alle binden Werbung ein und die kommt von einer dritten Stelle.

    Potentiell unsichere Seite verwendet man anders als potentiell sichere. Wie zb deine Bankingseite. Die aber mehr als einen Server abfragt. Auch dort sind tracking und Werbeserver eingebunden die nicht unter der Kontrolle dr Bank stehen.

    Sicher ist es also nur, wenn die Seite ausschliesslich daten von einer Domain bezieht und du diese Domain sauber absicherst. Den Angriff könnte man auch unterbinden indem man ALLE Seiten die es gibt sauber absichert, so das Kriminelle nichts einschluesen können. Tja...und daran siehst du das diese Lücke anders geschlossen werden muss.

  3. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: LASERwalker 04.08.16 - 11:41

    Du hast das falsch gelesen. HTTP2 kann gleichzeitig mehrere Seiten vom GLEICHEM Server anfordern.

    Dabei werden aber beide Seiten zusammen komprimiert. Wenn nun der eingeschleuste Text (zB. dieser Text hier im Forum) eine Zeichenfolge mit dem geheimen Session-Cookie (zB. phorum_session_v5_dev) geheimsam hat, wird die Antwort durch die Komprimierung kleiner.

  4. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: mustermensch 09.08.16 - 13:56

    LASERwalker schrieb:
    --------------------------------------------------------------------------------
    > Du hast das falsch gelesen. HTTP2 kann gleichzeitig mehrere Seiten vom
    > GLEICHEM Server anfordern.

    Nein habe ich nicht. Das mit Http2 ist eine weitere Variante des Angriffs (du benötigst dann keinen Parameter der reflektiert wird in der anzugreifenen Seite mehr, es reicht wenn irgendeine Seite auf dem Server dies hat).
    Das Angriff an sich funktioniert aber auch mit ganz normalem HTTP.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Kommunale Datenverarbeitung Oldenburg (KDO), Oldenburg
  2. PHOENIX Pharmahandel GmbH & Co KG, Mannheim
  3. Bertrandt Ingenieurbüro GmbH, Köln
  4. Mercoline GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 199,90€
  3. mit Gutschein: NBBGRATISH10


Haben wir etwas übersehen?

E-Mail an news@golem.de


Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

Google Game Builder ausprobiert: Spieldesign mit Karten statt Quellcode
Google Game Builder ausprobiert
Spieldesign mit Karten statt Quellcode

Bitte Bild wackeln lassen und dann eine Explosion: Solche Befehle als Reaktion auf Ereignisse lassen sich im Game Builder relativ einfach verketten. Der Spieleeditor des Google-Entwicklerteams Area 120 ist nicht nur für Einsteiger gedacht - sondern auch für Profis, etwa für die Erstellung von Prototypen.
Von Peter Steinlechner

  1. Spielebranche Immer weniger wollen Spiele in Deutschland entwickeln
  2. Aus dem Verlag Neue Herausforderungen für Spieler und Entwickler

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

  1. Spielestreaming: 200 Millionen Stadia-Spieler wären ein Fehlschlag
    Spielestreaming
    200 Millionen Stadia-Spieler wären ein Fehlschlag

    Gamescom 2019 Mit dem Spielestreamingdienst Stadia möchte Google in den Massenmarkt - und mehr Spieler erreichen als andere Plattformen

  2. Kolyma 2: Frühere Deliveroo-Fahrer gründen eigenes Kollektiv
    Kolyma 2
    Frühere Deliveroo-Fahrer gründen eigenes Kollektiv

    Noch sind es erst drei, aber es gibt viele Interessenten: Ein eigener Lieferdienst soll Würde, Arbeiterrechte und Geld für Fahrer bringen, anders als bei Deliveroo. Dort wurde ein Fahrer nach einem Unfall im Krankenhaus angerufen und nach dem Verbleib der Burger gefragt.

  3. Germany Next: Telefónica schließt Internet-of-Things-Tochter
    Germany Next
    Telefónica schließt Internet-of-Things-Tochter

    Telefónica schließt Germany Next, sein Tochterunternehmen für Advanced Data Analytics und Internet of Things. Beschäftigte befürchten einen weiteren Stellenabbau.


  1. 19:42

  2. 18:31

  3. 17:49

  4. 16:42

  5. 16:05

  6. 15:39

  7. 15:19

  8. 15:00