Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HEIST: Timing- und…

Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: mustermensch 04.08.16 - 10:38

    Die Frage hat sich mir beim lesen des Artikels zuerst gestellt.

    Was wohl gemeint ist: Das Javascript kann sich auf einer beliebigen ANDEREN Seite befinden, nicht auf der anzugreifenden.

    Also reicht es den User z.B. verleiten auf eine Pr0n-Seite zu klicken, die dann im Hintergrund Anfragen an dessen Homebanking-Seite schickt und mit Glück seinen Login dort stehlen kann sollte er zu dem Zeitpunkt dort auch eingeloggt sein.

  2. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: chefin 04.08.16 - 11:23

    Es reicht irgendwo ein Javascript einzuschleusen. Weil fast keine Seiten mehr ausschliesslich mit Zurgriff auf eine Domain funktionieren. Fast alle binden Werbung ein und die kommt von einer dritten Stelle.

    Potentiell unsichere Seite verwendet man anders als potentiell sichere. Wie zb deine Bankingseite. Die aber mehr als einen Server abfragt. Auch dort sind tracking und Werbeserver eingebunden die nicht unter der Kontrolle dr Bank stehen.

    Sicher ist es also nur, wenn die Seite ausschliesslich daten von einer Domain bezieht und du diese Domain sauber absicherst. Den Angriff könnte man auch unterbinden indem man ALLE Seiten die es gibt sauber absichert, so das Kriminelle nichts einschluesen können. Tja...und daran siehst du das diese Lücke anders geschlossen werden muss.

  3. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: LASERwalker 04.08.16 - 11:41

    Du hast das falsch gelesen. HTTP2 kann gleichzeitig mehrere Seiten vom GLEICHEM Server anfordern.

    Dabei werden aber beide Seiten zusammen komprimiert. Wenn nun der eingeschleuste Text (zB. dieser Text hier im Forum) eine Zeichenfolge mit dem geheimen Session-Cookie (zB. phorum_session_v5_dev) geheimsam hat, wird die Antwort durch die Komprimierung kleiner.

  4. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: mustermensch 09.08.16 - 13:56

    LASERwalker schrieb:
    --------------------------------------------------------------------------------
    > Du hast das falsch gelesen. HTTP2 kann gleichzeitig mehrere Seiten vom
    > GLEICHEM Server anfordern.

    Nein habe ich nicht. Das mit Http2 ist eine weitere Variante des Angriffs (du benötigst dann keinen Parameter der reflektiert wird in der anzugreifenen Seite mehr, es reicht wenn irgendeine Seite auf dem Server dies hat).
    Das Angriff an sich funktioniert aber auch mit ganz normalem HTTP.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. über Nash direct GmbH, Stuttgart-Möhringen
  2. HENRICHSEN AG, Stuttgart, Friedrichshafen, Freiburg
  3. infoteam Software AG, Bubenreuth bei Erlangen
  4. Landeshauptstadt München, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 149,00€ statt 199,00€
  2. 284,00€ jetzt auch bei Amazon (bei Media Markt ausverkauft!)
  3. (heute u. a. Seagate 2-TB-HDD extern 56€, Samsung Galaxy S8 661,00€, Samsung 55 Zoll Curved TV...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Firefox Nightly Build 58 Firefox warnt künftig vor Webseiten mit Datenlecks
  2. Mozilla Wenn Experimente besser sind als Produkte
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Fire TV (2017) im Test: Das Streaminggerät, das kaum einer braucht
Fire TV (2017) im Test
Das Streaminggerät, das kaum einer braucht
  1. Neuer Fire TV Amazons Streaming-Gerät bietet HDR für 80 Euro
  2. Streaming Update für Fire TV bringt Lupenfunktion
  3. Streaming Amazon will Fire TV und Echo Dot vereinen

  1. Autonomes Fahren: Singapur kündigt fahrerlose Busse an
    Autonomes Fahren
    Singapur kündigt fahrerlose Busse an

    Die Straßen in Singapur sind oft verstopft. Autonome Nahverkehrsmittel sollen helfen, das Verkehrsproblem zu verringern. Ab 2022 sollen im ÖPNV des Stadtstaats fahrerlose Busse unterwegs sein.

  2. Coinhive: Kryptominingskript in Chat-Widget entdeckt
    Coinhive
    Kryptominingskript in Chat-Widget entdeckt

    Unternehmen, die ein Chat-Widget zum Kundensupport nutzen, haben in den vergangenen Tagen heimlich bei den Kunden die Kryptowährung Monero geschürft. Betroffen waren auch der Speicherhersteller Crucial und der Sportanbieter Everlast.

  3. Monster Hunter World angespielt: Die Nahrungskettensimulation
    Monster Hunter World angespielt
    Die Nahrungskettensimulation

    Großes Monster frisst kleines Monster - meistens: In Monster Hunter World dürfen wir von der Spurensuche bis zum Endkampf die Jagd auf Fantasybestien nacherleben. Golem.de hat das teils faszinierend glaubwürdige Actionspektakel ausprobiert.


  1. 17:56

  2. 15:50

  3. 15:32

  4. 14:52

  5. 14:43

  6. 12:50

  7. 12:35

  8. 12:00